Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、Oracle Privileged Account ManagerのWebユーザー・インタフェース(コンソールとも呼ばれます)の起動および使用方法について説明します。
この章では、次の項目について説明します。
注意: Oracle Privileged Account Managerは、コマンド行またはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても管理できます。
|
この章では、第3章「Oracle Privileged Account Managerの管理のスタート・ガイド」に記載されているOracle Privileged Account Managerの構成ょ終了していることを想定しています。
Oracle Privileged Account Managerのコンソールにアクセスするには、ブラウザ・ウィンドウを開いて次のURLを入力します。
http://managedserver_host:managedserver_port/oinav/opam
「サイン・イン」画面のあるOracle Privileged Account Managerページが表示されたら、管理者またはエンド・ユーザーの適切な資格証明を使用してログインします。
注意: Oracle Privileged Account Managerのコマンド行ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用する場合、それらのインタフェースの詳細は、それぞれ付録A「コマンド行ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
Oracle Privileged Account Managerにログインすると、コンソールが表示されます。
コンソールの一部の機能へのアクセスは、ユーザーの管理ロールおよび資格証明に基づきます。たとえば、図4-1は、Oracle Privileged Account Managerで提供されるすべての機能を示しています。ただし、この項で後から説明する「管理」、「レポート」および「構成」アコーディオンは、エンド・ユーザーやセキュリティ管理者ロールを持つユーザーには提供されません。
図4-2は、管理者権限を持たないセルフサービス・ユーザーとしてログインしたときのコンソールを示しています。
この項では、Oracle Privileged Account Managerコンソールの概要について説明します。この項の内容は次のとおりです。
ヒント: Oracle Privileged Account Managerインタフェースの要素(パラメータ・フィールドや情報アイコン など)の上にカーソルを重ねると、役に立つプロンプトが表示されます。 |
マイ・アカウント: このノードを選択すると、「マイ・アカウント」ページが表示され、そこで自身が権限受領者であるアカウントを検索、表示、オープン、チェックアウトできます。
チェックアウト: このノードを選択すると「チェックアウト」ページが表示され、そこで自身のチェックアウト済アカウントの表示、それらのアカウントのパスワードの表示および自身のチェックアウト済アカウントのチェックインを実行できます。
特権アカウントを使用するには、それをチェックアウトする必要があります。Oracle Privileged Account Managerでは、パスワードまたはセッションとしてアカウントをチェックアウトできます。詳細は、第8.5項「特権アカウントのチェックアウト」を参照してください。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、アカウントを管理します。
注意:
|
「管理」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
アカウント: 選択すると、アカウントを検索、開く、追加および削除できる「アカウント」ページが表示されます。
ターゲット: 選択すると、ターゲットを検索、開く、追加および削除できる「ターゲット」ページが表示されます。
パスワード・ポリシー: 選択すると、パスワード・ポリシーを検索、開く、作成および削除できる「パスワード・ポリシー」ページが表示されます。
使用ポリシー: 選択すると、使用ポリシーを検索、開く、作成および削除できる「使用ポリシー」ページが表示されます。
ユーザー権限受領者: 選択すると、個々のユーザー権限受領者に関する情報を検索、開くおよび表示できる「ユーザー権限受領者」ページが表示されます。
グループ権限受領者: 選択すると、権限受領者のグループに関する情報を検索、開くおよび表示できる「グループ権限受領者」ページが表示されます。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、Oracle Privileged Account Managerを構成および管理します。
注意:
|
「レポート」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
デプロイメント・レポート: 選択すると、ターゲットおよび特権アカウントが現在どのようにデプロイされているかに関する情報を参照できる「デプロイメント・レポート」ページが表示されます。
使用状況レポート: 選択すると、特権アカウントが現在デプロイメント内でどのように使用されているかに関する情報を参照できる「使用状況レポート」ページが表示されます。
エラー・レポート: 選択すると、ターゲットとアカウントに対するエラーの現在の状態に関する情報を参照できる「エラー・レポート」ページが表示されます。
チェックアウト履歴: 選択すると「チェックアウト履歴」ページが開き、そこでアカウント・チェックアウトに関する情報を検索および確認できます。
自身の管理ロールおよび資格証明に基づいて、「構成」アコーディオンに次のノードのいくつかまたはすべてが含まれます。それらは、クラスタ内のすべてのOracle Privileged Account Managerサーバーに適用される一般的なグローバル構成プロパティを表します。
サーバー接続: 選択すると、Oracle Privileged Account Managerサーバーへの接続を構成できます。
サーバー構成: 選択すると、次のサーバー・プロパティを管理できます。
使用ポリシー・スケジューラ間隔
パスワード・ポリシー・スケジューラ間隔
ターゲット接続タイムアウト(秒単位)
Oracle Database TDEモード(透過的データ暗号化)
プラグイン構成: 選択するとOracle Privileged Account Managerのプラグイン構成を作成、編集および管理できます。
セッション・マネージャ構成: 選択すると、セッション・マネージャのプロパティの構成、Oracle Privileged Account ManagerサーバーURLの構成、およびSSH構成を実行できます。
Oracle Privileged Account Managerの検索ポートレットを使用すると、アカウント、ターゲット、ポリシー、ユーザー、グループおよびプラグインを検索できます。
検索を構成するには、そのポートレットに表示されている1つ以上のパラメータを使用します。様々な検索パラメータの可用性は、実行しようとしている検索のタイプに応じて異なります。たとえば、図4-3は、特権アカウントの検索に使用する「アカウントの検索」ポートレットを示しています。
次の表では、様々な検索パラメータと、それらをどの検索タイプに使用できるのかについて説明します。
表4-1 検索ポートレットのパラメータ
パラメータ名 | 説明 | 検索タイプ |
---|---|---|
アカウント名 |
アカウント名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、チェックアウト履歴 |
ターゲット名 |
ターゲット名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、ターゲット、ユーザー、グループ、チェックアウト履歴 |
ターゲット・タイプ |
「すべて」を選択してすべてのターゲット・タイプを検索するか、検索するターゲット・タイプをldap、unix、databaseまたはlockboxのみに限定します。 |
アカウント、マイ・アカウント、ターゲット |
ドメイン |
ドメイン名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、ターゲット |
説明 |
アカウント、ターゲットまたはプラグインの説明の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、プラグイン構成 |
ホスト名 |
検索を行うホスト名の1つ以上の文字を入力します。 |
ターゲット |
ポリシー名 |
ポリシー名の1つ以上の文字を入力します。 |
パスワード・ポリシー、使用ポリシー |
ポリシー・ステータス |
「すべて」を選択してすべてのポリシーを検索するか、検索を「アクティブ」ポリシーのみまたは「無効」ポリシーのみに制限します。 |
パスワード・ポリシー、使用ポリシー |
ユーザー名 |
ユーザー名の1つ以上の文字を入力します。 |
ユーザー権限受領者、チェックアウト履歴 |
グループ名 |
グループ名の1つ以上の文字を入力します。 |
グループ権限受領者 |
「開始日」および「終了日」 |
カレンダ/時間アイコンを使用して、検索を実行する日付範囲または時間を指定します。 |
チェックアウト履歴 |
チェックアウト・イベントの記録内の文字列の1つ以上の文字を入力します。たとえば、 |
チェックアウト履歴 |
|
問合せサイズ |
カウンタを使用して、返される問合せ結果の数を制限します。 |
チェックアウト履歴 |
名前 |
プラグイン名の1つ以上の文字を入力します。 |
プラグイン構成 |
リソース・タイプ |
「すべて」を選択してすべてのリソース・タイプを検索するか、検索するリソース・タイプをaccountのみ、serverのみまたはtargetのみに制限します。 |
プラグイン構成 |
ステータス |
「すべて」を選択してすべてのプラグイン・ステータスを検索するか、検索を「アクティブ」プラグインのみまたは「無効」プラグインのみに制限します。 |
プラグイン構成 |
タイミング |
「すべて」を選択してすべてのプラグイン・タイミングを検索するか、検索を「前」タイミング・プラグインのみまたは「後」タイミング・プラグインのみに制限します。 |
プラグイン構成 |
操作 |
「すべて」を選択してすべてのプラグイン操作を検索するか、検索対象の操作をadd、autocheckin、checkin、checkout、passwordcycle、remove、resetpassword、retrieve、sessioncheckout、showpassword、showpassordhistory、testまたはupdateのみに制限します。 |
プラグイン構成 |
検索ポートレットでは、次のようにワイルドカードの使用もサポートされます。
パーセント記号(%
)を使用すると、任意の長さの文字列を検索できます。同じ検索文字列内に複数のワイルドカードを使用することもできます。次に例を示します。
person%
と入力した場合、その結果にはperson1
、person_2
およびperson1234
などが含まれます。
%person%
と入力した場合、その結果にはdsperson
、hrperson1
およびhrperson2
などが含まれます。
アンダースコア記号(_
)を使用すると、1つの文字を検索できます。同じ検索文字列内に複数のワイルドカードを使用することもできます。次に例を示します。
person_
と入力した場合、その結果にはperson1
、person2
およびpersons
などが含まれます。
o_m_
と入力した場合、その結果にはoam1
、oem1
、oem2
、oem3
およびoim1
などが含まれます。
検索を実行する一般的な手順は次のとおりです。
「ホーム」、「管理」、「レポート」または「構成」アコーディオンで、適切なノードを選択します。
たとえば、アカウントを検索するには、「アカウント」を選択します。
検索ポートレットが表示された場合、次のように検索を構成します。
すべてのアカウントなど使用可能なすべての結果を検索する場合は、ポートレットに検索パラメータを指定しないでください。
検索を絞り込むには、表4-1に示す検索パラメータを1つ以上使用します。
たとえば、特定のLDAPターゲット上の特権アカウントのリストを表示するには、ターゲット名の1つ以上の文字を「ターゲット名」フィールドに入力し、「ターゲット・タイプ」メニューからldapを選択します。
「検索」をクリックします。
結果は検索結果表に表示されます。
別の検索を実行するには、「リセット」をクリックします。
異なる検索結果表の上部に配置されているドロップダウン・メニューとアイコンを使用して、様々なタスクを実行できます。
次の表では、これらのメニューおよびアイコンについて説明します。
表4-2 検索結果表の機能
機能名 | 検索タイプ | 説明 |
---|---|---|
アクション |
すべて |
このメニューをクリックし、実行するアクションを選択します。 注意: このメニューのオプションは、表の上部に表示されているタスク・アイコンと同じです。 |
表示 |
すべて |
このメニューをクリックし、次のオプションの1つを選択して、「検索結果」表での列の表示方法を制御します。
|
開く |
すべて |
クリックして、選択されたアカウント、ターゲット、ポリシー、ユーザー権限受領者、グループ権限受領者またはプラグイン構成を開きます。 |
パスワードのチェックアウト |
マイ・アカウント |
「検索結果」表の行を選択し、このオプションをクリックしてアカウントのパスワードをチェックアウトします。 |
セッションのチェックアウト |
マイ・アカウント |
「検索結果」表の行を選択し、このオプションをクリックしてセッションをチェックアウトします。 |
リフレッシュ |
マイ・アカウント、チェックアウト、アカウント、チェックアウト履歴、プラグイン構成 |
クリックすると、検索結果を再表示(リフレッシュ)できます。 |
チェックイン |
チェックアウトのみ |
クリックすると、選択したチェックアウト済アカウントをチェックインできます。詳細は、第8.6項「特権アカウントのチェックイン」を参照してください。 |
パスワードの表示 |
チェックアウト、アカウント、ターゲット |
クリックすると、選択したアカウントまたはターゲット・サービス・ターゲットの現在のパスワードに関する情報を参照できる「現在のパスワードの表示」ダイアログが表示されます。
|
パスワード履歴 |
アカウント、ターゲット |
クリックして「パスワード履歴の表示」ダイアログを開き、そこで、アカウントまたはターゲットのパスワード履歴を表示できます。
|
ステータス |
アカウントのみ |
このメニューをクリックし、次のオプションの1つを選択して、表にどのアカウント結果を表示するのかを制限します。
|
追加 |
アカウント、ターゲット |
クリックすると、新しいアカウントまたは新しいターゲットをOracle Privileged Account Managerリポジトリに追加できます。 |
削除 |
アカウント、ターゲット |
クリックすると、選択したアカウントまたはターゲットをOracle Privileged Account Managerリポジトリから削除できます。 |
パスワードのリセット |
アカウント、ターゲット |
クリックすると、選択したアカウントまたはターゲット・サービス・アカウントのパスワードを手動でリセットできる「パスワードのリセット」ダイアログが表示されます。
|
強制的チェックイン |
アカウントのみ |
クリックすると、他のユーザーによってチェックアウトされた特権アカウントをチェックインできます。 |
パスワード・ポリシーの作成 |
パスワード・ポリシーのみ |
クリックすると、パスワード・ポリシーを作成できます。詳細は、第9.2.4項「パスワード・ポリシーの作成」を参照してください。 |
使用ポリシーの作成 |
使用ポリシーのみ |
クリックすると、使用ポリシーを作成できます。詳細は、第9.3.4項「使用ポリシーの作成」を参照してください。 |
削除 |
パスワード・ポリシー、使用ポリシー、プラグイン構成 |
クリックすると、選択したポリシーをOracle Privileged Account Managerリポジトリから削除できます。 |
作成 |
プラグイン構成 |
クリックすると、プラグイン構成を作成できます。詳細は、第11.3項「プラグイン構成の作成」を参照してください。 |
記録 |
チェックアウト履歴 |
クリックすると、アカウントのチェックアウト中に実行されたアクションの記録をトランスクリプト形式で表示できます。 |