5 Oracle Privileged Account Managerの構成および管理

この章では、Oracle Privileged Account Managerを構成および管理する方法について説明します。この章の内容は次のとおりです。

• 第5.1項「Oracle Privileged Account Managerの管理」

• 第5.2項「セルフサービスの使用」

• 第5.3項「テスト環境から本番環境への移行」

注意: この章で説明するタスクの多くは、Oracle Privileged Account Managerのコマンドライン・ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても実行できます。 Oracle Privileged Account Managerコンソールのかわりにこれらのインタフェースを使用する場合の手順は、付録A「コマンドライン・ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。

5.1 Oracle Privileged Account Managerの管理

この項では、Oracle Privileged Account Managerを構成および管理する必要のある管理者の手順について説明します。

内容は次のとおりです。

• ポリシーの使用

• ターゲットの使用

• 特権アカウントの使用

• 権限受領者の使用

• レポートの使用

• Oracle Privileged Account Managerの再ブランド化

この項で説明する様々な構成タスクを実行するには、特定の管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

次のリストでは、異なる管理ロールに基づいてOracle Privileged Account Manager管理者ユーザーが実行できる基本ワークフローについて説明します。

注意: 「アプリケーション構成者」管理ロールを持つ管理者は、通常、すでにOracle Privileged Account Managerサーバーへの接続を構成済です。詳細は、第4.3.1項「Oracle Privileged Account Managerサーバーへの接続の構成」を参照してください。

表5-1 管理ロールに基づく管理者ワークフロー

管理者	職責
セキュリティ管理者	Oracle Privileged Account Managerのデフォルト使用ポリシーおよびデフォルト・パスワード・ポリシーを評価し、必要に応じてそれらのポリシーの変更または新規作成を行います。 Oracle Privileged Account Managerにターゲットを追加します。 そのターゲットで特権アカウントを追加します。 注意: このロールでは、特権アカウントに権限受領者を割り当てることはできません。 特権アカウントにパスワード・ポリシーを割り当てます。 既存のターゲット、アカウントおよびポリシーを管理します。
ユーザー・マネージャ	アカウントに権限付与を割り当てます。 必要に応じて使用ポリシーを作成および管理します。 権限付与に使用ポリシーを割り当てます。 既存の権限付与および使用ポリシーの割当てを管理します。
セキュリティ監査者	Oracle Privileged Account Managerレポートを確認します。

注意: これらの管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」を参照してください。

5.1.1 ポリシーの使用

この項では、Oracle Privileged Account Managerの使用ポリシーおよびパスワード・ポリシーを使用するための情報を提供します。

内容は次のとおりです。

• ポリシーの概要

• ポリシーの検索

• ポリシーの表示

• デフォルト・パスワード・ポリシーの変更

• デフォルト使用ポリシーの変更

• パスワード・ポリシーの作成

• 使用ポリシーの作成

• ポリシーの割当て

• ポリシーの削除

5.1.1.1 ポリシーの概要

Oracle Privileged Account Managerには、次の2つのタイプのポリシーがあります。

• パスワード・ポリシー: このポリシー・タイプは、関連する特権アカウントに対して特定のターゲットによって実施されるパスワード構成ルールを取得します。たとえば、数字の最小数と最大数です。パスワード・ポリシーを使用して、Oracle Privileged Account Managerが特権アカウントのパスワードをリセットするために使用するパスワード値を作成します。

• 使用ポリシー: このポリシー・タイプは、権限受領者が特権アカウントを使用できる時期と方法を定義します。(デフォルト・アクセスは24x7です。)

Oracle Privileged Account Managerによって管理されるすべての特権アカウントは、関連付けられたパスワード・ポリシーを持っている必要があります。使用ポリシーは、権限付与のレベルでのみ適用されます。単一のパスワード・ポリシーを複数の特権アカウントに、単一の使用ポリシーを複数の権限付与に関連付けることができます。

注意: 使用ポリシーについて、次のことに注意してください。 優先順位が最も高くなるのは、ユーザーの権限付与です。Oracle Privileged Account Managerは、ユーザーの権限付与を検出しなかった場合、グループの権限付与を検索します。 Oracle Privileged Account Managerによる検索の対象がグループの権限付与であり、権限が付与された複数のグループに対象のユーザーが属している場合、実行時に選択されたグループの優先順位が最も高くなります。

Oracle Privileged Account Managerでは、デフォルト・パスワード・ポリシーおよびデフォルト使用ポリシーが提供されています。デフォルト・ポリシーを使用するか、これらのポリシーを変更するか、または独自の特化したポリシーを作成することができます。

注意: デフォルトのポリシーを変更する場合は、それらのバックアップ・コピーを作成することをお薦めします。第A.2.13項「exportコマンド」の説明に従って、exportコマンドを使用できます。

これらのポリシーのパラメータ設定を確認するには、第5.1.1.3項「ポリシーの表示」を参照してください。

注意: ポリシーを操作できるのは、セキュリティ管理者管理ロールまたは「ユーザー・マネージャ」管理ロールを持つ管理者のみです。 セキュリティ管理者管理ロールを持つ管理者は、デフォルト・パスワード・ポリシーとデフォルト使用ポリシーの変更、新規ポリシーの作成、またはポリシーの削除を行うことができます。 セキュリティ管理者管理ロールを持つ管理者は、パスワード・ポリシーを割り当てることはできますが、使用ポリシーを割り当てることはできません。 「ユーザー・マネージャ」管理ロールを持つ管理者は、権限受領者とアカウントのペア・レベルでのみアカウントに使用ポリシーを割り当てることができます。つまり、ユーザー・マネージャは、同じアカウントの異なる権限受領者に異なる使用ポリシーを割り当てることができます。 「ユーザー・マネージャ」管理ロールを持つ管理者は、パスワード・ポリシーを割り当てることができません。

5.1.1.2 ポリシーの検索

ポリシーを検索するには、次の手順を実行します。

1. 検索するポリシー・タイプに基づいて、「管理」アコーディオンから「パスワード・ポリシー」または「使用ポリシー」を選択します。

2. 「ポリシーの検索」ポートレットが表示されたら、次の1つ以上のフィールドに検索基準を入力します。

   • ポリシー名: ポリシー名の全部または一部を入力します。

   • ポリシー・ステータス: すべてのポリシー(アクティブおよび非アクティブ)を検索するには、メニューから「すべて」(デフォルト)を選択します。アクティブまたは非アクティブなポリシーのみに検索を制限するには、「アクティブ」または「無効」を選択します。

3. 「検索」をクリックします。

検索結果表で検索結果を確認します。

5.1.1.3 ポリシーの表示

パスワード・ポリシーまたは使用ポリシーのパラメータ設定を確認するには、次の手順を実行します。

1. 「管理」アコーディオンから「パスワード・ポリシー」または「使用ポリシー」を選択します。

2. 「ポリシー」ページが表示されたら、「検索」をクリックします。

   既存のポリシーが検索結果表に表示されます。たとえば、パスワード・ポリシーを検索した場合、既存のパスワード・ポリシーがリストされます。

3. 次のいずれかの方法を使用してポリシーを開きます。

   • ポリシー名の横にある行番号をクリックしてから、検索結果表の上にある「開く」アイコンをクリックします。

   • 検索結果表のポリシー名(アクティブ・リンク)をクリックします。

     たとえば、デフォルト・パスワード・ポリシー・リンクをクリックすると、「パスワード・ポリシー: デフォルト・パスワード・ポリシー」ページが表示されます。

   「パスワード・ポリシー」ページには、次の3つのタブが含まれます。

   • 一般: ポリシーとそのポリシーのパスワード・ライフサイクル・ルールに関する一般情報を指定するためのパラメータが含まれます。パスワード・ライフサイクル・ルールによって、Oracle Privileged Account Managerが自動的にアカウント・パスワードをリセットする時期が制御されます。

   • パスワードの複雑性ルール: アカウント・パスワードの複雑性要件を制御するパラメータが含まれます。

   • 特権アカウント: そのパスワード・ポリシーを現在使用している特権アカウントの情報を提供します。

   「使用ポリシー」ページには、次の3つのタブが含まれます。

   • 一般フィールド: ポリシーに関する一般情報を指定するためのパラメータが含まれます。

   • 使用ルール: 特権アカウントのチェックアウトに関連付けられたタイムゾーン、アカウントをチェックアウトできる時期およびチェックアウトの有効期限を制御するパラメータが含まれます。

   • 権限受領者: 特定のアカウントを使用する権限が付与されている権限受領者の情報を提供します。

5.1.1.4 デフォルト・パスワード・ポリシーの変更

デフォルト・パスワード・ポリシーを評価した後に、現在の環境に合うように設定を変更することができます。

注意: デフォルトのポリシーを変更する場合は、それらのバックアップ・コピーを作成することをお薦めします。第A.2.13項「exportコマンド」の説明に従って、exportコマンドを使用できます。

デフォルト・パスワード・ポリシーを変更するには、次の手順を実行します。

1. 「管理」アコーディオンから「パスワード・ポリシー」を選択します。

2. 「パスワード・ポリシー」ページが表示されたら、「検索」をクリックして検索結果表を移入します。

3. 検索結果表のデフォルト・パスワード・ポリシーリンクをクリックして、パスワード・ポリシー: デフォルト・パスワード・ポリシーページを開きます。

4. 「一般」タブを選択して「一般フィールド」領域の「ポリシーの説明」フィールドを変更するか、次のパスワード・ライフサイクル・ルールのいずれかを変更します。

   
   

   注意: このポリシーの「ポリシー名」または「ポリシー・ステータス」の値は編集できません。

   
   

   パラメータ	説明
   パスワード履歴の保存	カウンタおよびドロップ・メニューを使用して、アカウントのパスワード履歴を保存する日数を指定します。パスワード履歴には、アカウントのチェックアウト時間とチェックイン時間、およびアカウント・パスワードのリセット時間が含まれます。
   パスワード有効期限	カウンタおよびドロップ・メニューを使用して、Oracle Privileged Account Managerでアカウント・パスワードを自動的にリセットするまでの期間(日数、時間数または分数)を指定します。たとえば、アカウント・パスワードを毎月変更する必要のあるセキュリティ・ポリシーを企業で実施する場合には、この値を30日に設定します。 アカウントがチェックアウトされ、そのパスワードが変更されるたびに(チェックアウトおよびチェックイン時にそのパスワードを変更するようにポリシーが構成されている場合)、Oracle Privileged Account Managerでは、パスワード変更時間が追跡されます。 Oracle Privileged Account Managerによってアカウントが使用されていないことが検出され、パスワード変更も指定した日数を超えて発生していない場合、そのパスワードはランダム化された新規の値に自動的にリセットされるため、企業ではユーザー操作なしでセキュリティ・ポリシーを自動的に実施できます。この自動リセット・オプションを無効にするには、数値を0に設定します。 注意: Oracle Privileged Account Managerスケジューラは、この項で説明されているように、パスワード最大期間を超えたアカウントがあるかどうかを定期的に確認し、それらをリセットします。 デフォルトでは、スケジューラは60分ごとにこの確認を実行します(OPAM Global Config構成エントリに含まれるpasswordcyclerintervalプロパティのデフォルト設定である60分に基づきます)。Oracle Privileged Account Managerのgetglobalconfigおよびmodifyglobalconfigコマンドライン・オプションを使用すると、現在の間隔を表示および変更できます。詳細は、第A.2.15項「getglobalconfigコマンド」および第A.2.21項「modifyglobalconfigコマンド」を参照してください。
   チェックイン時にパスワードをリセット	このオプションを使用して、チェックイン操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。 チェックイン操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。
   チェックアウト時にパスワードをリセット	このオプションを使用して、チェックアウト操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。 チェックアウト操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。

   
   
   
   

   注意: セキュリティ管理者管理ロールを持つ管理者は、「パスワードのリセット」オプション(第5.1.3.7.2項「アカウント・パスワードのリセット」を参照)を使用してパスワードを手動でリセットすることもできますが、Oracle Privileged Account Managerではこのパスワード変更時間も追跡されます。 セキュリティを向上するため、「チェックイン時にパスワードをリセット」および「チェックアウト時にパスワードをリセット」オプションはデフォルトで有効になっていますが、必要に応じて無効にすることもできます。たとえば、企業によっては、パスワードを30日ごとにリセットするだけで済みます。 企業でパスワードを自動的に管理せずに、必ずユーザー操作を介して変更する場合は、「パスワード・ライフサイクル・ルール」の3つのオプションをすべて無効にします。 ただし、これら3つのオプションを無効にした後にパスワードを手動で変更する唯一の方法は、「パスワードのリセット」オプションを使用することです(第5.1.3.7.2項「アカウント・パスワードのリセット」を参照)。この場合でも、Oracle Privileged Account Managerを使用することで1つの場所から複数のシステムのパスワードをリセットして集中管理できるため、Oracle Privileged Account Managerは役に立ちます。

   
   

5. 「パスワードの複雑性ルール」タブを選択して、デフォルト・パスワード要件を定義する1つ以上のパラメータを変更します。

   パラメータ	説明
   パスワードの文字	必要な文字の最小数と最大数を指定します。
   英字	必要なアルファベット文字の最小数を指定します。
   数字	必要な数字の最小数を指定します。
   英数字	必要な英数字の最小数を指定します。
   特殊文字	必要な特殊文字(*や@など)の最小数と最大数を指定します。
   繰返し文字	許可する繰返し文字の最小数と最大数を指定します。
   一意文字	必要な一意文字の最小数を指定します。
   大文字	必要な大文字の最小数を指定します。
   小文字	必要な小文字の最小数を指定します。
   開始文字(数字以外)	パスワードを開始するために必要な最初の文字を指定します。
   必須文字	パスワードに必要な文字を指定します。
   許可された文字	パスワードで許可する文字を指定します。
   許可されていない文字	パスワードで許可しない文字を指定します。
   パスワードとして許可されていない	「アカウント名」ボックスを有効に(選択)してパスワードでアカウント名の使用を禁止します。

   
   

6. 「特権アカウント」タブを選択して、デフォルト・パスワード・ポリシーを現在使用しているアカウントを確認します。

   
   

   注意: 表にリストされている任意のアカウントに異なるパスワード・ポリシーを指定するには、「アカウント名」のリンクをクリックします。「アカウント」ページが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。

   
   

7. ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。

5.1.1.5 デフォルト使用ポリシーの変更

デフォルトの使用ポリシーを環境に合せて変更する場合は、次の手順を実行します。

注意: デフォルトのポリシーを変更する場合は、それらのバックアップ・コピーを作成することをお薦めします。第A.2.13項「exportコマンド」の説明に従って、exportコマンドを使用できます。

1. 「管理」アコーディオンから「使用ポリシー」を選択します。

2. 「使用ポリシー」ページが表示されたら、「検索」をクリックして検索結果表を移入します。

3. 検索結果表のデフォルト使用ポリシーリンクをクリックして、使用ポリシー: デフォルト・パスワード・ポリシーページを開きます。

4. 「一般フィールド」タブを選択して、「説明」を変更します。

   
   

   注意: このポリシーの「ポリシー名」または「ポリシー・ステータス」の値は編集できません。

   
   

5. 「使用ルール」タブを選択して、次の1つ以上のパラメータ設定を変更します。

   パラメータ	説明
   タイムゾーン	メニューからタイムゾーンを選択して、ポリシーを適用する時期を指定します。 たとえば、タイムゾーンをGMTに設定し、ポリシーで午前9時から午後5時のチェックアウトが許可されている場合、PSTではなくGMTの午前9時から午後5時にのみチェックアウトを実行できます。
   使用許可日	「月曜日」から「日曜日」チェック・ボックスと、「開始」および「終了」ドロップ・メニューを使用して、権限受領者にアカウントの使用が許可される時期を指定します。権限受領者がこのアカウントにアクセスできる1つ以上の曜日や時間帯を選択します。(デフォルト・アクセスは24x7です。)
   有効期限日	次のオプションのいずれかを有効にして、権限受領者によるアカウントへのアクセス権の有効期限を変更します。 アカウントの自動チェックイン: カウンタを使用して、「最終チェックアウト後の分数」の値を指定します。 この日付のアカウントの自動チェックイン: カレンダ・アイコンをクリックすると、日時の選択ダイアログが表示されます。 月と年のメニューを使用するか、カレンダ内の日付をクリックして、有効期限日を指定します。 時間、分、秒のメニューを使用して「AM」または「PM」ボタンを有効にし、有効期限時刻を指定します。 注意: Oracle Privileged Account Managerスケジューラは、この項で説明されているように、指定した有効期限を過ぎたアカウントがあるかどうかを定期的に確認し、それらをリセットします。 デフォルトでは、スケジューラは60分ごとにこの確認を実行します(OPAM Global Config構成エントリに含まれるpolicyenforcerintervalプロパティのデフォルト設定である60分に基づきます)。Oracle Privileged Account Managerのgetglobalconfigおよびmodifyglobalconfigコマンドライン・オプションを使用すると、現在の間隔を表示および変更できます。詳細は、第A.2.15項「getglobalconfigコマンド」および第A.2.21項「modifyglobalconfigコマンド」を参照してください。

   
   
   
   

   注意: 共有特権アカウントの使用ポリシーを構成する場合、アカウントがチェックインされ、パスワードが適切な時期に反復されることを保証するため、自動チェックイン・オプションを構成することをお薦めします。 また、共有アカウントにアクセスできるユーザーの数を制限し、アカウントにアクセスできる時期を指定してそれらのユーザーをさらに絞り込むことを検討してください。各ユーザーがアカウントにアクセスできる曜日や時間帯を指定することで、チェックアウトの重複を最小限に抑え、Oracle Privileged Account Managerの監査機能を向上します。 共有アカウントの詳細は、第2.4.2項「共有アカウントの保護」を参照してください。

   
   

6. 「権限受領者」タブを選択して、このポリシーが割り当てられている権限受領者を表示します。

   
   

   注意: 表にリストされている任意の権限受領者に異なる使用ポリシーを指定するには、「アカウント名」のリンクをクリックします。「アカウント」ページが表示されたら、「使用ポリシー」メニューから異なるポリシー名を選択します。

   
   
   
   

   ヒント: 「権限受領者名」または「アカウント名」列のアクティブ・リンクをクリックすると、追加情報を含む他の画面にナビゲートできます。

   
   

7. ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。

5.1.1.6 パスワード・ポリシーの作成

パスワード・ポリシーを作成するには、次の手順を実行します。

1. 「管理」アコーディオンから「パスワード・ポリシー」を選択します。

2. 「パスワード・ポリシー」ページが表示されたら、検索結果表の上部にある「パスワード・ポリシーの作成」をクリックします。

   3つのタブを含む新しい「パスワード・ポリシー: 無題」ページが表示されます。

3. 次の情報を「一般」タブで入力します。

   1. ポリシー名: 新規ポリシーの名前を入力します。

   2. ポリシー・ステータス: ボタンをクリックしてポリシーが「アクティブ」であるか「無効」であるかを指定します。

      ポリシーをアクティブにすると、すべての関連付けられたアカウントおよび権限付与に対してそのポリシーが有効になります。

      ポリシーを無効にすると、その無効化されたポリシーに関連付けられたすべてのアカウントおよび権限付与にデフォルト・パスワード・ポリシーが適用されます。これらのアカウントおよび権限付与に単に異なるポリシーを割り当てると、古いポリシー割当てに関する情報はすべて失われます。

   3. ポリシーの説明(オプション): 新規パスワード・ポリシーに関する説明文を入力します。

   4. パスワード・ライフサイクル・ルール: これらのパラメータを構成して、一定の状況下でOracle Privileged Account Managerがランダム化されたアカウント・パスワードを自動生成して設定できるようにします(手順4を参照)。

4. 「パスワードの複雑性ルール」タブを選択して、このポリシーのパスワードの複雑性ルールを指定します。これらのパラメータ設定の詳細は、手順5の表を参照してください。

5. 「特権アカウント」タブを選択して、アカウントまたは権限受領者に新規ポリシーを割り当てます。詳細な手順については、第5.1.1.8項「ポリシーの割当て」を参照してください。

   このパスワード・ポリシーを特権アカウントに割り当てた後、「特権アカウント」タブを選択すると、このポリシーを現在使用しているアカウントを確認できます。

6. 「保存」をクリックします。

5.1.1.7 使用ポリシーの作成

使用ポリシーを作成するには、次の手順を実行します。

1. 「管理」アコーディオンから「使用ポリシー」を選択します。

2. 「ポリシー」ページが表示されたら、検索結果表の上部にある「使用ポリシーの作成」をクリックします。

   3つのタブを含む新しい「使用ポリシー: 無題」ページが表示されます。

3. 次の情報を「一般」タブで入力します。

   1. ポリシー名: 新規ポリシーの名前を入力します。

   2. ポリシー・ステータス: ボタンをクリックしてポリシー・ステータスが「アクティブ」であるか「無効」であるかを指定します。

      ポリシーをアクティブにすると、関連付けられたアカウントおよび権限付与に対してそのポリシーが有効になります。

      ポリシーを無効にすると、その無効化されたポリシーに関連付けられたすべてのアカウントおよび権限付与にデフォルト使用ポリシーが適用されます。これらのアカウントおよび権限付与に単に異なるポリシーを割り当てると、古いポリシー割当てに関する情報はすべて失われます。

   3. 説明(オプション): 新規パスワード・ポリシーに関する説明文を入力します。

4. 「使用ルール」を選択して、特権アカウントを使用するためのルールを定義します。これらのパラメータ設定の詳細は、手順5の表を参照してください。

5. 「権限受領者」タブを選択して、アカウントまたは権限受領者に新規ポリシーを割り当てます。詳細な手順については、第5.1.1.8項「ポリシーの割当て」を参照してください。

   このポリシーを割り当てた後、「権限受領者」タブを選択すると、このポリシーを使用しているユーザーまたはグループを確認できます。

6. 「保存」をクリックします。

5.1.1.8 ポリシーの割当て

前述のとおり、新しい特権アカウントを追加すると、そのアカウントにデフォルト・パスワード・ポリシーおよびデフォルト使用ポリシーが自動的に割り当てられます。

別のパスワード・ポリシーまたは使用ポリシーを割り当てるには、最初に第5.1.1.6項「パスワード・ポリシーの作成」または第5.1.1.7項「使用ポリシーの作成」の説明に従ってポリシーを作成する必要があります。

注意: セキュリティ管理者管理ロールを持つ管理者は、アカウントにパスワード・ポリシーまたは使用ポリシーを割り当てることができます。ただし、このロールでは、アカウント・レベルでのみ使用ポリシーを適用できます。 「ユーザー・マネージャ」管理ロールを持つ管理者は、権限受領者とアカウントのペア・レベルでアカウントに使用ポリシーを割り当てることができます。つまり、ユーザー・マネージャは、同じアカウントの異なる権限受領者に異なる使用ポリシーを割り当てることができます。 「ユーザー・マネージャ」管理ロールでは、パスワード・ポリシーを割り当てることはできません。

5.1.1.8.1 アカウントへのパスワード・ポリシーの割当て

アカウントへのパスワード・ポリシーの割当ては、「アカウント」ページ、「ターゲット」ページまたは「ポリシー」ページから行うことができます。

「アカウント」ページでは次の操作を実行します。

「アカウント」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。

1. ポリシーを割り当てるアカウントを特定します。

   1. 「管理」アコーディオンで、「アカウント」を選択します。

   2. 「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。

      結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。たとえば、アカウントがUNIXターゲットに割り当てられていることがわかっている場合、「ターゲット・タイプ」メニューからunixを選択します。

2. 検索結果が表示されたら、表にあるアカウントの「アカウント名」のリンクをクリックし、「アカウント: AccountName」ページを開きます。

3. 「一般」タブで、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。

4. 新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。

5. 「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。

「ターゲット」ページでは次の操作を実行します。

「ターゲット」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。

1. アカウントが配置されているターゲットを特定します。

   1. 「管理」アコーディオンで、「ターゲット」を選択します。

   2. 「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。

      結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表にあるアカウントの「ターゲット名」のリンクをクリックし、「ターゲット: TargetName」ページを開きます。

3. 「特権アカウント」タブをクリックし、ターゲットで現在管理されているアカウントのリストを表示します。

   表に、各アカウントに現在割り当てられているパスワード・ポリシーがリストされます。

4. 特権アカウント表でアカウントを特定し、「アカウント名」のリンクをクリックします。

5. 「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。

6. 新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。

7. 「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。

「ポリシー」ページでは次の操作を実行します。

「ポリシー」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。

1. アカウントに割り当てるパスワード・ポリシーを特定します。

   1. 「管理」アコーディオンで、「パスワード・ポリシー」を選択します。

   2. 「ポリシーの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なパスワード・ポリシーのリストを移入します。

      結果を絞り込むか、特定のポリシーを探すには、検索基準を1つ以上の「ポリシーの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表でポリシーを特定し、「ポリシー名」のリンクをクリックして、「パスワード・ポリシー: PolicyName」ページを開きます。

3. 「特権アカウント」タブを選択します。

4. アカウントを特定し、「アカウント名」のリンクをクリックして「アカウント: AccountName」ページを開きます。

5. 「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。

6. 新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。

7. 「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。

5.1.1.8.2 ユーザーおよびグループへの使用ポリシーの割当て

第5.1.4.2項「ユーザーへのアカウントの付与」または第5.1.4.3項「グループへのアカウントの付与」の説明に従ってアカウントに権限受領者を追加すると、Oracle Privileged Account Managerによって「権限付与」タブの「ユーザー」または「グループ」表にユーザー名またはグループ名が追加され、デフォルト使用ポリシーが自動的に割り当てられます。

「アカウント」ページまたは「使用ポリシー」ページから異なる使用ポリシーを割り当てることができます。

注意: アカウントの新しい使用ポリシーを作成しても、新しいポリシーはそのアカウントの既存の権限受領者に自動的に割り当てられません。Oracle Privileged Account Managerでは、個々の権限受領者にカスタマイズされたポリシーを割り当てることができるため、新しいポリシーでこれらの他のポリシー割当てを上書きすることは好ましくありません。 ただし、アカウントの新しいポリシーを作成してから新しい権限受領者を追加する場合、これらの(および将来の)権限受領者は、そのポリシーに自動的に関連付けられます(それがアカウントの新しいデフォルト使用ポリシーになっているため)。

「アカウント」ページでは次の操作を実行します。

「アカウント」ページから使用ポリシーを割り当てるには、次の手順を実行します。

1. ポリシーを割り当てるアカウントを特定します。

   1. 「管理」アコーディオンで、「アカウント」を選択します。

   2. 「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。

      結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。

2. アカウントの「アカウント名」のリンクを特定して「アカウント: AccountName」ページを開きます。

3. 「権限付与」タブを選択します。

4. 「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。

5. 「適用」をクリックして変更を追加します。

「ターゲット」ページでは次の操作を実行します。

「ターゲット」ページから使用ポリシーを割り当てるには、次の手順を実行します。

1. アカウントが配置されているターゲットを特定します。

   1. 「管理」アコーディオンで、「ターゲット」を選択します。

   2. 「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。

      結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表にあるアカウントのターゲット名をクリックし、そのターゲットを開きます。

3. 「ターゲット: TargetName」ページが表示されたら、「権限付与」タブをクリックし、そのアカウントへのアクセス権を現在付与されている権限受領者のリストを表示します。

   表に、各権限受領者に現在割り当てられている使用ポリシーがリストされます。

4. 「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。

5. 「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。

「ポリシー」ページでは次の操作を実行します。

「ポリシー」ページから使用ポリシーを割り当てるには、次の手順を実行します。

1. アカウントに割り当てる使用ポリシーを特定します。

   1. 「管理」アコーディオンで、「使用ポリシー」を選択します。

   2. 「ポリシーの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能な使用ポリシーのリストを移入します。

      結果を絞り込むか、特定のポリシーを探すには、検索基準を1つ以上の「ポリシーの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果が表示されたら、割り当てるポリシーを検索結果表で特定します。「ポリシー名」のリンクをクリックし、「使用ポリシー: PolicyName」ページを開きます。

3. 「権限受領者」タブを選択します。

4. 「権限受領者」表でユーザー名またはグループ名を特定し、その権限受領者の「アカウント名」のリンクをクリックしてアカウントを開きます。

5. 「アカウント: AccountName」ページが表示されたら、「権限付与」タブをクリックします。

6. 「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。

7. 「適用」をクリックして変更を追加します。

5.1.1.9 ポリシーの削除

ポリシーを削除するには、次の手順を実行します。

1. 削除するポリシーを特定して選択します。

2. 「削除」アイコンをクリックします。

3. 「削除の確認」ダイアログが表示されたら、「削除」ボタンをクリックします。

   ポリシーが削除されます。そのポリシーにアカウントが割り当てられている場合、それらのアカウントはすべて、適用可能なデフォルト・ポリシーを使用する状態に戻ります。

5.1.2 ターゲットの使用

この項では、Oracle Privileged Account Managerでターゲットを使用する場合に実行できる様々なタスクについて説明します。

注意: ターゲットを追加、編集または削除するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

この項の内容は次のとおりです。

• ターゲットとは

• Oracle Privileged Account Managerへのターゲットの追加

• ターゲットの検索

• ターゲットを開く

• ターゲットのサービス・アカウント・パスワードの管理

• Oracle Privileged Account Managerからのターゲットの削除

5.1.2.1 ターゲットとは

ターゲットとは、ユーザー、システムまたはアプリケーション・アカウントを格納および使用し、それらに依存するソフトウェア・システムです。

ターゲットは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。かわりに、Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のターゲットを管理します。

Oracle Privileged Account Managerでターゲットを追加すると、そのターゲットに対する参照が作成されます。実際には、ターゲットを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからターゲットを削除すると、単にその参照が削除されます。

Oracle Privileged Account Managerでは、LDAP、UNIX、databaseおよびlockboxターゲット・タイプがサポートされます。

lockboxターゲットによって、Oracle Privileged Account Managerでパスワード・ボールトに似た機能が提供されます。つまり、デプロイメント内の特権アカウントに関連付けられたパスワード(またはその他の機密情報)を格納するためのセキュアなメカニズムが提供されます。このターゲット・タイプは、次の点で、他の従来のOracle Privileged Account Managerターゲット・タイプと異なります。

• Oracle Privileged Account Managerは、lockboxターゲット・システムと相互作用しません。これらのシステムへの接続、またはこれらのシステムに対して実行される操作はありません。

• Oracle Privileged Account Managerは、lockboxターゲット上のアカウントに関連付けられたパスワードのライフサイクル管理またはリセットを実行しません。

• パスワードの変更はアウトオブバンドで処理され、管理アクションとしてOracle Privileged Account Manager内で更新されます。そのため、Oracle Privileged Account Managerはパスワードをランダム化せず、それらは管理者によって指定された状態で格納されます。

lockboxターゲットは、Oracle Privileged Account Managerでターゲット・システム上の特権アカウントを自動的に管理することなく、それらのアカウントのパスワードを一元的に格納し、安全に付与する必要がある場合に適しています。たとえば、そのようなターゲット・システムでのパスワードの変更方法および時期の制御を、Oracle Privileged Account Managerに許可せず、自分で実行する場合が考えられます。

また、特定のターゲット・タイプに適したICFコネクタが提供されていないが、Oracle Privileged Account Managerを通じてそのシステムへのアクセスを管理する必要がある場合、lockboxターゲットが役立ちます。

5.1.2.2 Oracle Privileged Account Managerへのターゲットの追加

注意: いずれかのターゲット・タイプのターゲットを追加する場合、そのアカウントで次のことができる権限を持つサービス・アカウント(無人アカウントとも呼ばれる)を構成する必要があります。 ターゲット・システムでのアカウントの検索 ターゲット・システムでのアカウントのパスワードの変更 Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないようにする必要があります。 サービス・アカウントの詳細は、第1.2.1項「機能」の有人および無人アカウントに関する説明を参照してください。

Oracle Privileged Account Managerで管理するターゲットを追加するには、次の手順を実行します。

1. Oracle Privileged Account Managerにログインします。

2. 「管理」アコーディオンから「ターゲット」を選択して、「ターゲット」ページを開きます。

3. 検索結果表のツールバーにある「追加」をクリックし、2つのタブを含む新しい「ターゲット: 無題」ページを開きます。

   • 一般: ターゲットの「基本構成」および「拡張構成」情報を指定するためのパラメータを含む2つの領域があります。

   • 特権アカウント: ターゲットで現在管理されている特権アカウントのリストが含まれ、そのターゲットによって管理されているアカウントを追加、オープンおよび削除できます。

4. 「一般」タブで、「ターゲット・タイプ」メニューを使用してターゲット・タイプ(ldap、unix、databaseまたはlockbox)を選択した後、残りの構成パラメータを設定します。

   
   

   注意: ターゲット・タイプを設定すると、「ターゲット: 無題」ページがリフレッシュされ、選択内容に基づいて構成パラメータが変更されます。 次の各項では、各ターゲット・タイプのパラメータについて説明します。 第5.1.2.2.1項「ldapターゲット・タイプのパラメータ」 第5.1.2.2.2項「unixターゲット・タイプのパラメータ」 第5.1.2.2.3項「databaseターゲット・タイプのパラメータ」 第5.1.2.2.4項「lockboxターゲット・タイプのパラメータ」 (アスタリスク*記号で示された) すべての必須属性を指定する必要があります。

   
   

5. ターゲットの構成パラメータを設定したら、「テスト」をクリックしてターゲットの構成を確認します。

   構成が有効な場合、「テストに成功しました」というメッセージが表示されます。

6. 「保存」をクリックして、Oracle Privileged Account Managerサーバーに新しいターゲットを追加します。

   Oracle Privileged Account Managerによって自動的にターゲットGUIDが割り当てられ、その読取り専用値は「基本構成」パラメータ・セクションの下部に表示されます。

これで、このターゲットを特権アカウントに関連付けることができます。手順については、第5.1.3.2項「Oracle Privileged Account Managerへの特権アカウントの追加」を参照してください。

5.1.2.2.1 ldapターゲット・タイプのパラメータ

ldapターゲット・タイプを選択すると、次の基本および拡張構成パラメータが表示されます。

パラメータ名	説明
ターゲット名	新しいターゲットの名前を入力します。
説明	このターゲットの説明を入力します。
組織	ターゲットに関連付ける組織の名前を入力します。
ドメイン	ターゲット・サーバーのドメインを入力します。
パスワード・ポリシー	ターゲットのサービス・アカウントに適用するパスワード・ポリシーを選択します。Oracle Privileged Account Managerは、このポリシーを使用してパスワードを自動生成します。
ホスト	ターゲット・サーバーのホスト名を入力します。
TCPポート	LDAPサーバーとの通信時に使用するTCP/IPポートを入力します。 上向きまたは下向きの矢印アイコンを使用して、この値を増加できます。
SSL	LDAPサーバーへの接続時にSecure Socket Layer (SSL)を使用するには、このボックスを選択します。 注意: SSLで接続する場合、Oracle Privileged Account ManagerをホストしているJ2EEコンテナにSSL証明書をインポートする必要があります。詳細は、第7.1項「ターゲット・システムとSSL経由で通信するためのOracle Privileged Account Managerの構成」を参照してください。
プリンシパル	LDAPサーバーに対する認証時に使用する識別名(DN)を入力します。 たとえば、cn=adminとします。
パスワード	ユーザーのパスワードを入力します。
ベース・コンテキスト	LDAPサーバーのツリーでユーザーを検索する場合や、ユーザーがメンバーであるグループを検索する場合に使用するLDAPツリーの1つ以上の開始点を入力します。パイプ(|)を使用して値を区切ります。
アカウント・ユーザー名属性	アカウントのユーザー名として使用する属性を入力します。 (デフォルトはuidです。)

次の拡張構成パラメータはオプションです。

パラメータ名	説明
UID属性	Uid属性にマップされているLDAP属性の名前を入力します。
アカウント取得用LDAPフィルタ	LDAPリソースから返されるアカウントを制御するためのLDAPフィルタを入力します。 フィルタを指定しない場合、Oracle Privileged Account Managerでは、指定したすべてのオブジェクト・クラスを含むアカウントのみが返されます。
パスワード属性	パスワードを保持するLDAP属性の名前を入力します。 ユーザーのパスワードを変更すると、Oracle Privileged Account Managerによってこの属性に新規パスワードが設定されます。
アカウント・オブジェクト・クラス	LDAPツリー内への新規ユーザー・オブジェクトの作成時に使用する1つ以上のオブジェクト・クラスを入力します。 個々の行に各オブジェクト・クラスを入力します。エントリを区切るのにカンマまたはセミコロンは使用しません。 一部のオブジェクト・クラスは、値を区切るためのパイプ(|)を使用してクラス階層を指定する必要があります。

5.1.2.2.2 unixターゲット・タイプのパラメータ

unixターゲット・タイプを選択すると、次の基本および拡張構成パラメータが表示されます。

パラメータ名	説明
ターゲット名	新しいターゲットの名前を入力します。
説明	このターゲットの説明を入力します。
組織	ターゲットに関連付ける組織の名前を入力します。
ドメイン	ターゲット・サーバーのドメインを入力します。
パスワード・ポリシー	ターゲットのサービス・アカウントに適用するパスワード・ポリシーを選択します。Oracle Privileged Account Managerは、このポリシーを使用してパスワードを自動生成します。
ホスト	ターゲット・サーバーのホスト名を入力します。
ポート	UNIXサーバーに接続するためのポートを入力します。上向きまたは下向きの矢印アイコンを使用して、この値を増加できます。 注意: サポートされるのはSSHプロトコルのみです。デフォルトのポートは22です。
ログイン・ユーザー	このターゲットへの接続時に使用するユーザー名を入力します。
ログイン・ユーザー・パスワード	ユーザーのパスワードを入力します。
ログイン・シェル・プロンプト	ターゲットへのログイン時に表示するシェル・プロンプトを入力します。 たとえば、$または#とします。
Sudo認可	ユーザーがsudo認可を必要とする場合、このボックスを選択します。 rootユーザーの場合はこのボックスを選択しないでください。 注意: sudo認可を使用する場合、UNIXコネクタは、ターゲット・システムで特定の条件(sudo実行ファイルに含まれる特定の構成など)が満たされていることを要求します。これらの条件の詳細は、Oracle Identity Manager UNIXコネクタ・ガイドで、コネクタ操作用にターゲット・システムでSUDOユーザー・アカウントを作成する作業に関する項を参照してください。

次の拡張構成パラメータはオプションです。

パラメータ名	説明
コマンド・タイムアウト	コマンドを終了せずに完了するまで待機する時間(ミリ秒)を指定します。
パスワード要求表現	ユーザーのパスワードの設定時にターゲットに表示される表現を指定します。たとえば、Enter passwordおよびRe-enter passwordという表現をpasswdコマンドの実行時に表示する場合、このフィールドの値はenter password,re-enter passwordになります。 注意: 正規表現も指定できます。2つの式を区切るには、カンマを使用します。
パスワード要求前の表現	一部のターゲットでのpasswdコマンドの実行時に、プロンプトを表示してからパスワード・プロンプトを表示できます。プロンプトの表現および要求する入力値を指定し、カンマを使用してこれらの値を区切ります。
sudoパスワード要求表現	sudoモードでのコマンドの実行時に表示するパスワード・プロンプトを指定します。デフォルト値はpasswordです。

5.1.2.2.3 databaseターゲット・タイプのパラメータ

databaseターゲット・タイプを選択すると、次の基本および拡張構成パラメータが表示されます。

パラメータ名	説明
ターゲット名	新しいターゲットの名前を入力します。
説明	このターゲットの説明を入力します。
組織	ターゲットに関連付ける組織の名前を入力します。
ドメイン	ターゲット・サーバーのドメインを入力します。
パスワード・ポリシー	ターゲットのサービス・アカウントに適用するパスワード・ポリシーを選択します。Oracle Privileged Account Managerは、このポリシーを使用してパスワードを自動生成します。
ホスト	ターゲット・サーバーのホスト名を入力します。
データベース接続URL	ターゲット・システムの場所を識別するために使用するJDBC URLを入力します。 次に例を示します。 Oracle:jdbc:oracle:thin:@<host>: <port>:<sid> 注意: Oracle Privileged Account Managerでは、Oracle、MSSQL、SybaseおよびMySQLデータベース・タイプがサポートされます。 サポートされている特別なオプションは、『Oracle Identity Manager Database User Management Connectorガイド』を参照してください。
管理ユーザー名	このターゲットへの接続時に使用する管理者名を入力します。 注意: sysユーザー名を使用する場合、 「拡張構成」領域にある接続プロパティフィールドにinternal_logon=sysdbaと入力する必要があります。この入力は、systemでは必要ありません。
管理ユーザーのパスワード	ユーザーのパスワードを入力します。
データベース・タイプ	コネクタを使用するデータベースのタイプ(Oracle、MSSQL、SybaseまたはMySQL)を選択します。 Oracleデータベース・ターゲットを選択した場合、ドライバjarは不要です。他のターゲット・システムの場合、次のいずれかのサードパーティjarをコピーする必要があります。 MSSQLの場合: sqljdbc4.jarをコピーします。 MySQLの場合: mysql-connector-java-5.1.20-bin.jarをコピーします。 Sybaseの場合: jconn4.jarをコピーします。 jarのコピーには、次のいずれかのオプションを使用できます。 オプション1: 『Oracle Fusion Middleware Oracle WebLogic Serverアプリケーションの開発』のドメインの/libディレクトリへのJARの追加に関する項の説明に従って、これらのサードパーティjarをWebLogicドメインの/libディレクトリにコピーします。 オプション2: コネクタjarを次のように変更して、サードパーティjarを含めます。 次の場所にあるDBUMコネクタ・バンドルのバックアップ・コピーを作成します。 ORACLE_HOME/connectors/dbum/bundle/ org.identityconnectors.dbum-1.0.1116.jar temporary/libフォルダを作成し、サードパーティjarをそのフォルダに格納します。 次のように、バンドルをサードパーティjarで更新します。 jar -uvf org.identityconnectors.dbum-1.0.1116.jar lib/JAR_NAME temporary/libフォルダを削除します。 すべてのOracle Privileged Account Managerプロセスを起動して、変更を有効にします。 詳細は、Oracle Identity Managerコネクタ・データベース・ユーザー管理ガイドのコネクタ・サーバーへのコネクタのインストールに関する項を参照してください。

次の拡張構成パラメータはオプションです。

パラメータ名	説明
接続プロパティ	セキュアな接続を構成する場合に使用する接続プロパティを入力します。 これらのプロパティは、prop1=val1#prop2=val2という書式で指定された名前/値ペアにする必要があります。

5.1.2.2.4 lockboxターゲット・タイプのパラメータ

lockboxターゲット・タイプを選択すると、次の基本構成パラメータのみが表示されます。

パラメータ名	説明
ターゲット名	新しいターゲットの名前を入力します。
説明	このターゲットの説明を入力します。
組織	ターゲットに関連付ける組織の名前を入力します。
ドメイン	ターゲット・サーバーのドメインを入力します。
ホスト	ターゲット・サーバーのホスト名を入力します。

注意: 第3.2.3項「ICFコネクタの使用」の説明に従ってopam-config.xmlファイルを編集することによって、構成パラメータをこのリストに追加できます。

5.1.2.3 ターゲットの検索

管理者権限を持っている場合、次の基準またはこれらの項目の組合せを使用してターゲットを検索できます。

• ターゲット名

• ターゲット・タイプ(すべて、ldap、unix、databaseまたはlockbox)

• ホスト名

• ドメイン

• 説明

ターゲットを検索するには、次の手順を実行します。

1. 「管理」アコーディオンで、「ターゲット」を選択します。

2. 「ターゲット」タブが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。

   • たとえば、すべてのLDAPターゲットのリストを検索するには、「ターゲット・タイプ」メニューからldapを選択します。

   • 使用可能なすべてのターゲットを検索する場合は、検索パラメータを指定しません。

3. 「検索」をクリックします。

   検索結果表で検索結果を確認します。

5.1.2.4 ターゲットを開く

ターゲットを開いて、ターゲットの構成パラメータとそれに関連する特権アカウント・パラメータを確認および編集できます。

次のいずれかの方法を使用してターゲットを開きます。

• 検索結果表のターゲット名(アクティブ・リンク)をクリックします。

• ターゲットの行番号を選択し、「開く」アイコンをクリックします。

ターゲットおよび特権アカウント情報にアクセスできる「ターゲット: TargetName」ページが表示されます。

5.1.2.5 ターゲットのサービス・アカウント・パスワードの管理

Oracle Privileged Account Managerには、ターゲットのサービス・アカウント・パスワードを管理するための2つのオプションがあります。

• サービス・アカウント・パスワードの表示

• サービス・アカウント・パスワードのリセット

注意: これらのコマンドを実行するには、セキュリティ管理者管理ロールを持つ管理者である必要があります。 Oracle Privileged Account Managerコマンドライン・ツールまたはREST APIを使用して、これらのパスワード管理タスクを実行することもできます。 コマンドラインの手順については、第A.2.46項「showtargetpasswordコマンド」および第A.2.32項「resettargetpasswordコマンド」を参照してください。 REST APIの手順については、第B.4.15項「 パスワードの表示」および第B.4.4項「パスワードのリセット」を参照してください。 Oracle Privileged Account Managerでは、両方のタイプのパスワード管理操作が監査され、パスワード・アクセスが追跡されます。

5.1.2.5.1 サービス・アカウント・パスワードの表示

必要に応じ、検索結果表の上にある「パスワードの表示」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを確認できます。

注意: このコマンドはlockboxターゲット・タイプには適用できないため、「操作はサポートされていません」というエラー・メッセージが返されます。 他のユーザーが、異なるドメイン内にある別のOracle Privileged Account Managerインスタンスなど、現在のOracle Privileged Account Managerインスタンスではない場所からターゲットのサービス・アカウント・パスワードを変更した場合、「パスワードの表示」機能を使用しても、新規パスワードは表示できず、ターゲットへの接続も失敗します。 この問題を解決するには、Oracle Privileged Account Manager内で、コンソールまたはコマンドラインからターゲットを編集することによって、パスワードを更新する必要があります。 サービス・アカウントの詳細は、1-4ページの説明を参照してください。

次の手順を実行します。

1. 「管理」アコーディオンで、「ターゲット」を選択します。

2. 「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。

3. ターゲットの行番号を選択し、「パスワードの表示」をクリックします。

   「現在のパスワードの表示」ダイアログで、ターゲットのサービス・アカウント・パスワードに関する次の情報が表示および提供されます。

   • ターゲット名

   • サービス・アカウント名

   • 現在のパスワード

   • パスワード変更時間

4. 完了したら、「閉じる」をクリックします。

5.1.2.5.2 サービス・アカウント・パスワードのリセット

必要に応じ、検索結果表の上にある「パスワードのリセット」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを手動でリセットできます。

注意: このコマンドはlockboxターゲット・タイプには適用できないため、「操作はサポートされていません」というエラー・メッセージが返されます。 サービス・アカウントの詳細は、1-4ページの説明を参照してください。

次の手順を実行します。

1. 「管理」アコーディオンで、「ターゲット」を選択します。

2. 「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。

3. ターゲットの行番号を選択し、「パスワードの表示」をクリックします。

   「現在のパスワードの表示」ダイアログで、ターゲットのサービス・アカウント・パスワードに関する次の情報が表示および提供されます。

   • ターゲット名

   • サービス・アカウント名

   このダイアログには、パスワードをリセットするための次の2つのオプションも含まれます。

   • 新規パスワード: 提供されたスペースに新規パスワードを入力します。

   • パスワードの自動生成: このチェック・ボックスを選択すると、アカウントのパスワード・ポリシーに従って、自動的にパスワードが生成されます。

4. 新規パスワードを入力するかチェック・ボックスを選択し、「リセット」をクリックします。

5.1.2.6 Oracle Privileged Account Managerからのターゲットの削除

ターゲットを削除するには、検索結果表からターゲットを選択して「削除」アイコンをクリックします。

警告: ターゲットを削除すると、Oracle Privileged Account Managerに格納されている、そのターゲットに関する情報(特権アカウントを含む)もすべて削除されます。 ターゲットを削除する前に、まずそのターゲットからすべての関連情報を取得する必要があります。たとえば、Oracle Privileged Account Managerのサービス・アカウント・パスワードと、ターゲット上の特権アカウントに関連付けられた現在のパスワードを保存します。

5.1.3 特権アカウントの使用

この項では、Oracle Privileged Account Managerで特権アカウントを使用する場合に実行できる様々なタスクについて説明します。

注意: 管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。 アカウントを追加および管理するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

この項の内容は次のとおりです。

• 特権アカウントとは

• Oracle Privileged Account Managerへの特権アカウントの追加

• 特権アカウントの検索

• 特権アカウントを開く

• 特権アカウントのチェックアウト

• 特権アカウントのチェックイン

• アカウント・パスワードの管理

• Oracle Privileged Account Managerからの特権アカウントの削除

5.1.3.1 特権アカウントとは

ターゲット上のアカウントは、そのアカウントがデプロイメント内で次の特徴を持つ場合に特権アカウントであるとみなされます。

• 昇格された権限に関連付けられている

• 複数のエンド・ユーザーによってタスク別に使用される

• その使用を制御および監査する必要がある

アカウントは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のアカウントの管理のみを行います。

Oracle Privileged Account Managerでアカウントを追加すると、そのアカウントに対する参照が作成されます。実際には、アカウントを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからアカウントを削除すると、単にそのアカウントに対する参照が削除されます。

Oracle Privileged Account Managerによって、システムとアプリケーション・アカウントの両方を管理できます。次の「システム・アカウントの管理」および「アプリケーション・アカウントの管理」を参照してください。

5.1.3.1.1 システム・アカウントの管理

Oracle Privileged Account Managerの主な目的は、サポートされるターゲット・システム上の特権システム・アカウントを管理することです。Oracle Privileged Account Managerでは、特権システム・アカウントの構成要素の要件はなく、ターゲット・システム上の任意のアカウントを管理できます。管理者は、特権アカウントの識別を担当します。特権アカウントは、通常、ユーザーが管理タスクを実行できるシステム・アカウントです。

特権アカウントは、組織内の複数の個人ユーザーによって使用および共有され、管理者がそれらのアカウントの使用を追跡する必要がある場合、Oracle Privileged Account Managerによる管理に適しています。

管理者は、次の手順を実行して、アカウントをOracle Privileged Account Managerの管理対象となる特権アカウントとして登録します。

1. Oracle Privileged Account Managerにターゲットを追加します(まだ実行していない場合)。手順については、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。

2. 識別した特権アカウントをターゲットに追加し、パスワード・ポリシーを割り当てます。手順については、第5.1.3.2項「Oracle Privileged Account Managerへの特権アカウントの追加」および第5.1.1項「ポリシーの使用」を参照してください。

3. アクセス権を直接エンド・ユーザーに付与するか、LDAPロールまたはグループを使用して付与し、使用ポリシーを割り当てます。手順については、第5.1.4.2項「ユーザーへのアカウントの付与」および第5.1.1項「ポリシーの使用」を参照してください。

5.1.3.1.2 アプリケーション・アカウントの管理

アプリケーションは、実行時にアプリケーション・アカウントを使用してターゲット・システムに接続します。従来、これらのアカウントは、管理者によってインストール時に一度設定され、その後は忘れられていました。結果として、アプリケーション・アカウントは、デプロイメントにおいて隠れた脆弱性となる可能性があります。たとえば、期限切れのポリシーを使用して作成されたために時間の経過とともにパスワードの安全性が低下したり、一般的に使用されるデプロイメント・パスワードが危殆化することがあります。

Oracle Privileged Account Managerによって、アプリケーション・アカウントの管理性を向上できます。特に、資格証明ストアにアプリケーション・アカウントを格納するアプリケーションに向いています。これらのアプリケーションでは、資格証明ストア・フレームワークを通じて資格証明ストアから実行時にアカウント資格証明を取得します。

たとえば、アプリケーション・アカウントは、本質的にシステム・アカウントの特別なバージョンであるため、第5.1.3.1.1項「システム・アカウントの管理」の説明に従ってOracle Privileged Account Managerに登録できます。次に、そのアカウントに依存するすべてのアプリケーションに対して対応するCSFマッピングを追加できます(これによって、CSFはCSF内に格納されている資格証明を一意に識別し、アプリケーションはCSFでその資格証明を検出します)。CSFマッピングの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のマップ名のガイドラインに関する項を参照してください。

アカウントのCSFマッピングをOracle Privileged Account Managerに登録すると、アカウントのパスワードが変更されるたびに、Oracle Privileged Account Managerによって新しいパスワードを反映するように登録済のマッピングに対応するCSFエントリが更新され、アプリケーションはサービスを中断することなく動作し続けます。

注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。 Oracle Privileged Account ManagerとCSFの統合の詳細は、第8.3項「資格証明ストア・フレームワークとの統合」を参照してください。

また、アカウント・パスワードを定期的に反復するこれらのアプリケーションにパスワード・ポリシーを適用できます。パスワードを反復すると、アプリケーション・アカウントが常に最新の企業ポリシーに準拠し、安全であることが保証されます。Oracle Privileged Account Managerは、サービスを中断することなくこのタスクを実行します。

最後に、Oracle Privileged Account Managerでは、システム・アカウント(複数のエンド・ユーザーによって共有および使用される)とアプリケーション・アカウント(実行時にアプリケーションによってのみ使用される)の両方のアカウントが同時にサポートされることを意識しておくと役立ちます。この構成では、アクセス権を付与されている人間のエンド・ユーザーがアプリケーション・アカウントをチェックアウトし、アプリケーション機能を損なうことなくそのアプリケーションとして手動の管理操作を実行できます。

5.1.3.1.3 アカウントの共有

Oracle Privileged Account Managerでは、アカウントを共有するか共有しないかを指定できます。

• 共有アカウントでは、複数のユーザーが同時にアカウントをチェックアウトできます。

• 非共有アカウント(デフォルト)では、同時にアカウントをチェックアウトできるのは1人のユーザーのみです。

非共有アカウントの方が安全性が高いため、業務上やむを得ない理由がある場合にのみ、アカウントを共有として指定することをお薦めします。共有が必要な場合、必ず第2.4.2項「共有アカウントの保護」を参照してください。

注意: 共有アカウントを構成する場合、ユーザーは、アカウントのチェックイン後もパスワードを使用できることに注意してください。Oracle Privileged Account Managerでは、最後のユーザーがアカウントをチェックインするまでアカウント・パスワードはリセットされません。 これは、共有アカウントのセキュリティの制限です。

5.1.3.2 Oracle Privileged Account Managerへの特権アカウントの追加

注意: アカウントは常にターゲットに追加するため、アカウントを追加する前にターゲット・オブジェクトを追加する必要があります。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないでください。

新しい特権アカウントを追加する手順は次のとおりです。

1. アカウントを追加するターゲットを特定します。

   1. 「管理」アコーディオンで、「ターゲット」を選択します。

   2. 「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。

      結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表の「ターゲット名」のリンクをクリックしてターゲットを開きます。

3. 「ターゲット: TargetName」ページが表示されたら、「特権アカウント」タブを選択します。

4. 表のツールバーにある「追加」をクリックします。

   次の3つのサブタブを含む「アカウント: 無題」ページが表示されます。

   • 一般: アカウントを追加するために必要な情報の指定に使用します。

   • 権限付与: ユーザーおよびグループ(権限受領者)をアカウントに関連付けるために使用します。

   • 資格証明ストア・フレームワーク: アカウントの資格証明ストア・フレームワーク(CSF)のマッピングを追加または削除するために使用します。

   これらのタブと次の項にある手順を使用してアカウントを追加します。

   • アカウントの追加

   • 権限受領者の追加

   • CSFマッピングの追加

5. 終了したら、「保存」をクリックします。

5.1.3.2.1 アカウントの追加

新しいアカウントを追加するには、次のように「一般」タブの「ステップ1: ターゲットの設定」および「ステップ2: アカウントの追加」セクションの入力を完了する必要があります。

1. 「ターゲット名」が未定義の場合、検索アイコンをクリックします。

2. 「ターゲットの設定」ダイアログが表示されたら、「ターゲット名」フィールドに値を入力し、「検索」ボタンをクリックしてアカウントを追加するターゲットを特定します。

   たとえば、ターゲット名が「r」で始まることがわかっている場合、「ターゲット名」フィールドにrを入力して「検索」ボタンをクリックします。

3. 検索結果が検索結果表に表示されたら、ターゲット名の横にある「行」ボックスを選択して「設定」をクリックします。

   選択したターゲット名とそのターゲット・タイプが「一般」タブに表示されます。

4. 「ステップ2: アカウントの追加」セクションで、「アカウント名」が未定義の場合、検索アイコンをクリックします。

5. 「アカウントの設定」ダイアログが表示されたら、「アカウント名」フィールドに値を入力し、「検索」ボタンをクリックして追加するアカウントを特定します。

   たとえば、アカウント名が「s」で始まることがわかっている場合、「アカウント名」フィールドにsを入力して「検索」ボタンをクリックします。

   
   

   注意: 特権アカウントをlockboxターゲットに追加すると、「パスワード」フィールドもコンソールに表示されます。 Oracle Privileged Account Managerはlockboxターゲット上のアカウントを管理しないため、それらのアカウントのパスワードをリセットできません。ユーザーがそれらの特権アカウントをチェックアウトするときに使用するパスワードを提供する必要があります。 lockboxターゲットの詳細は、第5.1.2.1項「ターゲットとは」を参照してください。

   
   

6. 検索結果が検索結果表に表示されたら、アカウント名の横にある「行」ボックスを選択して「設定」をクリックします。

   
   

   注意: Oracle Privileged Account Managerの管理対象となる特権アカウントとして、ターゲットのサービス・アカウントを追加しないようにする必要があります。

   
   

   選択したアカウントが「一般」タブに「アカウント名」として表示されます。

7. 「共有アカウント」ボックスを選択すると、複数のユーザーでこのアカウントを同時にチェックアウトできます。

   
   

   注意: 詳細は、第5.1.3.1.3項「アカウントの共有」および第5.1.3.5項「特権アカウントのチェックアウト」を参照してください。

   
   

8. パスワード・ポリシーを指定します。

   
   

   注意: Oracle Privileged Account Managerでは、新規アカウントにデフォルト・パスワード・ポリシーが自動的に割り当てられます。ただし、新しいポリシーを作成できるのは、セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者です。 デフォルトのポリシー・セットのままにするか、「パスワード・ポリシー」ドロップダウン・メニューから別のポリシーを選択できます。 ポリシーの詳細は、第5.1.1項「ポリシーの使用」を参照してください。

   
   

9. 「テスト」をクリックし、これらの設定を使用してOracle Privileged Account Managerでアカウントを管理できることを確認します。

   アカウントの構成設定が有効な場合、「テストに成功しました」というメッセージが表示されます。

これで、アカウントに権限受領者とCSFマッピングを追加できます。詳細は、後続の項を参照してください。

5.1.3.2.2 権限受領者の追加

この項では、特権アカウントに権限受領者を追加するための手順について説明します。

注意: 権限受領者を追加、編集または削除するには、「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 新しいアカウントを追加しても、自動的にそのアカウントにアクセス権は付与されません。自分自身を権限受領者として追加するプロセスを完了する必要があります。 権限受領者をアカウントに追加する前に、第2.4.4項「複数パスを通じた割当ての回避」を確認してください。

ユーザーおよびグループを新しいアカウントに関連付けるには、「権限付与」タブを選択して次の手順を実行します。

• ユーザーを関連付けるには、「ユーザー」表のツールバーにある「追加」をクリックします。

  1. 「ユーザーの追加」ダイアログで、「ユーザー名」フィールドに名前を入力し、矢印アイコンをクリックしてそのユーザーを検索します。

  2. 検索結果が表示されたら、このアカウントに関連付ける各ユーザーを選択します。

  3. ユーザーの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。

     Oracle Privileged Account Managerはそれらのユーザー名を「権限付与」タブの「ユーザー」表に追加し、自動的にデフォルト使用ポリシーを割り当てます。異なるポリシーを「使用ポリシー」メニューから選択して割り当てることもできます。

• グループを関連付けるには、「グループ」表のツールバーにある「追加」をクリックします。

  1. 「グループの追加」ダイアログで、「グループ名」フィールドに名前を入力し、矢印アイコンをクリックしてそのグループを検索します。

  2. 検索結果が表示されたら、このアカウントに関連付ける各グループを選択します。

  3. グループの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。

     Oracle Privileged Account Managerはそれらのグループ名を「権限付与」タブの「グループ」表に追加し、自動的にデフォルト使用ポリシーを割り当てます。異なるポリシーを「使用ポリシー」メニューから選択して割り当てることもできます。

5.1.3.2.3 CSFマッピングの追加

Oracle Privileged Account Managerでは、Oracle資格証明ストア・フレームワーク(CSF)を使用してアカウント資格証明を安全に格納および同期化できます。この機能は、CSFに格納されたアプリケーション・パスワードのライフサイクルを管理するために便利です。

アカウントのCSF同期化を構成すると、Oracle Privileged Account Managerによって、割り当てられた使用ポリシーに基づいてアカウント・パスワードが変更されます。

注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。 CSFの詳細と、Oracle Privileged Account ManagerがCSF資格証明を管理する方法の詳細は、第8.3項「資格証明ストア・フレームワークとの統合」を参照してください。

アカウントにCSFマッピングを追加するには、次の手順を実行します。

1. 検索結果表の「アカウント名」のリンクを選択します。

2. 「アカウント: AccountName」ページが表示されたら、「資格証明ストア・フレームワーク」タブを選択します。

3. 「追加」をクリックします。

   各列に空のフィールドを含む新しい行が、表に表示されます。

4. 空のフィールドに次の情報を入力します。

   • 管理サーバーURL: protocol://listen-address:listen-portという書式でサーバーURLを入力します。

     たとえば、httpsプロトコルを使用しており、SSLポートが7002である場合、次のように入力します。

     https://localhost:7002

   • 「ユーザー名」および「パスワード」: Oracle WebLogic Server管理者のログイン資格証明を入力します。

     たとえば、weblogic/welcome1と入力します。

   • マッピング: CSFで作成したマップ名を入力します。

   • キー: CSFで作成した一意キーを入力します。

5. 「追加」を再度クリックして別のマッピングを作成します。必要な数だけCSFマッピングを作成できます。

6. 情報の追加が完了したら、「テスト」をクリックしてマッピングを検証します。

   ダイアログに成功メッセージまたはエラー・メッセージが表示されます。

5.1.3.3 特権アカウントの検索

次の1つ以上のパラメータを使用してアカウントを検索できます。

• アカウント名

• ターゲット・タイプ(すべて、ldap、unix、databaseまたはlockbox)

• ターゲット名

• ドメイン

• 説明

アカウントを検索する手順は次のとおりです。

1. 「管理」アコーディオンで、「アカウント」を選択します。

2. 「アカウント」タブが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。

   • たとえば、特定のターゲットにおけるすべてのアカウントのリストを検索するには、ターゲット名を「ターゲット名」フィールドに入力します。

   • 使用可能なすべてのアカウントを検索する場合は、検索パラメータを指定しません。

3. 「検索」をクリックします。

   検索結果表で検索結果を確認します。

   
   

   注意: 検索結果表の上にある「ステータス」メニューを使用すると、アカウント・ステータスに基づいて検索結果を制御できます。詳細は、第3.4.6項「検索結果表の使用」を参照してください。

   
   

4. 別の検索を実行するには、「リセット」をクリックします。

5.1.3.4 特権アカウントを開く

特権アカウントを開いて、そのアカウントの構成パラメータを表示または編集できます。

次のいずれかの方法を使用してアカウントを開きます。

• 検索結果表のアカウント名(アクティブ・リンク)をクリックします。

• アカウントの行番号を選択し、「アカウントを開く」をクリックします。

「アカウント: AccountName」ページが表示され、関連付けられたターゲット、一般的なアカウント・パラメータ、アカウントをチェックアウトしたユーザー、権限受領者およびCSFマッピングに関する情報にアクセスできます。

5.1.3.5 特権アカウントのチェックアウト

管理者またはエンド・ユーザーは、特権アカウントへのアクセス権を付与されている場合、そのアカウントをチェックアウトできます。(詳細は、第5.1.4項「権限受領者の使用」を参照してください。)

注意: アカウントを変更または削除するには、セキュリティ管理者管理ロールを持つ管理者である必要があります。

特権アカウントは、デフォルトでは共有されず、1人のユーザーがアカウントをチェックアウトすると、他のユーザーはそれを使用できなくなり、競合する操作が回避されます。ただし、管理者は、共有アカウントを構成することで、複数のユーザーが同時にそのアカウントをチェックアウトできるように設定できます。(詳細は、第5.1.3.1.3項「アカウントの共有」を参照してください。)

アカウントをチェックアウトする手順は次のとおりです。

1. 「管理」アコーディオンで、「マイ・アカウント」を選択します。

2. 「マイ・アカウント」ページの検索結果表で、チェックアウトするアカウントを特定します。

   • アカウントをチェックアウトできる場合、「アカウント・ステータス」が「チェック・イン済」で、「チェックアウト」ボタンが表示されます。

   • アカウントをチェックアウトできない場合、「アカウント・ステータス」が「チェックアウト済」で、「詳細情報」ボタンが表示されます。

     追加情報を表示する場合は、「詳細情報」ボタンをクリックします。

   図5-1 チェックアウトできるアカウント

   
   
   
   

   注意: どのユーザーのアカウントがチェックアウトされているかを確認するには、アカウント名を選択します。「アカウント: AccountName」ページが表示されたら、「現在の予約」表で、それらのユーザーのリスト、チェックアウト日および有効期限日を確認します。

   
   

3. 「チェックアウト」ボタンをクリックします。

4. 「アカウントのチェックアウト」ダイアログに、アカウント名、ターゲット名および空白の「コメント」フィールドが表示されます。必要に応じてコメントを入力し、「チェックアウト」をクリックします。

   「アカウントのチェックアウト - 成功」ダイアログが表示されます。このダイアログには、暗号化されたパスワードが含まれます。「パスワードの表示」ボックスをクリックすると、このパスワードをクリアテキストで表示できます。

5. 「閉じる」をクリックしてダイアログを閉じ、検索結果表に戻ります。

   • 非共有アカウントの場合、「アカウント・ステータス」は「チェックアウト済」に変更され、「チェックアウト」ボタンは「チェックイン」ボタンに変化し、Oracle Privileged Account Managerによって「マイ・チェックアウト済アカウント」ページにそのアカウントがリストされます。

   • 共有アカウントの場合、「アカウント・ステータス」は「使用可能」のままで、「チェックアウト」ボタンも引き続き表示され、Oracle Privileged Account Managerによって「マイ・チェックアウト済アカウント」ページにそのアカウントがリストされます。

注意: Oracle Privileged Account Managerコマンドライン・ツールまたはRESTfulインタフェースを使用してアカウントをチェックアウトすることもできます。 コマンドライン・ツールを使用するには、第A.2.7項「checkoutコマンド」を参照してください。 RESTfulインタフェースを使用するには、第B.4.12項「アカウントのチェックアウト」を参照してください。

5.1.3.6 特権アカウントのチェックイン

どの管理者またはエンド・ユーザーでも、チェックアウトされたアカウントをチェックインできます。また、「ユーザー・マネージャ」管理ロールを持つ管理者は、必要に応じてアカウントを強制的にチェックインできます。

通常のチェックイン

アカウントをチェックインする手順は次のとおりです。

1. 「ホーム」アコーディオンの「マイ・チェックアウト済アカウント」を選択します。

   検索結果表にすべてのチェックアウト済アカウントがリストされた「マイ・チェックアウト済アカウント」ページが表示されます。

2. チェックインする1つ以上のアカウントを選択します。

3. 表の上にある「チェックイン」オプションがアクティブになったら、そのアイコンをクリックします。

4. 「アカウントのチェックイン」ダイアログが表示されたら、「チェックイン」ボタンをクリックします。

   チェックインに成功すると、Oracle Privileged Account Managerによってアカウント名が「マイ・チェックアウト済アカウント」表から削除され、そのアカウントは再度チェックアウトできるようになります。

強制的なチェックイン

強制的にアカウントをチェックインする手順は次のとおりです。

1. 「管理」アコーディオンの「アカウント」を選択し、第5.1.3.3項「特権アカウントの検索」の説明に従ってアカウントを検索します。

2. チェックインするアカウントを選択します。

3. 表の上にある「強制的チェックイン」オプションがアクティブになったら、そのアイコンをクリックします。

   アカウントのチェックインを確認する「強制的チェックインの確認」ダイアログが表示されます。強制的チェックインを実行すると、現在そのアカウントをチェックアウトしているすべてのユーザーがログアウトされます。

4. 「チェックイン」ボタンをクリックして処理を続行します。

   チェックインが成功した場合、そのアカウントは再びチェックアウト可能になります。

注意: Oracle Privileged Account Managerコマンドライン・ツールまたはRESTfulインタフェースを使用してアカウントをチェックインすることもできます。 コマンドライン・ツールを使用するには、第A.2.7項「checkoutコマンド」を参照してください。 RESTfulインタフェースを使用するには、第B.4.13項「アカウントのチェックイン」を参照してください。

5.1.3.7 アカウント・パスワードの管理

Oracle Privileged Account Managerには、アカウント・パスワードを管理するための2つのオプションがあります。

• アカウント・パスワードの表示

• アカウント・パスワードのリセット

注意: Oracle Privileged Account Managerコマンドライン・ツールを使用して、2つのパスワード管理操作を実行することもできます。手順については、A.2.44項「showpasswordコマンド」およびA.2.31項「resetpasswordコマンド」を参照してください。 Oracle Privileged Account Managerでは、両方のタイプのパスワード管理操作が監査され、パスワード・アクセスが追跡されます。

5.1.3.7.1 アカウント・パスワードの表示

必要に応じ、検索結果表の上にある「パスワードの表示」オプションを使用して、チェックアウトしたアカウントのパスワードを表示できます。たとえば、パスワードを忘れた場合、この機能を使用してそのパスワードを再表示できます。

どのユーザーでも、「パスワードの表示」を使用して、自分がチェックアウトしたアカウントの現在のパスワードを確認できます。ただし、アカウントをチェックインした後にパスワードにアクセスすることや、他のユーザーがチェックアウトしたアカウントのパスワードを表示することはできません。このような場合、「パスワードの表示」をクリックするとエラーが発生します。

注意: セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者は、システムおよびターゲットのすべてのサービス・アカウントにアクセスできますが、この機能を使用することで、チェックアウトした特権アカウントとチェックインした特権アカウントの両方の現在のパスワードを表示できます。 他のユーザーが、異なるドメイン内にある別のOracle Privileged Account Managerインスタンスなど、現在のOracle Privileged Account Managerインスタンスではない場所からターゲットのサービス・アカウント・パスワードを変更した場合、「パスワードの表示」機能を使用しても、新規パスワードは表示できず、ターゲットへの接続も失敗します。 この問題を解決するには、Oracle Privileged Account Manager内で、コンソールまたはコマンドラインを使用してターゲットを編集することによって、パスワードを更新する必要があります。

アカウント・パスワードを表示するには、次の手順を実行します。

1. 特権アカウントがチェックアウトされていることを確認します。

   
   

   注意: 通常のユーザーの場合、すでにチェックインされているアカウントのパスワードを表示しようとすると、エラーが返されます。 ただし、セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者の場合、このコマンドを使用して、チェックアウトしたアカウントとチェックインしたアカウントの両方のパスワードをリセットできます。

   
   

2. 「管理」アコーディオンで、「アカウント」を選択します。

3. 「アカウント」タブが表示されたら、検索ポートレットを使用してアカウントを検索します。

4. アカウントの行番号を選択し、「パスワードの表示」をクリックします。

   「現在のパスワード」ダイアログが表示され、次の情報が提供されます。

   • アカウント名

   • パスワード

5. 完了したら、「閉じる」をクリックします。

5.1.3.7.2 アカウント・パスワードのリセット

必要に応じ、「パスワードのリセット」オプションを使用して、チェックアウトしたアカウントの既存のパスワードを手動でリセットできます。

セキュリティ管理者は、ランダム化されたパスワード生成を使用しない場合、任意のパスワードを手動で設定できます。たとえば、管理者は、システム・アップグレード時などに1回かぎりで使用するため、簡単に入力できる単純なパスワードを設定できます。

アカウント・パスワードをリセットするには、次の手順を実行します。

1. 特権アカウントがチェックアウトされていることを確認します。

   
   

   注意: 通常のユーザーの場合、すでにチェックインされているアカウントのパスワードをリセットしようとすると、エラーが返されます。 ただし、セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者の場合、このコマンドを使用して、チェックアウトしたアカウントとチェックインしたアカウントの両方のパスワードをリセットできます。

   
   

2. 「管理」アコーディオンで、「アカウント」を選択します。

3. 「アカウント」タブが表示されたら、検索ポートレットを使用してアカウントを検索します。

4. アカウントの行番号を選択し、「パスワードのリセット」をクリックします。

   「パスワードのリセット」ダイアログが表示され、アカウント・パスワードに関する次の情報が提供されます。

   • アカウント名

   • ターゲット名

   このダイアログには、「新規パスワード」フィールドも含まれます。

5. 提供されたスペースにパスワードを入力し、「保存」をクリックします。

   任意のパスワード文字列を使用できます。文字列は、Oracle Privileged Account Managerのパスワード・ポリシーに準拠している必要はありません(パスワード・ポリシーはランダム化されたパスワード生成に使用されるため)。

   選択したアカウントの名前と新規パスワードを含むメッセージが表示されます。

5.1.3.8 Oracle Privileged Account Managerからの特権アカウントの削除

「アカウントの検索」ページまたは「ターゲット」ページを使用して、Oracle Privileged Account Managerから特権アカウントを削除できます。

警告: 特権アカウントを削除すると、Oracle Privileged Account Managerに格納されている、そのアカウントに関する情報もすべて削除されます。 特権アカウントを削除する前に、まずそのアカウントからすべての関連情報を取得する必要があります。たとえば、その特権アカウントに関連付けられている現在のパスワードを保存します。

「アカウントの検索」ページでは次の操作を実行します。

「アカウントの検索」ページからアカウントを削除するには、次の手順を実行します。

1. 削除するアカウントを特定します。

   1. 「管理」アコーディオンで、「アカウント」を選択します。

   2. 「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。

      結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表で、削除するアカウントを選択して「削除」をクリックします。

3. 終了したら、ページの上部にある「適用」ボタンをクリックします。

「ターゲット」ページでは次の操作を実行します。

ターゲットからアカウントを削除するには、次の手順を実行します。

1. アカウントを削除するターゲットを特定します。

   1. 「管理」アコーディオンで、「ターゲット」を選択します。

   2. 「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。

      結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表のターゲット名をクリックし、そのターゲットを開きます。

3. 「特権アカウント」タブを選択します。

4. 検索結果表で、削除するアカウントを選択して「削除」をクリックします。

5. 終了したら、ページの上部にある「適用」ボタンをクリックします。

5.1.4 権限受領者の使用

この項では、Oracle Privileged Account Managerで権限受領者を使用する場合に実行できる様々なタスクについて説明します。

注意: 権限受領者を追加、編集または削除するには、「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

内容は次のとおりです。

• 権限受領者とは

• ユーザーへのアカウントの付与

• グループへのアカウントの付与

• 権限受領者の検索

• 権限受領者を開く

• アカウントからの権限受領者の削除

5.1.4.1 権限受領者とは

権限受領者とは、Oracle Privileged Account Manager管理者によって管理される特権アカウントに対するアクセス権を付与されたIDストア内のユーザーまたはグループです。ユーザーは、特権アカウントに対するアクセス権を付与されていない場合、そのアカウントをチェックアウトできません。

Oracle Privileged Account Managerは、次の順序で権限付与を評価します。

1. ユーザーがアカウントへのアクセスおよびチェックアウトを試みると、Oracle Privileged Account Managerは、そのユーザーに対する権限付与を検索します。Oracle Privileged Account Managerがユーザーの権限付与を検出した場合、ユーザーはその権限付与とそれに関連付けられた使用ポリシーに基づいて、アカウントのチェックアウトを許可されます。

2. Oracle Privileged Account Managerは、ユーザーの権限付与を検出しなかった場合、グループの権限付与を検索します。ユーザーは複数のグループのメンバーになることができます。Oracle Privileged Account Managerが、ユーザーが属するいずれかのグループの権限付与を検出した場合、ユーザーはそのグループの権限付与とそれに関連付けられた使用ポリシーに基づいて、アカウントのチェックアウトを許可されます。

3. ユーザーが複数のグループのメンバーであり、そのうち2つ以上のグループの権限付与が使用可能である場合、Oracle Privileged Account Managerは、一致するいずれかのグループの権限付与を実行時に選択できます。複数のグループの権限付与のうち、Oracle Privileged Account Managerが実行時にどれを選択するかを決定論的に述べることはできません。

4. Oracle Privileged Account Managerがユーザーの権限付与またはグループの権限付与を検出できなかった場合、ユーザーのアクセスは拒否されます。

注意: 特権アカウントをユーザーまたはグループに付与する前に、第2.4.4項「複数パスを通じた割当ての回避」を確認してください。

5.1.4.2 ユーザーへのアカウントの付与

特権アカウントに対するアクセス権を付与するには、次の手順を実行します。

1. アクセス権を付与するアカウントを特定します。

   1. 「管理」アコーディオンで、「アカウント」を選択します。

   2. 「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。

      結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表でそのアカウント名を選択します。

   「一般」、「権限付与」および「資格証明ストア・フレームワーク」タブが表示されます。

3. 「権限付与」タブを選択します。

   このアカウントにすでに関連付けられているユーザーがいる場合、その名前が「ユーザー」領域の表にリストされます。

4. 「追加」をクリックして「ユーザーの追加」ダイアログを開きます。

5. 「ユーザーの追加」ダイアログで、ユーザー名の全部または一部を入力して矢印アイコンをクリックし、追加するユーザー名を検索します。

   たとえば、sec_adminユーザーにアクセス権を付与する場合、このフィールドにsecと入力すると、これらの文字を含む既存のユーザー名が検索結果に表示されます。

6. 1つ以上のユーザー名を選択し、「追加」をクリックして、それらのユーザーを権限受領者にします。

7. 「Close」をクリックしてダイアログを閉じます。

   新規ユーザーの名前が「ユーザー」表に表示されます。

注意: この時点で、デフォルト使用ポリシーがユーザーに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのユーザーに別のポリシーを選択できます。

5.1.4.3 グループへのアカウントの付与

特権アカウントに対するアクセス権を付与するには、次の手順を実行します。

1. アクセス権を付与するアカウントを特定します。

   1. 「管理」アコーディオンで、「アカウント」を選択します。

   2. 「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。

      結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。

2. 検索結果表のアカウント名を選択します。

   「一般」、「権限付与」および「資格証明ストア・フレームワーク」タブが表示されます。

3. 「権限付与」タブを選択します。

   このアカウントにすでに関連付けられているグループがある場合、その名前が「グループ」領域の表にリストされます。

4. 「追加」をクリックして「グループの追加」ダイアログを開きます。

5. 「グループの追加」ダイアログで、グループ名の全部または一部を入力して矢印アイコンをクリックし、追加するグループ名を検索します。

   たとえば、OPAM_USER_MANAGERグループにアクセス権を付与する場合、このフィールドにopamと入力すると、これらの文字を含む既存のグループ名が検索結果に表示されます。

6. 1つ以上のグループ名を選択し、「追加」をクリックして、それらのグループを権限受領者にします。

7. 「Close」をクリックしてダイアログを閉じます。

   新規グループの名前が「グループ」表に表示されます。

注意: この時点で、デフォルト使用ポリシーがグループに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのグループに別のポリシーを選択できます。

5.1.4.4 権限受領者の検索

管理者権限を持っている場合、次の手順を実行して権限受領者を検索できます。

1. 「管理」アコーディオンで、「ユーザー権限受領者」または「グループ権限受領者」を選択します。

2. 「ユーザー権限受領者」または「グループ権限受領者」タブが表示されたら、検索ポートレットを使用して検索を構成します。

   • 特定の権限受領者を検索するには、その名前を「ユーザー名」または「グループ名」フィールドに入力します。たとえば、OPAM_USER_MANAGERグループを検索するには、「グループ名」フィールドにopamと入力します。

   • 使用可能なすべての権限受領者を検索する場合は、検索パラメータを指定しません。

3. 「検索」をクリックします。

   検索結果表で検索結果を確認します。

4. 別の検索を実行するには、「リセット」をクリックします。

5.1.4.5 権限受領者を開く

権限受領者を開いて、そのユーザーまたはグループ権限受領者の情報を表示できます。

次のいずれかの方法を使用して、「権限付与」タブから権限受領者を開きます。

• 検索結果表のユーザー名またはグループ名(アクティブ・リンク)をクリックします。

• ユーザーまたはグループの行番号を選択し、「開く」アイコンをクリックします。

「ユーザー: UserName」または「グループ: GroupName」ページが開き、その権限受領者に関する情報と、アクセス権が付与された特権アカウントを確認できます。

5.1.4.6 アカウントからの権限受領者の削除

アカウントから1つ以上の権限受領者を削除するには、次の手順を実行します。

1. アカウントを開いて「権限付与」タブを選択します。

2. 検索結果表で、ユーザーまたはグループの行番号を選択します。

3. 「削除」アイコンをクリックします。

4. 削除を確認するプロンプトが表示されたら、「削除」ボタンをクリックして続行します(または、「取消」をクリックして操作を終了します)。

   プロンプトが閉じ、ユーザーまたはグループが表から削除されます。

5.1.5 レポートの使用

Oracle Privileged Account Managerレポートは、Oracle Privileged Account Managerが管理しているアカウントおよびターゲットの現在のステータスに関する情報を提供するリアルタイム・レポートです。

注意: Oracle Privileged Account Managerレポートを開いて確認するには、「セキュリティ監査者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

この項の内容は次のとおりです。

• デプロイメント・レポートの使用

• 使用状況レポートの使用

• エラー・レポートの使用

レポートを表示するには、「レポート」アコーディオンを開いて「レポート」リンクをクリックします。レポート情報が右側の「レポート」ページに表示されます。

5.1.5.1 デプロイメント・レポートの使用

「デプロイメント・レポート」リンクを選択すると、ターゲットおよび特権アカウントが現在どのようにデプロイされているかに関する情報が表示されます。

デプロイメントに関する情報は、次のポートレットに分類されます。

• 「ターゲットとアカウントのデプロイメント」表: ターゲットのリストがそのターゲット・タイプおよびホスト名とともに表示されます。ターゲット名の横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。

  
  

  ヒント: 「ターゲット/アカウント」列のリンクをクリックすると、そのターゲットまたはアカウントの構成ページを表示できます。

  
  

• ターゲット分布: このポートレットには、ターゲットが現在のデプロイメント内にどのように分布しているかが示されます。

• アカウント分布: このポートレットには、アカウントが現在のデプロイメント内にどのように分布しているかが組織別に示されます。

「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」メニューを使用すると、すべてのターゲットを表示したり、結果をフィルタして特定のターゲットを表示することができます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でターゲットとアカウントの分布を表示できます。

5.1.5.2 使用状況レポートの使用

「使用状況レポート」リンクを選択すると、デプロイメントで特権アカウントが現在どのように使用されているかに関する情報が表示されます。

この使用情報は、次のポートレットに分類されます。

• アカウント使用状況: このポートレットには、ターゲット、ターゲット・タイプ、ホスト名および最終チェックアウト日のリストが表示されます。ターゲット名の横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。

• チェックアウト済アカウント: このポートレットには、デプロイメント内でチェックアウトされているターゲットが表示されます。

「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」を選択すると、現在チェックアウトされているアカウントまたは過去1時間、1日、1週間以内にチェックアウトされたアカウントを表示できます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でレポート情報を表示できます。

5.1.5.3 エラー・レポートの使用

「エラー・レポート」には、ターゲットおよびアカウントの失敗の、現在の状態に関する情報が表示されます。

ターゲットまたはアカウントの失敗に関する情報は、次のポートレットに分類されます。

• ターゲットおよびアカウントの失敗: このポートレットには、ターゲット、ターゲット・ステータス、最終エラー・メッセージおよび最終失敗日のリストが表示されます。ターゲットの横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。

• ターゲットの失敗: このポートレットには、デプロイメント内のターゲットの失敗が示されます。

• アカウントの失敗: このポートレットには、デプロイメント内のアカウントの失敗が示されます。

「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」を選択すると、過去24または48時間、過去1週間、過去30日間に発生したエラーを表示できます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でレポート情報を表示できます。

5.1.6 Oracle Privileged Account Managerの再ブランド化

必要に応じて、ログイン・ページとOracle Privileged Account Managerページを再ブランド化できます。次のトピックには、これらのページのページ・タイトル、ブランド・テキストおよびロゴ・イメージを変更するための手順が含まれます。

• ログイン・ページのカスタマイズ

• Oracle Privileged Account Managerページのカスタマイズ

ヒント: ファイルを変更する前に、それらのバックアップ・コピーを作成します。

5.1.6.1 ログイン・ページのカスタマイズ

ログイン・ページのブランド変更は、oinav.ear/oiNavApp-war.war/SignIn.jspxファイル内で構成します。

ログイン・ページのタイトル

ログイン・ページのタイトルを変更するには、af:document "#{signinBean.signInTitle}"内のタイトルを変更します。

次のサンプル・コードを参照してください。

<af:document id="d1" title="#{signinBean.signInTitle}" theme="dark"
 initialFocusId="pt1:_pt_it1">

ログイン・ページのブランド・テキスト

ログイン・ページのブランド・テキストを変更するには、ブランド・ファセット内で定義されるaf:outputText "#{signinBean.title}"の値を変更します。

次のサンプル・コードを参照してください。

<f:facet name="branding">
  <af:outputText value="#{signinBean.title}" id="ot1"/>
</f:facet>

ログイン・ページのロゴ・イメージ

ログイン・ページのロゴ・イメージを変更するには、次の手順を実行します。

1. 新規イメージ(newlogo.pngなど)を次のディレクトリにコピーします。

   oinav.ear/oiNavApp-war.war/images
   

2. デフォルトのロゴをスキップするために、次の行をoinav.ear/oiNavApp-war.war/SignIn.jspxファイルに追加します。

   <f:attribute name="brandingLogoCls" value=""/>
   

3. 新規ロゴのイメージ・サイズがデフォルト・サイズの30を超える場合は、次の行を追加してヘッダーのサイズを調整します。

   <f:attribute name="globalBrandingSize" value="60"/>
   

4. newlogo.png、newlogo mouse over textおよびnew branding textを置換することによって、ブランド・ファセットを変更します。

   次のサンプル・コードを参照してください。

   <f:facet name="branding">
     <af:panelGroupLayout layout="horizontal">
       <af:image source="/images/newlogo.png" shortDesc="newlogo mouse over text" id="im1"/>
       <af:spacer width="5"/>
       <af:outputText value="new branding text" id="ot1"/>
     </af:panelGroupLayout>
   </f:facet>
   

5.1.6.2 Oracle Privileged Account Managerページのカスタマイズ

Oracle Privileged Account Managerページのブランド変更は、oinav.ear/oiNavApp-war.war/opam.jspxファイル内で構成します。

Oracle Privileged Account Managerページのタイトル

Oracle Privileged Account Managerページのページ・タイトルを変更するには、af:document "#{resBundle.PRODUCT_OPAM}"内のタイトルを変更します。

次のサンプル・コードを参照してください。

<af:document title="#{resBundle.PRODUCT_OPAM}" id="d1" theme="contentBody">

Oracle Privileged Account Managerのブランド・テキスト

Oracle Privileged Account Managerページのブランド・テキストを変更するには、ブランド・ファセット内で定義されるaf:outputText "#{resBundle.OPAM_PRODUCT_TITLE}"の値を変更します。

次のサンプル・コードを参照してください。

<f:facet name="branding">
  <af:outputText value="#{resBundle.OPAM_PRODUCT_TITLE}" id="ot1"/>
</f:facet>

Oracle Privileged Account Managerページのロゴ・イメージ

Oracle Privileged Account Managerページのロゴ・イメージを変更するには、次の手順を実行します。

1. 新規イメージ(newlogo.pngなど)を次のディレクトリにコピーします。

   oinav.ear/oiNavApp-war.war/images
   

2. デフォルトのロゴをスキップするために、次の行をoinav.ear/oiNavApp-war.war/opam.jspxファイルに追加します。

   <f:attribute name="brandingLogoCls" value=""/>
   

3. 新規ロゴのイメージ・サイズがデフォルト・サイズの30を超える場合は、次の行を追加してヘッダーのサイズを調整します。

   <f:attribute name="globalHeaderSize" value="30"/>
   

4. newlogo.png、newlogo mouse over textおよびnew branding textを置換することによって、ブランド・ファセットを変更します。

   次のサンプル・コードを参照してください。

   <f:facet name="branding">
     <af:panelGroupLayout layout="horizontal">
       <af:image source="/images/newlogo.png" shortDesc="newlogo mouse over text" id="im1"/>
       <af:spacer width="5"/>
       <af:outputText value="new branding text" id="ot1"/>
     </af:panelGroupLayout>
   </f:facet>
   

5.2 セルフサービスの使用

この項では、Oracle Privileged Account Managerを使用するセルフサービス・ユーザーの操作手順について説明します。

内容は次のとおりです。

• セルフサービスのワークフロー

• アカウントの表示

• アカウントの検索

• アカウントのチェックアウトおよびチェックイン

• チェックアウトしたアカウントの表示

• パスワードの表示

5.2.1 セルフサービスのワークフロー

この項では、セルフサービス・ユーザーの基本ワークフローについて説明します。

1. アカウントの表示

2. アカウントの検索

3. アカウントのチェックアウト

4. チェックアウトしたアカウントの表示

5. アカウントのチェックイン

5.2.2 アカウントの表示

自分が現在権限受領者になっているすべてのアカウントのリストを表示するには、「ホーム」アコーディオンの「マイ・アカウント」を選択し、「検索」をクリックします。

「マイ・アカウント」ページがリフレッシュされ、すべてのアカウントが検索結果表にリストされます。このページでは、次の操作を実行できます。

• アカウント・ステータス、関連付けられたターゲット名、ターゲット・タイプおよびドメインの表示。

• アカウントを開くことによる、関連付けられたターゲット、アカウントおよびパスワード・ポリシーに関する情報の確認。アカウントを現在チェックアウトしているユーザーのリストも表示できます。

• アカウントのチェックアウトとチェックイン。

• アカウント・リストをフィルタ処理して表に表示することによる、すべてのアカウント(デフォルト)、チェックインしたアカウントまたはチェックアウトしたアカウントの表示。

• アカウントの検索。

5.2.3 アカウントの検索

アカウントを検索するには、第5.1.3.3項「特権アカウントの検索」の手順に従ってください。

5.2.4 アカウントのチェックアウトおよびチェックイン

自分に付与されている特権アカウントをチェックアウトするには、第5.1.3.5項「特権アカウントのチェックアウト」を参照してください。

アカウントを再度チェックインするには、第5.1.3.6項「特権アカウントのチェックイン」の手順に従ってください。

5.2.5 チェックアウトしたアカウントの表示

現在チェックアウトしているすべてのアカウントのリストを表示するには、「ホーム」アコーディオンの「マイ・チェックアウト済アカウント」を選択します。

検索結果表にすべてのチェックアウト済アカウントがリストされた「マイ・チェックアウト済アカウント」ページが表示されます。

5.2.6 パスワードの表示

「マイ・アカウント」ページまたは「マイ・チェックアウト済アカウント」ページの検索結果表の上にある「パスワードの表示」オプションを使用して、選択したアカウントのパスワードを表示できます。

アカウント名を選択し、「パスワードの表示」をクリックします。「現在のパスワード」ダイアログに、アカウント名とパスワードが表示されます。完了したら、「閉じる」をクリックします。

5.3 テスト環境から本番環境への移行

ある環境から別の環境にOracle Fusion Middlewareコンポーネントを移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のテスト環境から本番環境への移動に関する項を参照してください。

Oracle Privileged Account Managerを含むIdentity Managementコンポーネントをテスト環境から本番環境に移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のターゲット環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。