ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド
11gリリース2 (11.1.2)
B69534-07
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

15 Oracle Privileged Account Managerの拡張構成タスクの実行

この章では、Oracle Privileged Account Managerの拡張構成の実行について説明します。

この章では、次の項目について説明します。


注意:

IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのIBM WebSphereでのOracle Privileged Account Managerの拡張構成タスクの実行における相違点に関する項を参照してください。


15.1 SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成

Oracle Privileged Account Managerでは、Secure Socket Layer (SSL)または非SSLオプションを介してターゲット・システムに接続できます。SSLオプションは、より安全ですが、追加の構成が必要です。

SSLを介してターゲット・システムと安全に通信するには、Oracle Privileged Account Managerを実行しているWebLogicインスタンスが、ターゲット・システムで使用されているSSL証明書を信頼する必要があります(Oracle Privileged Account Managerは実行されているWebLogicコンテナからそのSSL構成を継承するため)。Oracle Privileged Account Managerを実行しているWebLogicインスタンス(およびOracle Privileged Account Manager)にターゲット・システムのSSL証明書を信頼させるには、WebLogicインスタンスで使用されているトラストストアに証明書をインポートする必要があります。


注意:

IBM WebSphereインスタンスを使用している場合は、SSL通信の構成手順が異なります。

手順は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のSSL経由でターゲット・システムに接続するためにOracle Privileged Account Managerを構成する場合の相違点に関する項を参照してください。


ターゲット・システムとOracle Privileged Account Manager間のSSL通信を有効にするには、次の手順を使用します。

  1. ターゲット・システムのホスト・コンピュータからSSL証明書をエクスポートします。


    注意:

    SSL証明書をエクスポートする手順は、ターゲット・システムのタイプごとに異なります。手順の詳細は、使用しているターゲット・システムの製品ドキュメントを参照してください。


  2. Oracle Privileged Account Managerを実行しているWebLogicインスタンスが存在するマシンに証明書をコピーします。

    Oracle Privileged Account Manager/Oracle Identity NavigatorコンソールとOracle Privileged Account Managerサーバーが異なるマシン上で実行されている場合、SSL証明書はOracle Privileged Account Managerサーバーのマシンにコピーする必要があります。

  3. 次のコマンドを実行して、Oracle Privileged Account Managerが実行されているWebLogicサーバーのJVMトラストストアに証明書をインポートします。

    JAVA_HOME\bin\keytool -import -file FILE_LOCATION -keystore TRUSTSTORE_LOCATION 
    -storepass TRUSTSTORE_PASSWORD -trustcacerts -alias ALIAS
    

    説明

    • JAVA_HOMEは、WebLogicサーバーによって使用される場所です。次に例を示します。

      • MW_HOME/jrockit..

      • MW_HOME/jdk..

      • Javaソフトウェアをインストールした場所

    • FILE_LOCATIONは、証明書ファイルのフルパスおよび名前です。

    • TRUSTSTORE_LOCATIONは、次のトラストストア・パスのいずれかです。

      表15-1 トラストストアの場所

      次を使用している場合: このディレクトリのキーストアに対する証明書をインポートします:

      Oracle jrockit_R27.3.1-jdk

      JROCKIT_HOME/jre/lib/security

      デフォルトのOracle WebLogic Server JDK

      WEBLOGIC_HOME/java/jre/lib/security/cacerts

      Oracle
      jrockit_R27.3.1-jdkまたは
      Oracle WebLogic Server JDK以外のJDK

      JAVA_HOME/jre/lib/security/cacerts


    • TRUSTSTORE_PASSWORDは、トラストストアのパスワードです。

    • ALIASは、証明書の別名です。


    注意:

    cacertsキーストアのデフォルトのパスワードはchangeitです。


  4. すべてのWebLogicサーバーを再起動します。


注意:

WebLogicのセキュリティ概念およびカスタム・キーストアの作成方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のIDと信頼の構成に関する項を参照してください。


15.2 ディスク上のデータの保護

Oracle Privileged Account Managerは、Oracle Databaseの透過的データ暗号化(TDE)モードが使用されていてもいなくても動作します。


注意:

高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします

透過的データ暗号化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した格納済データの保護に関する項を参照してください。


TDEモードは、Oracle Privileged Account Managerのインストールおよび構成の完了後いつでも有効または無効にできます。

この項では、Oracle Privileged Account ManagerのTDEモードを変更する方法について説明します。内容は次のとおりです。


注意:

TDEモードの有効化または無効化の手順は、WebLogic Serverを使用していようと、IBM WebSphereサーバーを使用していようと、基本的には変わりません。

IBM WebSphereでOracle Privileged Account Managerを使用している場合の若干の相違点は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のディスク上のデータを保護する場合の相違点に関する項を参照してください。


15.2.1 TDEモードの有効化

次の手順を実行することで、TDEモードを有効化できます。

  1. データベースでのTDEの有効化

  2. Oracle Privileged Account Managerスキーマでの暗号化の有効化

  3. Oracle Privileged Account Managerサーバー構成でのTDEモードの有効化

15.2.1.1 データベースでのTDEの有効化

データベースでのTDEの有効化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。


注意:

詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した保存済データの保護に関する項を参照してください。


15.2.1.2 Oracle Privileged Account Managerスキーマでの暗号化の有効化

sqlplus(または他の任意のクライアント)を使用して、Oracle Privileged Account Managerスキーマ・ユーザーで次のopamxencrypt.sqlスクリプトを実行することで、Oracle Privileged Account Managerスキーマの暗号化を有効化できます。

IAM_HOME/opam/sql/opamxencrypt.sql

次に例を示します。

sqlplus DEV_OPAM/welcome1 @IAM_HOME/opam/sql/opamxencrypt.sql

15.2.1.3 Oracle Privileged Account Managerサーバー構成でのTDEモードの有効化

次の方法の1つを使用することで、Oracle Privileged Account Managerサーバー構成でTDEモードを有効化できます。

Oracle Privileged Account Managerコンソールから

コンソールを使用してTDEモードを有効化するには、第5.2.3.1項「コンソールから」の手順3を参照してください。

Oracle Privileged Account Managerコマンド行ツールから

コマンド行ツールを使用してTDEモードを有効化するには(tdemodeフラグがfalseに設定されている場合)、次の手順を完了します。


注意:

開始する前に、Oracle Privileged Account Managerサーバーが実行中であることを確認します。


  1. 環境変数ORACLE_HOMEおよびJAVA_HOMEを設定します。

  2. 次のスクリプトを実行します。

    UNIXでは次のように入力します。

    ORACLE_HOME/bin/opam.sh -url OPAM_Server_Url -x modifyconfig -configtype global
    -propertyname tdemode -propertyvalue true -u OPAM_APPLICATION_CONFIGURATOR_USER
    -p Password
    

    Windowsでは次のように入力します。

    ORACLE_HOME\bin\opam.bat -url OPAM_Server_Url -x modifyconfig 
    -configtype global -propertyname tdemode -propertyvalue true -u OPAM_APPLICATION_CONFIGURATOR_USER
    -p Password
    
  3. 『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のオプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化に関する項を参照してください。

15.2.2 TDEモードの無効化

次の手順を実行することで、非TDEモードに切り替えることができます。

  1. Oracle Privileged Account Managerサーバー構成でのTDEモードの無効化

  2. Oracle Privileged Account Managerスキーマでの暗号化の無効化

15.2.2.1 Oracle Privileged Account Managerサーバー構成でのTDEモードの無効化

次の方法の1つを使用することで、Oracle Privileged Account ManagerサーバーでTDEモードを無効化できます。

Oracle Privileged Account Managerコンソールから

コンソールを使用してTDEモードを無効化するには、第5.2.3.1項「コンソールから」の手順3を参照してください。

Oracle Privileged Account Managerコマンド行ツールから

コマンド行ツールを使用してTDEモードを無効化するには、次の手順を完了します。


注意:

開始する前に、Oracle Privileged Account Managerサーバーが実行中であることを確認します。


  1. 環境変数ORACLE_HOMEおよびJAVA_HOMEを設定します。

  2. 次のスクリプトを実行します。

    UNIXの場合:

    ORACLE_HOME/opam/bin/opam.sh -url OPAM_Server_Url -x modifyconfig 
    -configtype global -propertyname tdemode -propertyvalue false 
    -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
    

    ここで、OPAM_Server_Urlは次の形式になります。

    https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam
    

    Windowsの場合:

    ORACLE_HOME\opam\bin\opam.bat -url OPAM_Server_Url -x modifyconfig 
    -configtype global -propertyname tdemode -propertyvalue false 
    -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
    

    ここで、OPAM_Server_Urlは次の形式になります。

    https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam
    

15.2.2.2 Oracle Privileged Account Managerスキーマでの暗号化の無効化

sqlplus(または他の任意のクライアント)を使用して、Oracle Privileged Account Managerスキーマ・ユーザーで次のopamxunencrypt.sqlスクリプトを実行することで、Oracle Privileged Account Managerスキーマの暗号化を無効化できます。

IAM_HOME/opam/sql/opamxunencrypt.sql

次に例を示します。

sqlplus DEV_OPAM/welcome1 @MW_HOME/Oracle_IDM1/opam/sql/opamxunencrypt.sql

15.3 既存のOracle Privileged Account Managerインストール環境への新規コネクタの追加

この項では、既存のOracle Privileged Account Managerインストール環境に新しいコネクタを追加するためのプロセスについて説明します。内容は次のとおりです。

15.3.1 オラクル社提供によるコネクタの追加

オラクル社提供による新しいICFコネクタを追加する場合、それらにはインストール手順が付随しています。これらの手順には、コネクタ・バンドルの格納場所や、インストール固有のopam-config.xmlファイルの変更方法が説明されています。

15.3.2 カスタム・コネクタの追加

Oracle Privileged Account Managerでは、ユーザーが作成した(またはサード・パーティによって作成された)カスタム・コネクタを使用できます。ただし、これらのコネクタは、ICF標準に厳密に準拠している必要があります。コネクタがICFに準拠していることを確認した後、次の手順を実行してOracle Privileged Account Managerで使用するためにコネクタをデプロイします。

  1. コネクタ・バンドルを、実行時にOracle Privileged Account Managerで読み取ることができるファイル・システム上の場所に配置します。

  2. 次の手順を実行して、コネクタの構成ブロックを作成し、そのブロックをインストール固有のopam-config.xmlファイルに含めます。

    1. 関連する構成ブロックを設計および作成します。

      opam-config.xmlファイルとopam-config.xsdファイルには、両方ともファイルの先頭に構成ブロックの作成方法を説明したドキュメントおよび例が含まれます。

    2. このコネクタ構成ブロックに、手順1でコネクタ・バンドル用に指定したファイル・システムの場所が含まれていることを確認します。

    3. 新しいコネクタ構成ブロックを<connectorConfig>ブロックに含めることでopam-config.xmlファイルに追加します。

    4. 変更されたopam-config.xmlファイルをopam-config.xsdファイルに対して検証し、Oracle Privileged Account Managerサーバーでその変更されたファイルを読み取ることができることを確認します。任意のXMLスキーマ検証ツールをこの目的で使用できます。

  3. Oracle Privileged Account Managerサーバーを再起動します。

  4. Oracle Privileged Account Managerに接続し、新しく追加したコネクタ・タイプを使用して新しいターゲット・システムを追加および構成します。

15.4 セッション・マネージャ・データの拡張管理

この項では、Oracle Privileged Session Manager (セッション・マネージャ)データを管理する方法について説明します。内容は次のとおりです。

15.4.1 概要

セッション・マネージャは、そのセッション記録データのすべてをOracle Privileged Account Managerデータベース・スキーマ内に格納します。時間の経過とともに、記録されている情報が増え、このデータベース・スキーマのディスク・フットプリントが大きくなります。したがって、このデータを効率的に管理する戦略を策定することが重要です。

コンプライアンス規制によって、監査データ(セッション記録など)の長期間にわたる保管が必要とされている場合もあります。データを保護するために優れたバックアップおよびリカバリの計画が必要です。

優れたバックアップ計画では、次のような基本的なガイドラインを考慮します。

  • セッション記録の増大速度: 増大速度はセッション数とそれらのセッション内で発生するアクティビティ(最終的に記録可能なデータになるもの)のタイプに応じて決まります。日ごとに生成されるセッション記録データの増大によって、バックアップの実行の必要頻度が決まります。

  • コンプライアンス規則: 組織のコンプライアンス規則を調べて、必要なバックアップ頻度と、セッション記録の必要保管年数を決定します。

  • オンラインまたはオフラインのデータ管理: 組織のコンプライアンス規則を調べ、バックアップはどれくらいの頻度が必要であるのかと、どの部分のセッション記録データに簡単にアクセスできようにする必要があるのかを決定します。

Oracle Databaseでは、Oracle Recovery Manager (RMAN)を使用してバックアップおよびリカバリを実行します。
詳細は、次のサイトを参照してください。


注意:

Oracle Privileged Account ManagerスキーマはOracle Repository作成ユーティリティ(RCU)を使用して作成され、Oracle Privileged Account Managerスキーマ内のセッション記録データはOPSM_SESSIONS表に格納されます。


15.4.2 パーティション化

Oracle Privileged Account Managerスキーマは、デフォルトではパーティション化されていません。ただし、セッション記録データは累積され、古いデータが削除されることはありません。大量のセッション記録データを格納する場合、OPSM_SESSIONS表のパーティション化を検討してください。それにより、アーカイブが容易になります。

パーティション化には、次のような利点があります。

  • パフォーマンスの向上: 表がタイムスタンプでレンジ・パーティション化されていると、たとえばタイムスタンプによる問合せを処理できるのは、該当する時間枠内のパーティションのみとなります。

  • 管理性の向上: 別の表領域(つまり、別のディスク)にパーティションを作成できます。これにより、古いデータを低速で大容量のディスクに移動し、新しいデータを高速で容量の小さいディスクに保持できます。

    また、パーティション化により、アーカイブ処理もはるかに容易になります。たとえば、表全体をパーティション化することなく、単一のパーティションを圧縮することができます。

  • 可用性の拡張: 単一のパーティションが使用できない場合、たとえば問合せでそのパーティションを処理対象から外しても問題がないことが判明しているのであれば、使用できないパーティションを待つことなく、問合せを正常に処理することができます。

15.4.3 パーティションOPSM_SESSIONS表

この例では、OPSM_SESSIONS表は4半期ごとにパーティション化されています。必要に応じて、別のパーティション化スキームを実装できます。

アプリケーションの停止時間を最小限にするために、Oracle Privileged Account Managerデプロイメントにこのスキーマを使用する前にパーティション化することをお薦めします。アクティブなOracle Privileged Account Managerデプロイメントでパーティション化する場合、次の手順に進む前に、最初にすべてのOracle Privileged Account Managerプロセスを停止する必要があります。

パーティション化の手順は、次のとおりです。

  1. Oracle Privileged Account Managerスキーマ・ユーザーとしてSQLPlusを使用してデータベースにログインします。

  2. パーティション化されていない既存の表の名前を変更します。例:

    RENAME OPSM_SESSIONS TO OPSM_SESSIONS_NONPART;
    
  3. パーティション化されていない表の表構造に従う、新しいパーティション化された表を作成します。この例では、タイムスタンプによりレンジ・パーティション化するスキームを使用します。

    CREATE TABLE OPSM_SESSIONS
    PARTITION BY RANGE (STARTTIME)
    (
        PARTITION OPSM_SESSIONS_DEFAULT VALUES LESS THAN (MAXVALUE)
    )
    AS SELECT * FROM OPSM_SESSIONS_NONPART;
    
  4. 行の移動を有効にし、新しいパーティションの作成時にデータがパーティション間で自動的に移動できるようにします。例:

    ALTER TABLE OPSM_SESSIONS ENABLE ROW MOVEMENT;
    
  5. これでパーティションを作成できるようになりました。この例では、暦の四半期別にパーティションを作成します。

    ALTER TABLE OPSM_SESSIONS
    SPLIT PARTITION OPSM_SESSIONS_DEFAULT AT (TO_DATE('01/04/2013', 'DD/MM/YYYY'))
    INTO (PARTITION OPSM_SESSIONS_Q1_2013, PARTITION OPSM_SESSIONS_DEFAULT)
    UPDATE INDEXES;
     
    ALTER TABLE OPSM_SESSIONS
    SPLIT PARTITION OPSM_SESSIONS_DEFAULT AT (TO_DATE('01/07/2013', 'DD/MM/YYYY')) 
    INTO (PARTITION OPSM_SESSIONS_Q2_2013, PARTITION OPSM_SESSIONS_DEFAULT)
    UPDATE INDEXES;
     
    ALTER TABLE OPSM_SESSIONS
    SPLIT PARTITION OPSM_SESSIONS_DEFAULT AT (TO_DATE('01/10/2013', 'DD/MM/YYYY')) 
    INTO (PARTITION OPSM_SESSIONS_Q3_2013, PARTITION OPSM_SESSIONS_DEFAULT)
    UPDATE INDEXES;
     
    ALTER TABLE OPSM_SESSIONS
    SPLIT PARTITION OPSM_SESSIONS_DEFAULT AT (TO_DATE('01/01/2014', 'DD/MM/YYYY')) 
    INTO (PARTITION OPSM_SESSIONS_Q4_2013, PARTITION OPSM_SESSIONS_DEFAULT)
    UPDATE INDEXES;
    

注意:

新しい四半期用に、新しいパーティションを定期的に作成する必要があります。


15.4.4 パージ

パージによって、Oracle Privileged Account Managerセッション記録データをOracle Privileged Account Managerスキーマから削除できます。したがって、後でこのデータに再アクセスする必要があると予期される場合、Oracle Recovery Manager (RMAN)を使用してバックアップおよびリカバリにします。

レンジ・パーティション化された表の場合は、旧データを削除するとき、個々の行を削除するよりパーティションを削除する方がはるかに効率的であることを覚えておいてください。

ALTER TABLE OPSM_SESSIONS DROP PARTITION OPSM_SESSIONS_Q1_2013;

パーティションを作成したら、特定のパーティションのパージおよびバックアップを実行できます。詳細は、Oracle Databaseのドキュメントを参照してください。

15.5 テスト環境から本番環境への移行

Oracle Fusion Middlewareコンポーネントを1つの環境から別のものに移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のテストから本番環境への移動に関する項を参照してください。

Oracle Privileged Account Managerを含むIdentity Managementコンポーネントをテスト環境から本番環境に移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のターゲット環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。

15.6 Oracle Privileged Account Managerの再ブランド化

必要に応じて、ログイン・ページとOracle Privileged Account Managerページを再ブランド化できます。次のトピックには、これらのページのページ・タイトル、ブランド・テキストおよびロゴ・イメージを変更するための手順が含まれます。


ヒント:

ファイルを変更する前に、それらのバックアップ・コピーを作成します。


15.6.1 ログイン・ページのカスタマイズ

ログイン・ページのブランド変更は、oinav.ear/oiNavApp-war.war/SignIn.jspxファイル内で構成します。

ログイン・ページのタイトル

ログイン・ページのタイトルを変更するには、af:document "#{signinBean.signInTitle}"内のタイトルを変更します。

次のサンプル・コードを参照してください。

<af:document id="d1" title="#{signinBean.signInTitle}" theme="dark"
initialFocusId="pt1:_pt_it1">

ログイン・ページのブランド・テキスト

ログイン・ページのブランド・テキストを変更するには、ブランド・ファセット内で定義されるaf:outputText "#{signinBean.title}"の値を変更します。

次のサンプル・コードを参照してください。

<f:facet name="branding">
  <af:outputText value="#{signinBean.title}" id="ot1"/>
</f:facet>

ログイン・ページのロゴ・イメージ

ログイン・ページのロゴ・イメージを変更するには、次の手順を実行します。

  1. 新規イメージ(newlogo.pngなど)を次のディレクトリにコピーします。

    oinav.ear/oiNavApp-war.war/images
    
  2. デフォルトのロゴをスキップするために、次の行をoinav.ear/oiNavApp-war.war/SignIn.jspxファイルに追加します。

    <f:attribute name="brandingLogoCls" value=""/>
    
  3. 新規ロゴのイメージ・サイズがデフォルト・サイズの30を超える場合は、次の行を追加してヘッダーのサイズを調整します。

    <f:attribute name="globalBrandingSize" value="60"/>
    
  4. newlogo.pngnewlogo mouse over textおよびnew branding textを置換することによって、ブランド・ファセットを変更します。

    次のサンプル・コードを参照してください。

    <f:facet name="branding">
      <af:panelGroupLayout layout="horizontal">
        <af:image source="/images/newlogo.png" shortDesc="newlogo mouse over text" id="im1"/>
        <af:spacer width="5"/>
        <af:outputText value="new branding text" id="ot1"/>
      </af:panelGroupLayout>
    </f:facet>
    

15.6.2 Oracle Privileged Account Managerページのカスタマイズ

Oracle Privileged Account Managerページのブランド変更は、oinav.ear/oiNavApp-war.war/opam.jspxファイル内で構成します。

Oracle Privileged Account Managerページのタイトル

Oracle Privileged Account Managerページのページ・タイトルを変更するには、af:document "#{resBundle.PRODUCT_OPAM}"内のタイトルを変更します。

次のサンプル・コードを参照してください。

<af:document title="#{resBundle.PRODUCT_OPAM}" id="d1" theme="contentBody">

Oracle Privileged Account Managerのブランド・テキスト

Oracle Privileged Account Managerページのブランド・テキストを変更するには、ブランド・ファセット内で定義されるaf:outputText "#{resBundle.OPAM_PRODUCT_TITLE}"の値を変更します。

次のサンプル・コードを参照してください。

<f:facet name="branding">
  <af:outputText value="#{resBundle.OPAM_PRODUCT_TITLE}" id="ot1"/>
</f:facet>

Oracle Privileged Account Managerページのロゴ・イメージ

Oracle Privileged Account Managerページのロゴ・イメージを変更するには、次の手順を実行します。

  1. 新規イメージ(newlogo.pngなど)を次のディレクトリにコピーします。

    oinav.ear/oiNavApp-war.war/images
    
  2. デフォルトのロゴをスキップするために、次の行をoinav.ear/oiNavApp-war.war/opam.jspxファイルに追加します。

    <f:attribute name="brandingLogoCls" value=""/>
    
  3. 新規ロゴのイメージ・サイズがデフォルト・サイズの30を超える場合は、次の行を追加してヘッダーのサイズを調整します。

    <f:attribute name="globalHeaderSize" value="30"/>
    
  4. newlogo.pngnewlogo mouse over textおよびnew branding textを置換することによって、ブランド・ファセットを変更します。

    次のサンプル・コードを参照してください。

    <f:facet name="branding">
      <af:panelGroupLayout layout="horizontal">
        <af:image source="/images/newlogo.png" shortDesc="newlogo mouse over text" id="im1"/>
        <af:spacer width="5"/>
        <af:outputText value="new branding text" id="ot1"/>
      </af:panelGroupLayout>
    </f:facet>