| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerの概要について説明します。この章の内容は次のとおりです。
Oracle Privileged Account Managerは、他のOracle Identity Managementコンポーネントによって管理されていない特権アカウントを管理します。
アカウントは、機密データにアクセスできる場合、機密データへのアクセス権を付与できる場合、またはそのデータへのアクセスとアクセス権付与の両方ができる場合に特権とみなされます。特権アカウントは、企業の最も強力なアカウントであり、頻繁に共有されます。
アカウントは、昇格された権限に関連付けられている場合、複数のエンド・ユーザーによってタスク別に使用される場合、制御および監査を受ける必要がある場合にOracle Privileged Account Managerによる管理の候補になります。
たとえば、次のアカウントにはセキュリティが必要であり、コンプライアンス規制を受ける可能性があります。
UNIX root、Windows管理者およびOracle Database SYSDBAシステム・アカウント
アプリケーション・アカウント(人事管理アプリケーションへの接続時にアプリケーション・サーバーによって使用されるデータベース・ユーザー・アカウントなど)
共有および昇格された従来の特権ユーザー・アカウント(システム管理者やデータベース管理者など)
管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。
Oracle Privileged Account Managerでは、通常、共有および昇格された特権アカウントを管理しますが、管理者はこれを使用して任意のタイプのアカウントのパスワードを管理することもできます。たとえば、ある従業員が長期休暇に入り、その従業員の電子メール・アカウントを使用して別の従業員がシステムにアクセスすることを許可する業務上の理由がある場合、Oracle Privileged Account Managerによってその権限を管理できます。
Oracle Privileged Account Managerによって、従来はいくつかの理由により管理が困難であった特権アカウントおよびパスワードを管理し、そのセキュリティを向上できます。
まず、特権アカウントには、一般的に通常のユーザー・アカウントより多くのアクセス権が付与されています。これらのアカウントは1人の特定の従業員に関連付けられていないことが多く、既存のツールやプロセスによる監査は困難であることが普通です。その結果、従業員が会社を退社すると、まだ使用できる特権アカウントのパスワードがそのまま残される可能性があり、コンプライアンスおよびセキュリティ上の非常に深刻な問題となります。
また、特権アカウントのパスワードを定期的に変更することは困難です。多くのユーザーがそのアカウントに依存している場合、パスワードを変更してユーザー全員に通知するには、調整のための作業が必要です。
最後に、パスワードへのアクセスを制御できなくなるため、パスワードを集中管理された場所や典型的な場所(LDAPなどの外部リポジトリやアプリケーション構成ファイルなど)に格納することは避けるのが普通です。
Oracle Privileged Account Managerは、次の機能を提供するため、特権アカウントとパスワードを安全に管理するための完全なソリューションとなります。
特権および共有アカウントのための集中管理されたパスワード管理(UNIXおよびLinuxのrootアカウント、Oracle Database SYSDBA、アプリケーション・アカウントおよびLDAP管理者アカウントを含む)
対話的なポリシーベースのアカウントのチェックアウトおよびチェックイン
Oracle Privileged Account Managerでは、認可されたすべてのユーザーは、アカウントを使用前にチェックアウトし、作業終了後にそのアカウントをチェックインする必要があります。Oracle Privileged Account Managerは、任意の時点におけるすべての共有管理者ユーザーの実際の身元(そのユーザーの名前)を追跡することで、アカウントのチェックアウトとチェックインを監査します。この情報を使用することで、Oracle Privileged Account Managerでは、どのユーザーが何に、いつ、どこでアクセスしたのかを示す完全な監査証跡を提供できます。
アイデンティティ・コネクタ・フレームワーク(ICF)を使用した自動パスワード変更
Oracle Privileged Account Managerは、パスワードのチェックアウト時およびチェックイン時にパスワードを変更します(そのように構成されている場合)。したがって、ユーザーがあるパスワードをチェックアウトし、その後チェックインすると、そのユーザーは前にチェックアウトしたパスワードを使用できなくなります。
また、Oracle Privileged Account Managerは、アプリケーションの特権アカウントのパスワードを、それらのアプリケーションを変更することなく(90日ごとなどの)指定した間隔で変更でき、各パスワードをターゲット・システム上で同期化します。たとえば、Oracle Privileged Account Managerは、サービスとスケジュール済タスクの資格証明を更新できます。
ユーザー管理、グループ管理およびワークフロー機能(Oracle Identity Managerとの統合による)
Oracle Privileged Account ManagerはOracle Identity Managerとシームレスに統合されているため、Oracle Privileged Account ManagerはこのOracle Identity Management製品を使用して、企業の特権アカウントに関連付けられているユーザーとグループを管理できます。また、Oracle Identity Managerで提供されるリクエスト・レベルの承認ワークフロー、運用レベルの承認ワークフローおよびプロビジョニング・ワークフローを通じて、適切なグループとユーザーのみが特権アカウントにアクセスできるようにOracle Privileged Account Managerを構成できます。
Oracle Privileged Account Managerの主要機能は次のとおりです。
次を含む複数のアクセス・ポイント
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソールと呼ばれる)
コンソールには次の2つのインタフェースが関連付けられています。
管理者: Oracle Privileged Account Manager管理者は、このインタフェースを使用してポリシー、ターゲット、アカウント、権限付与およびレポートを管理します。
セルフサービス: Oracle Privileged Account Managerエンド・ユーザーは、このインタフェースを使用して、アカウントを検索、表示、チェックアウトおよびチェックインします。
詳細は、第3.4項「Oracle Privileged Account Managerのコンソールのナビゲート」を参照してください。
Oracle Privileged Account Managerのコマンドライン・ツール(CLI)
CLIを使用すると、コンソールから実行するタスクのほとんどを実行できます。たとえば、CLIを使用して、アカウントのチェックアウトとチェックイン、ポリシー、ターゲット、アカウントおよび権限付与の作成と管理を実行できます。
詳細は、付録A「コマンドライン・ツールの使用」を参照してください。
RESTful API
Oracle Privileged Account Managerは、RESTful APIを使用して、内部機能をアプリケーションとスクリプトに公開します。これらのAPIでは、Oracle Privileged Account Managerによって提供される機能との統合が必要なサードパーティが利用できる統合ポイントも提供されます。
|
注意: これらのAPIは、Representative State Transfer (REST)標準に準拠しているため、RESTfulと見なされます。 詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
アイデンティティを認証してOracle Privileged Account Managerのユーザー・インタフェースからOracle Privileged Account Managerサーバーに伝播するためのOracle Platform Security Services (OPSS)トラスト・サービス
ターゲット・システムに接続し、各システムにおける特権アカウントのパスワードの検出または更新(あるいはその両方)を行うためのアイデンティティ・コネクタ・フレームワーク(ICF)
また、ICFはオープン標準であるため、オラクル社がまだICFコネクタを作成していない他のタイプのターゲットに対しても独自のコネクタを記述できます。
ICFおよび独自コネクタ開発の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項およびJavaを使用したアイデンティティ・コネクタの開発に関する項または.Netを使用したアイデンティティ・コネクタの開発に関する項を参照してください。
次を含む複数のターゲット・タイプのサポート
UNIXおよびLinuxオペレーティング・システム
Oracle、MSSQL、MySQLおよびSybaseデータベース
LDAP v3に準拠したディレクトリ
拡張レポート機能
Oracle Privileged Account Managerのすぐに使用可能な監査レポートは、Oracle Business Intelligence Publisher 11g (BI Publisher)に統合されているため、特権アカウントを使用しているユーザーを確認できます。また、BI Publisherでは、データ・ソースが異なる書式設定されたレポートを作成および管理できます。
Oracle Fusion Middleware監査フレームワークは、集中管理されたデータベースに監査イベントを記録します。Oracle Privileged Account Managerでは、これらのイベントを使用して監査レポートを生成します。
特権アカウントのアクセスに関連するイベントは、監査とアテステーションのためにOracle Identity ManagerおよびOracle Identity Analyticsに収集されます。
特権アカウントに対するポリシー・ドリブン・アクセス
Oracle Privileged Account Managerには、特権アカウントへのアクセス権の付与を目的とした、次の2つのタイプのポリシーがあります。
パスワード・ポリシー: このポリシー・タイプは、関連する特権アカウントに対して特定のターゲットによって実施されるパスワード構成ルールを取得します。たとえば、アカウントのパスワードに使用する数字の最小および最大数を指定できます。また、パスワード・ポリシーを使用して、Oracle Privileged Account Managerが特権アカウントのパスワードをリセットするために使用するパスワード値を作成します。
使用ポリシー: このポリシー・タイプは、ユーザーまたはグループが特権アカウントにアクセスできる時期と頻度を定義します。
|
注意: 使用ポリシーを使用して時間間隔を指定しなかった場合、ユーザーまたはグループはいつでも(毎日どの時間でも)特権アカウントにアクセスできます。 |
有人アカウントは、特定のグループまたはユーザーに割り当てられたアカウントです。
無人アカウントは、エンド・ユーザーによって使用されないアカウントです。
たとえば、Oracle Privileged Account ManagerはOPAMサービス・アカウントという無人アカウントを使用して、ターゲット・システムへの接続とその管理を実行します。このアカウントは、Oracle Privileged Account Manager関連のすべての操作(アカウントの検出やパスワードのリセットなど)をそのターゲット・システムで実行するため、OPAMサービス・アカウントにはいくつかの特別な権限とプロパティを付与する必要があります。
また、Oracle Privileged Account Managerは、CSFマッピング(アプリケーションが実行時にCSFを使用してパスワードを取得することを可能にします)を保持するアプリケーションやサービス・アカウントなど、その他の種類の無人アカウントも管理できます。
|
注意: Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないようにする必要があります。 Oracle Privileged Account Managerにおけるサービス・アカウントの使用の詳細は、第5.1.2項「ターゲットの使用」を参照してください。 |
第1.2項「Oracle Privileged Account Managerを使用する理由」で説明した機能に加え、Oracle Privileged Account Managerには次の特長があります。
特権アカウントとターゲットの関連付け
特権アカウントに対するアクセス権のユーザーおよびロールへの付与と、そのアクセス権の削除
Oracle Privileged Account Managerのパスワード・リクエスト・システムで管理されているパスワードに対するロールベースのアクセスの提供
パスワードのチェックアウトおよびチェックインによるアカウントへのアクセスの制御
無人アプリケーションがクライアント証明書認証を使用する場合に、管理されていない特権アカウントが保持される可能性の排除
クライアント証明書認証は、SSL証明書を(パスワードのかわりに)使用して、Oracle Privileged Account Managerサーバーに対する認証を実行します。
チェックインおよびチェックアウト時にデフォルトでパスワードをランダム値にリセット
特権アカウントをチェックアウトしたが明示的にそのアカウントをチェックインしないユーザーに対応するため、指定した期間の経過後に特権アカウントを自動的にチェックインするようにOracle Privileged Account Managerを構成できます。
ユーザーが特権アカウントをチェックアウトできる期間を制限することもできます。
サポートされているターゲットでのパスワード・リセットの管理
次のものを特定するための認可決定の実施
エンド・ユーザーまたは管理者に公開するターゲット、特権アカウントおよびポリシー
エンド・ユーザーおよび管理者が実行できる操作(追加、変更、チェックインおよびチェックアウト)
ポリシーと特権アカウントの関連付け
ターゲット、特権アカウント、ポリシーに対する作成、読取り、更新、削除および検索(CRUD)操作の実行とサポート
これは、Oracle Privileged Account ManagerのRESTful APIを通じて公開される主要機能です。チェックインやチェックアウトなどもRESTfulインタフェースを通じてサポートされます。
Oracleの一般的な監査、ロギングおよびレポート機能を使用したアクセスの監視とレポート
Oracle Privileged Account Managerでは、Oracle Fusion Middleware ControlとOracle BI Publisherの監査、ロギングおよびレポート機能を使用して、ユーザーとグループが持つ特権アカウントへのアクセス権を監視およびレポートできます。
複数の高可用性機能の提供
次の図では、Oracle Privileged Account Managerのアーキテクチャおよびトポロジを示します。
この図を確認する場合、次の点に注意することが重要です。
Oracle Privileged Account Managerのコア・ロジックは、すべてOracle Privileged Account Managerサーバーに存在します。この機能は、データがJavaScript Object Notation (JSON)としてエンコードされるRepresentational State Transfer (RESTまたはRESTful)サービスを通じて公開されます。
|
注意: Oracle Privileged Account Managerによって、Oracle Identity NavigatorのWebベースのユーザー・インタフェース(コンソールとも呼ばれる)と、Oracle Privileged Account Managerコマンドライン・ツール(CLI)が提供されます。どちらのインタフェースも基本的にはOracle Privileged Account Managerサーバーのクライアントです。 ただし、サードパーティは、オープンRESTfulサービスを利用することで、カスタム・アプリケーションなどの独自のクライアントを記述できます。詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
Oracle Privileged Account Managerの認証は、デプロイ先のJ2EEコンテナで提供されるJava Authentication & Authorization Service (JAAS)サポートに依存します。
Oracle WebLogic Server (WebLogic)でのJAASサポートの詳細は、Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解のWebLogicセキュリティ・サービスのアーキテクチャに関する項を参照してください。
Oracle Privileged Account Managerの認証の詳細は、第2.2項「Oracle Privileged Account Managerの認証の理解」を参照してください。
Oracle Privileged Account Manager関連のコンポーネント(Oracle Privileged Account Managerのコンソール、コマンドライン・インタフェース、サーバーなど)との通信、および各コンポーネント間の通信は、すべてSSLを介して行われます。また、Oracle Privileged Account ManagerのRESTfulインタフェースはSSLを介して公開されます。
Oracle Privileged Account Managerは、Oracle Privileged Account Managerのデプロイ先であるWebLogicドメインで構成されているIDストア、ポリシー・ストアおよび資格証明ストアに依存し、それらを透過的に使用します。(ポリシー・ストアおよび資格証明ストアはWebLogicドメインの暗黙的な部分であるため、この図では表されていません。)
IDストアは、Oracle Privileged Account Managerユーザーおよびグループ用の集中管理されたリポジトリです。
詳細は、第1.3項「Oracle Privileged Account ManagerのOracle Fusion Middlewareへのデプロイ方法」を参照してください。
Oracle Privileged Account Managerコンソールは、Oracle Application Development Framework (ADF)を利用し、これによってレンダリングされます。
ADFの詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technetwork/developer-tools/adf/overview/index.html
Oracle Privileged Account Managerは、Identity Connector Framework (ICF)コネクタを使用してターゲットに接続します。図1-1のように、Oracle Privileged Account Managerは、ICFの使用によって構成される次のコネクタを使用します。
汎用データベース・ユーザー管理コネクタ: Oracle、MSSQL、SybaseおよびMySQLデータベースに接続します。
汎用Unixコネクタ: 任意のUNIXシステムに接続します。
汎用LDAPコネクタ: LDAPターゲット(Oracle Internet Directory、Oracle Universal Directory、Active Directoryなど)に接続します。
カスタム・コネクタ: 自身に関連付けられた事前定義済のコネクタを持たないターゲットに接続します。
詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項を参照してください。
次の図では、Oracle Fusion Middleware内にOracle Privileged Account Managerをデプロイする方法を示します。
|
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのOracle Fusion MiddlewareへのOracle Privileged Account Managerのデプロイ方法における相違点に関する項を参照してください。 |
この図を確認する場合、次の点に注意してください。
すべてのコンポーネントが単一のWebLogicドメイン内にデプロイされます。
Oracle Privileged Account Managerは、アプリケーション・データをOracle Privileged Account Managerデータベースに格納します。また、Oracle Privileged Account Managerスキーマは、Oracle Repository Creation Utilityを介してこのデータベースで作成されます。
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソール)は、Oracle WebLogic Server管理サーバー(WebLogic管理サーバー)にデプロイされます。
コンソールは、Oracle Privileged Account Managerサーバーと通信します。このサーバーは、WebLogic管理サーバーによって管理されるサーバーとして作成され、管理対象サーバーと呼ばれます。
OPSS IDストアとOPSSセキュリティ・ストア(ポリシー・ストアと資格証明ストアを含む)は、WebLogicドメイン全体の構成要素であるため、ドメインごとに1つずつ存在します。(OPSSセキュリティ・ストアはWebLogicドメインの暗黙的な部分であるため、この図では表されていません。)
Oracle Privileged Account Managerは、単純にそのドメインに構成されている設定に従って動作します。Oracle Privileged Account Manager固有の構成を使用して、これらの構成要素およびサービスを使用する必要はありません。また、これらの構成要素やサービスの使用方法は、Oracle Privileged Account Managerによって抽象化されるため、背後の動作を詳細に理解する必要はありません。
OPSS IDストアは、WebLogicに埋め込まれたLDAP (即時利用可能)または外部LDAPサーバーを指します。
構成手順は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
ポリシー・ストアおよび資格証明ストアの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のポリシー・ストアの管理に関する項および資格証明ストアの管理に関する項を参照してください。
