Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
![]() 前 |
![]() 次 |
Oracle Privileged Account Managerは、コンソール、コマンドラインおよびOracle Privileged Account ManagerのRESTfulインタフェースを使用して管理できます。
この章では、基本的な管理タスクの実行方法について説明します。内容は次のとおりです。
前提作業
この章は、Oracle Privileged Account Managerが『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Privileged Account Managerの構成」の章を参照すると特に役立ちます。
注意: このガイドでWebLogic管理サーバーまたは様々な管理対象サーバーを起動するように指示があった場合、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Stackの起動と停止に関する項でその手順を参照してください。 |
11gリリース2のインストールが終了したら、次の作業を行うことをお薦めします。
表3-1を確認して、このリリースのOracle Privileged Account Managerを管理するために使用できる様々なインタフェースに対応するデフォルト・アプリケーションURLについて理解してください。
表3-1 デフォルト・アプリケーションURL
インタフェース | デフォルトURL |
---|---|
Oracle Identity Navigator |
http://adminserver_host:adminserver_port/oinav/ |
Oracle WebLogic Server管理コンソール |
http://adminserver_host:adminserver_port/console/ |
Oracle Privileged Account Managerコンソール |
http://adminserver_host:adminserver_port/oinav/opam |
Oracle Privileged Account Managerサーバー |
http://managedserver_host:managedserver_port/opam |
表3-2を確認して、このリリースのOracle Privileged Account Managerの様々なデフォルト・ポートについて理解してください。
表3-2 デフォルト・ポート
ポート・タイプ | デフォルト・ポート | 説明 |
---|---|---|
Oracle Privileged Account Manager |
18102 |
Oracle Privileged Account ManagerサーバーがデプロイされるWebLogic管理対象サーバーのデフォルトのSSL有効ポート。 shiphome (購入時の環境など)には、Oracle Privileged Account Managerに関連する次の2つのWebLogicサーバーがあります。
|
WebLogicによるSSLへの応答 |
7002 |
Oracle Identity NavigatorおよびOracle Privileged Account ManagerコンソールがデプロイされるWebLogic管理サーバーのデフォルトのSSL有効ポート。 |
WebLogicによる非SSLへの応答 |
7001 |
WebLogic管理サーバーが非SSLトラフィックに応答するデフォルトの非SSLポート。 |
Oracle Privileged Account Managerでは、管理者によって識別されるアカウント資格証明を保護、共有、監査および管理できます。これらの機能を提供するため、Oracle Privileged Account Managerでは、ターゲット・システムの特権アカウントにアクセスしてそれを管理できる必要があります。
コネクタによって、Oracle Privileged Account Managerは、LDAPやOracle Databaseなどのターゲット・システムと相互作用して、それらのシステム上でOracle Privileged Account Manager関連の管理操作を実行できます。
Oracle Privileged Account Managerでは、ICF標準に準拠するコネクタを利用します。この標準を使用することによって、Oracle Privileged Account Managerがターゲットへの接続に使用するメカニズムから、Oracle Privileged Account Managerが分離されます。そのため、Oracleなどのベンダーによって提供されるコネクタに加えて、独自のICFコネクタを自由に構築およびテストし、Oracle Privileged Account Managerにデプロイできます。
この項では、Oracle Privileged Account ManagerでこれらのICFコネクタを使用する方法について説明します。内容は次のとおりです。
アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項を参照してください。
Oracle Privileged Account Managerには、オラクル社が開発した次のICF準拠のコネクタが付属しています。
Database User Management (DBUM)コネクタ
汎用LDAPコネクタ
UNIX用のOracle Identity Managerコネクタ
これらのコネクタによって、Oracle Privileged Account Managerは、前述のタイプに属する様々なターゲット・システム上で特権アカウントを管理できます。
Oracle Privileged Account Managerでは、ユーザーが作成したICF準拠のコネクタも使用できるため、Oracle Privileged Account Managerを使用して独自のシステムを管理する場合に役立ちます。
注意: Oracle Privileged Account Managerに付属するコネクタのみを使用する場合、それらのコネクタはデフォルトで事前に構成されているため、追加の操作は不要です。 他のOracleコネクタやカスタム・コネクタを使用する場合、詳細は、第7.3項「既存のOracle Privileged Account Managerインストール環境への新規コネクタの追加」を参照してください。 アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタの開発に関する項を参照してください。 |
ICFコネクタは汎用で、多くのコンテキストで使用できるため、所定のOracleインストール環境においてすべてのコネクタ・バンドルがファイル・システムの単一の場所に配置されます。これらのコネクタ・バンドルに依存するOracle Privileged Account Managerなどのすべてのコンポーネントは、次の場所からそれらにアクセスできます。
ORACLE_HOME/connectors
ORACLE_HOME/connectors
にプッシュされているコネクタは、実際はOracle Identity Managerに同梱されています。このディレクトリのすべてのコネクタのうち、次の3つのコネクタのみがこのリリースのOracle Privileged Account Managerで動作保証済です。
Oracle Privileged Account Managerは、opam-config.xml
ファイルを使用することでICFコネクタを使用します。このファイルの内容によって、Oracle Privileged Account Managerに次の情報が提供されます。
ファイル・システムでICFコネクタ・バンドルを選択する場所
Oracle Privileged Account Managerの使用事例にとって適切な構成属性
特定のコネクタを使用したターゲット・システムへの接続を構成する際に、Oracle Privileged Account Managerコンソールをレンダリングする方法
opam-config.xml
ファイルは、ORACLE_HOME
/opam/config
ディレクトリにあります。Oracle Identity Management Suiteに付属するコネクタ・バンドルを選択して使用するために、すぐに使用できるイメージが構成されています。
opam-config.xsd
ファイル(これもORACLE_HOME/opam/config
ディレクトリに配置されている)は、opam-config.xml
のスキーマを記述します。
ORACLE_HOME
/opam/config/opam-config.xml
ファイルを変更した場合、opam-config.xsd
ファイルで検証します。
注意:
|
この項では、Oracle Privileged Account Managerのコンソールを起動および操作するための概要情報について説明します。内容は次のとおりです。
この項で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。これらの手順を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表3-3 参照マニュアル
参照内容 | 参照先 |
---|---|
管理ロール |
Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールの割当てに関する項、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」 |
Oracle Privileged Account ManagerおよびOracle Identity Navigatorでサポートされるアイデンティティ・ストアおよびポリシー・ストアの構成 |
Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのシステム要件と動作保証情報に関する項 |
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
Oracle WebLogic Serverでのデフォルトの認証プロバイダの作成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
現在の環境でのアイデンティティ・ストアの構成 |
各ベンダーの製品ドキュメント |
LDAPベース・サーバーでのOracle Virtual Directoryの構成 |
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項 |
Oracle WebLogic ServerでのOVD認証プロバイダの構成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
WLSTへのノード・マネージャの接続 |
『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のノード・マネージャ・コマンドに関する項 |
WLSTを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Internet Directoryサーバーでのノードの設定に関する項およびreassociateSecurityStoreに関する項 |
Enterprise Managerを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの再関連付けに関する項 |
|
Oracle Fusion Middleware Oracle Identity Management統合の概要 |
注意:
|
Oracle Privileged Account Managerを起動する前に、WebLogicサーバーおよびコンソールを起動する必要があります。
注意:
|
nmConnect
コマンドを実行してノード・マネージャをWLSTに接続します。
手順については、Oracle Fusion Middleware WebLogic Scripting Toolのコマンド・リファレンスのノード・マネージャのコマンドに関する項を参照してください。
WebLogic管理サーバーを起動します。次に例を示します。
UNIXでは次のように入力します。
MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/bin/startWebLogic.sh
Windowsでは次のように入力します。
MIDDLEWARE_HOME\user_projects\domains\DOMAIN_NAME\bin\startWebLogic.bat
Oracle Privileged Account Manager管理対象サーバーを起動します。
ブラウザを開き、次の場所からWebLogicコンソールを起動します。
http://adminserver_host:adminserver_port/console
この項では、Oracle Privileged Account Managerの新しい外部アイデンティティ・ストアを構成する方法について説明します。
注意: IBM WebSphereを使用する場合、外部アイデンティティ・ストアではなくレジストリを構成する必要があります。手順については、Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのレジストリの構成に関する項を参照してください。 |
Oracle Identity Navigatorの「アクセス権限」ペインから検索する場合、ユーザーを表示する前にドメイン・アイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアをメイン認証ソースとして構成するには、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverドメインを構成する必要があります。
サポートされているLDAPベース・ディレクトリ・サーバーでOracle Internet DirectoryまたはOracle Virtual Directoryを使用して、ドメイン・アイデンティティ・ストアを構成できます。アイデンティティ・ストアをWebLogic Server管理コンソールで構成します。
注意:
|
Oracle WebLogic ServerでOracle Internet Directory認証プロバイダを構成するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、デフォルトのレルムはmyrealm
です。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動して、次のようにフィールドを完了します。
名前: 認証プロバイダの名前を入力します。たとえば、MyOIDDirectory
と入力します。
タイプ: リストから、「OracleInternetDirectoryAuthenticator」を選択します。
「OK」をクリックして認証プロバイダ表を更新します。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」で、「構成」タブを選択し、「共通」タブを選択します。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
認証プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED - このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定がデフォルトです。
REQUISITE - このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT - このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL - このLoginModuleは成功でも失敗でもかまいません。ただし、JAAS制御フラグがOPTIONAL
に設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、使用する環境の値を使用して次の必要な設定を入力します。
ホスト: Oracle Internet Directoryサーバーのホスト名。
ポート: Oracle Internet Directoryサーバーがリスニングしているポート番号。
プリンシパル: Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。
資格証明: プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワード。
グループ・ベースDN: グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
ユーザー・ベースDN: ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
すべてのユーザーのフィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
名前指定によるユーザー・フィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
ユーザー名属性: 認証に使用する属性(cn、uid、mailなど)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmailに設定します。
「取得したユーザー名をプリンシパルとして使用する」を有効化します。
「保存」をクリックします。
myrealmページの「設定」から、「プロバイダ」タブを選択した後、「認証」タブを選択します。
「並替え」をクリックします。
新しい認証プロバイダを選択し、矢印ボタンを使用してこれをリストの最初に移動します。
「OK」をクリックします。
「認証プロバイダ」表の「DefaultAuthenticator」をクリックし、DefaultAuthenticatorの「設定」ページを表示します。
「構成」タブ、「共通」タブの順に選択し、「制御フラグ」リストから「SUFFICIENT」を選択します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
LDAPディレクトリ(Oracle Internet DirectoryまたはOracle Virtual Directory)に存在するユーザーが問題なくOracle Privileged Account Managerにログインできることを確認して、構成および設定を検証します。
Oracle Virtual Directoryをドメイン・アイデンティティ・ストアとして使用するには、次の手順を実行する必要があります。
Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの作成に関する項の説明に従ったLDAPベース・サーバーでのOracle Virtual Directoryの構成
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプの説明に従ったOracle WebLogic ServerでのOVD認証プロバイダの構成
Oracle WebLogic Serverで認証プロバイダを構成する場合、前述の手順9の説明に従って「取得したユーザー名をプリンシパルとして使用する」オプションを有効にする必要があります。
外部LDAPサーバーをアイデンティティ・ストアとして使用する場合、必要なOracle Privileged Account Managerユーザーおよびグループでそのサーバーをシードする必要があります。
アイデンティティ・ストアを準備するには、次のタスクを実行します。
アイデンティティ・ストアを事前構成すると、Oracle Internet Directoryでスキーマが拡張されます。
アイデンティティ・ストアを事前構成するには、IDMHOST1で次のタスクを実行する必要があります。
環境変数MW_HOME
、JAVA_HOME
およびORACLE_HOME
を設定します。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
次の内容でプロパティ・ファイルextend.props
を作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com
説明:
IDSTORE_HOST
およびIDSTORE_PORT
は、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。
IDSTORE_BINDDN
は、アイデンティティ・ストア・ディレクトリ内の管理ユーザーです。
IDSTORE_USERSEARCHBASE
は、ユーザーを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASE
は、グループを格納するディレクトリ内の場所です。
IDSTORE_SEARCHBASE
は、ユーザーおよびグループを格納するディレクトリ内の場所です。
IDSTORE_SYSTEMIDBASE
は、メイン・ユーザー・コンテナに配置する必要のないユーザーを配置できるディレクトリにあるコンテナの場所です。このような状況はほとんどありませんが、その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーとしても使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。
IDSTORE_USERNAMEATTRIBUTE
は、ユーザー名を記述したLDAP属性です。この属性は通常CN
です。
IDSTORE_LOGINATTRIBUTE
は、ユーザーのログイン名を記述したLDAP属性です。
次の場所にあるidmConfigTool
コマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
注意:
このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリで
IAM_ORACLE_HOME/idmtools/bin
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=configfile
例:
idmConfigTool.sh -preConfigIDStore input_file=extend.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
Oracle Virtual Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/ idm_idstore_groups_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/idm_idstore_groups_acl_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/
oid/systemid_pwdpolicy.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/idstore_tuning.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/ oid_schema_extn.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oim_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_schema_add.ldif May 25, 2011 2:37:34 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/ OID_oblix_schema_index_add.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.log
というファイルが作成されます。このログ・ファイルを確認して、エラーや警告を修正します。
注意:
|
関連項目:
idmConfigTool
コマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合概要』を参照してください。
トポロジ内にOracle Privileged Account Managerを実装する場合、アイデンティティ・ストアをOracle Privileged Account Managerに必要なユーザーとグループでシードする必要があります。
注意: 次の手順における |
必要なユーザーとグループを作成するには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME
、JAVA_HOME
およびORACLE_HOME
を設定します。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
次の内容でプロパティ・ファイルapm.props
を作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_APMUSER: opamadmin
説明
IDSTORE_HOST
およびIDSTORE_PORT
は、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。
OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.mycompany.com
)を指定します。
Oracle Internet Directoryにアイデンティティ・ストアがある場合は、
その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOST
がOracle Internet Directoryを指している必要があります。
IDSTORE_BINDDN
は、アイデンティティ・ストア・ディレクトリ内の管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTE
は、ユーザー名を記述したLDAP属性です。この属性は通常CN
です。
IDSTORE_LOGINATTRIBUTE
は、ユーザーのログイン名を記述したLDAP属性です。
IDSTORE_USERSEARCHBASE
は、ユーザーを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASE
は、グループを格納するディレクトリ内の場所です。
IDSTORE_SEARCHBASE
は、ユーザーおよびグループを格納するディレクトリ内の場所です。
POLICYSTORE_SHARES_IDSTORE
ポリシーとアイデンティティ・ストアが同じディレクトリにある場合は、true
に設定します。
ポリシーとアイデンティティ・ストアが同じディレクトリにない場合は、false
に設定します。
IDSTORE_APMUSER
は、Oracle Privileged Account Manager管理者として作成するユーザーの名前です。
このコマンドでは、ユーザーを作成するだけでなく、そのユーザーを、第3.1項「11gリリース2 (11.1.2)のインストール後の作業」で作成されたグループに割り当てます。
次の場所にあるidmConfigTool
コマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
注意:
このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリで
IAM_ORACLE_HOME/idmtools/bin
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=APM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=APM input_file=configfile
例:
idmConfigTool.sh -prepareIDStore mode=APM input_file=apm.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
次に、コマンドの出力例を示します。
Enter ID Store Bind DN password : Feb 18, 2013 10:10:35 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/common/templates/ oinav_template_oid.ldif *** Creation of APM User *** Feb 18, 2013 10:10:35 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/ oid/oam_user_template.ldif Enter User Password for opamadmin: Confirm User Password for opamadmin: The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.log
というファイルが作成されます。このログ・ファイルを確認して、エラーや警告を修正します。
関連項目:
idmConfigTool
コマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合概要』を参照してください。
インストール後は、どのユーザーにも管理者ロールは付与されていません。ユーザーを選択し、Oracle Identity Navigatorを使用してそのユーザーにアプリケーション構成者ロールを付与する必要があります。
注意: 手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールの割当てに関する項を参照してください。 アプリケーション構成者ユーザーは、このロールに加えて別のロールも持つことができます。他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」を参照してください。 |
アプリケーション構成者ユーザーが次のURLを使用してログインすると、OPAMの構成リンクが含まれた空の画面が表示されます。
http://adminserver_host:adminserver_port/oinav/opam
アプリケーション構成者ユーザーは、このリンクを使用して、Oracle Privileged Account Managerサーバーのホストとポートを指定することで、Oracle Privileged Account Managerサーバーが実行されている場所をOracle Privileged Account Managerコンソールに認識させることができます。
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーとの通信に成功すると、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
注意: Oracle Privileged Account Manager管理者およびユーザーは、Oracle Privileged Account Managerの初期設定中を除き、通常はOracle Identity Navigatorインタフェースを使用する必要はありません。 |
Oracle Privileged Account Managerのコンソールにアクセスするには、ブラウザ・ウィンドウを開いて次のURLを入力します。
http://adminserver_host:adminserver_port/oinav/opam
「サイン・イン」画面のあるOracle Privileged Account Managerページが表示されたら、管理者またはエンド・ユーザーの適切な資格証明を使用してログインします。
注意: Oracle Privileged Account Managerのコマンドライン・ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用する場合、それらのインタフェースの詳細は、それぞれ付録A「コマンドライン・ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
Oracle Privileged Account Managerにログインすると、コンソールが表示されます。
コンソールの一部の機能へのアクセスは、ユーザーの管理ロールおよび資格証明に基づきます。たとえば、図3-1は、Oracle Privileged Account Managerで提供されるすべての機能を示しています。ただし、この項で後から説明する「管理」、「レポート」および「構成」アコーディオンは、エンド・ユーザーやセキュリティ管理者ロールを持つユーザーには提供されません。
図3-2は、管理者権限を持たないセルフサービス・ユーザーとしてログインしたときのコンソールを示しています。
この項では、Oracle Privileged Account Managerコンソールの概要について説明します。この項の内容は次のとおりです。
ヒント: Oracle Privileged Account Managerインタフェースの要素(パラメータ・フィールドや情報アイコン |
マイ・アカウント: このノードを選択すると、自身が権限受領者である任意のアカウントのパスワードを参照、検索、チェックアウト、チェックインおよび表示できる「マイ・アカウント」ページが表示されます。
マイ・チェックアウト済アカウント: このノードを選択すると、チェックアウト済アカウントの表示、それらのアカウントのパスワードの表示およびアカウントのチェックインを実行できる「マイ・チェックアウト済アカウント」ページが表示されます。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、アカウントを管理します。
注意:
|
「管理」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
アカウント: 選択すると、アカウントを検索、開く、追加および削除できる「アカウント」ページが表示されます。
ターゲット: 選択すると、ターゲットを検索、開く、追加および削除できる「ターゲット」ページが表示されます。
パスワード・ポリシー: 選択すると、パスワード・ポリシーを検索、開く、作成および削除できる「パスワード・ポリシー」ページが表示されます。
使用ポリシー: 選択すると、使用ポリシーを検索、開く、作成および削除できる「使用ポリシー」ページが表示されます。
ユーザー権限受領者: 選択すると、個々のユーザー権限受領者に関する情報を検索、開くおよび表示できる「ユーザー権限受領者」ページが表示されます。
グループ権限受領者: 選択すると、権限受領者のグループに関する情報を検索、開くおよび表示できる「グループ権限受領者」ページが表示されます。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、Oracle Privileged Account Managerを構成および管理します。
注意:
|
「レポート」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
デプロイメント・レポート: 選択すると、ターゲットおよび特権アカウントが現在どのようにデプロイされているかに関する情報を参照できる「デプロイメント・レポート」ページが表示されます。
使用状況レポート: 選択すると、特権アカウントが現在デプロイメント内でどのように使用されているかに関する情報を参照できる「使用状況レポート」ページが表示されます。
エラー・レポート: 選択すると、ターゲットとアカウントに対するエラーの現在の状態に関する情報を参照できる「エラー・レポート」ページが表示されます。
「構成」アコーディオンには、クラスタ内のすべてのOracle Privileged Account Managerサーバーに適用される共通グローバル構成プロパティを表す、次のノードが含まれます。
サーバー接続: このノードを選択すると、Oracle Privileged Account Managerサーバーへの接続を構成できます。
サーバー構成: このノードを選択すると、次を管理できます。
使用ポリシー・スケジューラ間隔
パスワード・ポリシー・スケジューラ間隔
ターゲット接続タイムアウト(秒単位)
Oracle Database TDEモード(透過的データ暗号化)
Oracle Privileged Account Managerの検索ポートレットを使用すると、アカウント、ターゲット、ポリシー、ユーザーおよびグループを検索できます。
検索を構成するには、検索ポートレットに表示されている1つ以上のパラメータを使用します。使用可能なパラメータは、検索のタイプに応じて異なります。次の表では、異なる検索パラメータについて説明します。
表3-4 検索ポートレットのパラメータ
パラメータ名 | 説明 | 検索タイプ |
---|---|---|
アカウント名 |
検索するアカウント名の1つ以上の文字を入力します。 |
マイ・アカウント、アカウント |
ターゲット名 |
検索するターゲット名の1つ以上の文字を指定します。 |
マイ・アカウント、アカウント、ターゲット、ユーザー、グループ |
ターゲット・タイプ |
「すべて」(すべてのターゲット・タイプを検索する場合)、ldap、unix、databaseまたはlockboxを指定します。 |
マイ・アカウント、アカウント、ターゲット |
ドメイン |
検索するドメインを指定します。 |
マイ・アカウント、アカウント、ターゲット |
ホスト名 |
検索するホストの名前を指定します。 |
ターゲット |
ポリシー名 |
検索するポリシー名の1つ以上の文字を指定します。 |
パスワード・ポリシー、使用ポリシー |
ポリシー・ステータス |
すべてのポリシーを検索するか、検索をアクティブなポリシーのみまたは無効なポリシーのみに制限するかを指定します。 |
パスワード・ポリシー、使用ポリシー |
ユーザー名 |
検索するユーザー名の1つ以上の文字を指定します。 |
ユーザー権限受領者 |
グループ名 |
検索するグループ名の1つ以上の文字を指定します。 |
グループ権限受領者 |
検索を実行する一般的な手順は次のとおりです。
「ホーム」または「管理」アコーディオンで、適切なノードを選択します。
たとえば、アカウントを検索するには、「アカウント」を選択します。
検索ポートレットのパラメータを使用して、検索を構成します。
たとえば、特定のLDAPターゲットに存在するアカウントのリストを検索するには、ターゲット名の1つ以上の文字を入力し、「ターゲット・タイプ」メニューからLDAPを選択して、「検索」をクリックします。
使用可能なすべての結果を検索する場合は、検索パラメータを指定しません。
「検索」をクリックします。
結果は検索結果表に表示されます。
注意: 検索結果表の上にある「ステータス」メニューを使用すると、アカウント・ステータスに基づいて検索結果をフィルタ処理できます。詳細は、第3.4.6項「検索結果表の使用」の表3-5を参照してください。 |
別の検索を実行するには、「リセット」をクリックします。
異なる検索結果表の上部に配置されているドロップダウン・メニューとアイコンを使用して、様々なタスクを実行できます。
次の表では、これらの機能について説明します。
表3-5 検索結果表の機能
機能名 | 検索タイプ | 説明 |
---|---|---|
アクション |
マイ・アカウント、 |
ドロップダウン・メニューからアクションを選択します。 注意: 「アクション」メニューのオプションは、表の上部に表示されているタスク・アイコンと同じです。 |
表示 |
マイ・アカウント、 |
このドロップダウン・メニューを使用して、検索結果表での列の表示方法を制御します。
|
ステータス |
マイ・アカウント、アカウント |
メニューからオプションを選択して、検索結果の表示方法を制御します。
|
追加 |
アカウント、ターゲット |
クリックすると、新しいアカウントまたはターゲットをOracle Privileged Account Managerリポジトリに追加できます。 |
開く |
マイ・アカウント、アカウント、ターゲット、パスワード・ポリシー、使用ポリシー、ユーザー権限受領者、グループ権限受領者 |
クリックすると、選択したアカウント、ターゲット、ポリシー、ユーザー権限受領者またはグループ権限受領者を開くことができます。 |
削除 |
アカウント、ターゲット |
クリックすると、選択したアカウントまたはターゲットをOracle Privileged Account Managerリポジトリから削除できます。 |
パスワードの表示 |
マイ・アカウント、 |
クリックすると、選択したアカウントまたはターゲット・サービス・ターゲットの現在のパスワードに関する情報を参照できる「現在のパスワードの表示」ダイアログが表示されます。
|
パスワードのリセット |
アカウント、ターゲット |
クリックすると、選択したアカウントまたはターゲット・サービス・アカウントのパスワードを手動でリセットできる「パスワードのリセット」ダイアログが表示されます。
|
強制的チェックイン |
アカウントのみ |
クリックすると、他のユーザーによってチェックアウトされた特権アカウントをチェックインできます。 |
パスワード・ポリシーの作成 |
パスワード・ポリシーのみ |
クリックすると、パスワード・ポリシーを作成できます。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |
使用ポリシーの作成 |
使用ポリシーのみ |
クリックすると、使用ポリシーを作成できます。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |
削除 |
パスワード・ポリシー、使用ポリシー |
クリックすると、選択したポリシーをOracle Privileged Account Managerリポジトリから削除できます。 |
チェックイン |
マイ・チェックアウト済アカウント |
クリックすると、選択したチェックアウト済アカウントをチェックインできます。詳細は、第5.1.3.6項「特権アカウントのチェックイン」を参照してください。 |
リフレッシュ |
マイ・アカウント、マイ・チェックアウト済アカウント、アカウント |
クリックすると、検索結果を再表示(リフレッシュ)できます。 |