Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerの概要を、主要概念、特長および機能を説明することで示します。
この章では、次の項目について説明します。
Oracle Privileged Account Managerは、他のOracle Identity Managementコンポーネントによって管理されていない特権アカウントを管理します。
アカウントは、機密データにアクセスできる場合、機密データへのアクセス権を付与できる場合、またはそのデータへのアクセスとアクセス権付与の両方ができる場合に特権とみなされます。特権アカウントは、企業の最も強力なアカウントであり、頻繁に共有されます。
アカウントは、昇格された権限に関連付けられている場合、複数のエンド・ユーザーによってタスク別に使用される場合、制御および監査を受ける必要がある場合にOracle Privileged Account Managerによる管理の候補になります。
たとえば、次のアカウントにはセキュリティが必要であり、コンプライアンス規制を受ける可能性があります。
UNIX root、Windows管理者およびOracle Database SYSDBAシステム・アカウント
アプリケーション・アカウント(人事管理アプリケーションへの接続時にアプリケーション・サーバーによって使用されるデータベース・ユーザー・アカウントなど)
共有および昇格された従来の特権ユーザー・アカウント(システム管理者やデータベース管理者など)
管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。
Oracle Privileged Account Managerでは、通常、共有および昇格された特権アカウントを管理しますが、管理者はこれを使用して任意のタイプのアカウントのパスワードを管理することもできます。たとえば、ある従業員が長期休暇に入り、その従業員の電子メール・アカウントを使用して別の従業員がシステムにアクセスすることを許可する業務上の理由がある場合、Oracle Privileged Account Managerによってその権限を管理できます。
Oracle Privileged Account Managerによって、従来はいくつかの理由により管理が困難であった特権アカウントおよびパスワードを管理し、そのセキュリティを向上できます。
まず、特権アカウントには、一般的に通常のユーザー・アカウントより多くのアクセス権が付与されています。これらのアカウントは1人の特定の従業員に関連付けられていないことが多く、既存のツールやプロセスによる監査は困難であることが普通です。その結果、従業員が会社を退社すると、まだ使用できる特権アカウントのパスワードがそのまま残される可能性があり、コンプライアンスおよびセキュリティ上の非常に深刻な問題となります。
また、特権アカウントのパスワードを定期的に変更することは困難です。多くのユーザーがそのアカウントに依存している場合、パスワードを変更してユーザー全員に通知するには、調整のための作業が必要です。
最後に、パスワードへのアクセスを制御できなくなるため、パスワードを集中管理された場所や典型的な場所(LDAPなどの外部リポジトリやアプリケーション構成ファイルなど)に格納することは避けるのが普通です。
Oracle Privileged Account Managerは、次の機能を提供するため、特権アカウントとパスワードを安全に管理するための完全なソリューションとなります。
特権および共有アカウントのための集中管理されたパスワード管理(UNIXおよびLinuxのrootアカウント、Oracle Database SYSDBA、アプリケーション・アカウントおよびLDAP管理者アカウントを含む)
対話的なポリシーベースのアカウントおよびセッションのチェックアウトおよびチェックイン
Oracle Privileged Account Managerでは、認可されたすべてのユーザーは、アカウントを使用前にチェックアウトし、作業終了後にそのアカウントをチェックインする必要があります。Oracle Privileged Account Managerは、任意の時点におけるすべての共有管理者ユーザーの実際の身元(そのユーザーの名前)を追跡することで、アカウントのチェックアウトとチェックインを監査します。この情報を使用することで、Oracle Privileged Account Managerでは、どのユーザーが何に、いつ、どこでアクセスしたのかを示す完全な監査証跡を提供できます。
さらに、Oracle Privileged Session Manager(セッション・マネージャ)によって、管理者は、セッション中にユーザーが実行できるアクティビティをモニターおよび制御できます。ユーザーには、リソースや特権資格証明への直接アクセスは許可されません。
アイデンティティ・コネクタ・フレームワーク(ICF)を使用した自動パスワード変更
Oracle Privileged Account Managerは、パスワードのチェックアウト時およびチェックイン時にパスワードを変更します(そのように構成されている場合)。したがって、ユーザーがあるパスワードをチェックアウトし、その後チェックインすると、そのユーザーは前にチェックアウトしたパスワードを使用できなくなります。
また、Oracle Privileged Account Managerは、アプリケーションの特権アカウントのパスワードを、それらのアプリケーションを変更することなく(90日ごとなどの)指定した間隔で変更でき、各パスワードをターゲット・システム上で同期化します。たとえば、Oracle Privileged Account Managerは、サービスとスケジュール済タスクの資格証明を更新できます。
ユーザー管理、グループ管理およびワークフロー機能(Oracle Identity Managerとの統合による)
Oracle Privileged Account ManagerはOracle Identity Managerとシームレスに統合されているため、Oracle Privileged Account ManagerはこのOracle Identity Management製品を使用して、企業の特権アカウントに関連付けられているユーザーとグループを管理できます。また、Oracle Identity Managerで提供されるリクエスト・レベルの承認ワークフロー、運用レベルの承認ワークフローおよびプロビジョニング・ワークフローを通じて、適切なグループとユーザーのみが特権アカウントにアクセスできるようにOracle Privileged Account Managerを構成できます。
Oracle Privileged Account Managerの主要機能は次のとおりです。
次を含む複数のアクセス・ポイント
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソールと呼ばれる)
コンソールには次の2つのインタフェースが関連付けられています。
管理者: Oracle Privileged Account Manager管理者は、このインタフェースを使用してポリシー、ターゲット、アカウント、権限付与およびレポートを管理します。
セルフサービス: Oracle Privileged Account Managerエンド・ユーザーは、このインタフェースを使用して、アカウントを検索、表示、チェックアウトおよびチェックインします。
詳細は、第4章「Oracle Privileged Account Managerコンソールの起動と使用」を参照してください。
Oracle Privileged Account Managerのコマンド行ツール(CLI)
CLIを使用すると、コンソールから実行するタスクのほとんどを実行できます。たとえば、CLIを使用して、アカウントのチェックアウトとチェックイン、ポリシー、ターゲット、アカウントおよび権限付与の作成と管理を実行できます。
詳細は、付録A「コマンド行ツールの使用」を参照してください。
RESTful API
Oracle Privileged Account Managerは、RESTful APIを使用して、内部機能をアプリケーションとスクリプトに公開します。これらのAPIでは、Oracle Privileged Account Managerによって提供される機能との統合が必要なサードパーティが利用できる統合ポイントも提供されます。
注意: これらのAPIは、Representative State Transfer (REST)標準に準拠しているため、RESTfulと見なされます。 詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
アイデンティティを認証してOracle Privileged Account Managerのユーザー・インタフェースからOracle Privileged Account Managerサーバーに伝播するためのOracle Platform Security Services (OPSS)トラスト・サービス
ターゲット・システムに接続し、各システムにおける特権アカウントのパスワードの検出または更新(あるいはその両方)を行うためのアイデンティティ・コネクタ・フレームワーク(ICF)
また、ICFはオープン標準であるため、オラクル社がまだICFコネクタを作成していない他のタイプのターゲットに対しても独自のコネクタを記述できます。
ICFおよび独自コネクタ開発の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項およびJavaを使用したアイデンティティ・コネクタの開発に関する項または.Netを使用したアイデンティティ・コネクタの開発に関する項を参照してください。
ターゲット・システムに対する特権セッションを管理および監視する機能
セッション・マネージャによってターゲット・リソースへのシングル・アクセス・ポイントが作成され、それによって管理者は、特権セッション内のすべてのアクティビティを簡単に制御およびモニターできます。
セッション・マネージャによって、犯罪捜査のための分析および監査データをサポートする履歴レコード(トランスクリプト)も保持されます。
次を含む複数のターゲット・タイプのサポート
UNIXおよびLinuxオペレーティング・システム
Oracle、MSSQL、MySQLおよびSybaseデータベース
LDAP v3に準拠したディレクトリ
拡張レポート機能
Oracle Privileged Account Managerのすぐに使用可能な監査レポートは、Oracle Business Intelligence Publisher 11g (BI Publisher)に統合されているため、特権アカウントを使用しているユーザーを確認できます。また、BI Publisherでは、データ・ソースが異なる書式設定されたレポートを作成および管理できます。
Oracle Fusion Middleware監査フレームワークは、集中管理されたデータベースに監査イベントを記録します。Oracle Privileged Account Managerでは、これらのイベントを使用して監査レポートを生成します。
特権アカウントのアクセスに関連するイベントは、監査とアテステーションのためにOracle Identity ManagerおよびOracle Identity Analyticsに収集されます。
特権アカウントに対するポリシー・ドリブン・アクセス
Oracle Privileged Account Managerには、特権アカウントへのアクセス権の付与を目的とした、次の2つのタイプのポリシーがあります。
パスワード・ポリシー: このポリシー・タイプは、関連する特権アカウントに対して特定のターゲットによって実施されるパスワード構成ルールを取得します。たとえば、アカウントのパスワードに使用する数字の最小および最大数を指定できます。また、パスワード・ポリシーを使用して、Oracle Privileged Account Managerが特権アカウントのパスワードをリセットするために使用するパスワード値を作成します。
使用ポリシー: このポリシー・タイプは、ユーザーまたはグループが特権アカウントにアクセスできる時期と頻度を定義します。
注意: 使用ポリシーを使用して時間間隔を指定しなかった場合、ユーザーまたはグループはいつでも(24時間x7日)特権アカウントにアクセスできます。 |
有人アカウントは、特定のグループまたはユーザーに割り当てられたアカウントです。
無人アカウントは、エンド・ユーザーによって使用されないアカウントです。
たとえば、Oracle Privileged Account ManagerはOPAMサービス・アカウントという無人アカウントを使用して、ターゲット・システムへの接続とその管理を実行します。このアカウントは、Oracle Privileged Account Manager関連のすべての操作(アカウントの検出やパスワードのリセットなど)をそのターゲット・システムで実行するため、OPAMサービス・アカウント(サービス・アカウント)にはいくつかの特別な権限とプロパティを付与する必要があります。
また、Oracle Privileged Account Managerは、CSFマッピング(アプリケーションが実行時にCSFを使用してパスワードを取得することを可能にします)を保持するアプリケーション・アカウントやサービス・アカウントなど、その他の種類の無人アカウントも管理できます。
注意: Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないようにする必要があります。 Oracle Privileged Account Managerにおけるサービス・アカウントの使用の詳細は、第7項「サービス・アカウントの使用」を参照してください。 |
第1.2項「Oracle Privileged Account Managerを使用する理由」で説明した機能に加え、Oracle Privileged Account Managerには次の特長があります。
特権アカウントとターゲットの関連付け
特権アカウントに対するアクセス権のユーザーおよびロールへの付与と、そのアクセス権の削除
Oracleまたはサード・パーティのプラグインを使用してカスタム通知、拡張使用ポリシー、外部リポジトリとパスワードを同期するためのカスタム・ロジックなどの操作を実行できるようにする拡張可能プラグイン・フレームワークの提供
Oracle Privileged Account Managerのアカウント・リクエスト・システムで管理されているアカウントに対するロールベースのアクセスの提供
パスワードのチェックアウトおよびチェックイン、ならびにセッション・チェックアウトによるアカウントへのアクセスの制御
管理者が次のことを実行できることによる「肩越しの」セッション管理の提供
セッション開始の制御
ポリシーベースおよび管理者によるセッションの終了およびロックアウトを介したセッションの制御
セッションのモニターと監査
無人アプリケーションがクライアント証明書認証を使用する場合に、管理されていない特権アカウントが保持される可能性の排除
クライアント証明書認証は、SSL証明書を(パスワードのかわりに)使用して、Oracle Privileged Account Managerサーバーに対する認証を実行します。
チェックインおよびチェックアウト時にデフォルトでパスワードをランダム値にリセット
特権アカウントをチェックアウトしたが明示的にそのアカウントをチェックインしないユーザーに対応するため、指定した期間の経過後に特権アカウントを自動的にチェックインするようにOracle Privileged Account Managerを構成できます。
ユーザーが特権アカウントをチェックアウトできる期間を制限することもできます。
サポートされているターゲットでのパスワード・リセットの管理
次のものを特定するための認可決定の実施
エンド・ユーザーまたは管理者に公開するターゲット、特権アカウントおよびポリシー
エンド・ユーザーおよび管理者が実行できる操作(追加、変更、チェックイン、チェックアウトなど)
ポリシーと特権アカウントの関連付け
ターゲット、特権アカウント、ポリシーに対する作成、読取り、更新、削除および検索(CRUDS)操作の実行とサポート
これは、Oracle Privileged Account ManagerのRESTful APIを通じて公開される主要機能です。チェックインやチェックアウトなどもRESTfulインタフェースを通じてサポートされます。
Oracleの一般的な監査、ロギングおよびレポート機能を使用したアクセスのモニターとレポート
Oracle Privileged Account Managerでは、Oracle Fusion Middleware ControlとOracle BI Publisherの監査、ロギングおよびレポート機能を使用して、ユーザーとグループが持つ特権アカウントへのアクセス権をモニターおよびレポートできます。
複数の高可用性機能の提供
次の図では、Oracle Privileged Account Managerのアーキテクチャおよびトポロジを示します。
図1-1 Oracle Privileged Account Managerのアーキテクチャおよびトポロジ
この図を確認する場合、次の点に注意することが重要です。
Oracle Privileged Account Managerのコア・ロジックは、すべてOracle Privileged Account Managerサーバーに存在します。この機能は、データがJavaScript Object Notation (JSON)としてエンコードされるRepresentational State Transfer (RESTまたはRESTful)サービスを通じて公開されます。
注意: Oracle Privileged Account Managerは、Webベースのユーザー・インタフェース(コンソールとも呼ばれます)およびOracle Privileged Account Managerコマンド行ツール(CLI)を備えています。どちらのインタフェースも基本的にはOracle Privileged Account Managerサーバーのクライアントです。 ただし、サードパーティは、オープンRESTfulサービスを利用することで、カスタム・アプリケーションなどの独自のクライアントを記述できます。詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
セッション・マネージャはOracle Privileged Account Managerのサブコンポーネントであり、Oracle Privileged Account Managerのセッション管理機能を強化します。セッション・マネージャは、Oracle Privileged Account Manager RESTfulインタフェースを介してOracle Privileged Account Managerサーバーと相互作用するJ2EEアプリケーションであり、Oracle Privileged Account Managerサーバーによって使用されるものと同じデータベースを共有します。さらに、セッション・マネージャは、SSHトラフィックをリスニングして応答し、SSH対応Oracle Privileged Account Managerターゲットに対して特権セッションを確立します。
Oracle Privileged Account Managerの認証は、デプロイ先のJ2EEコンテナで提供されるJava Authentication & Authorization Service (JAAS)サポートに依存します。
Oracle WebLogic Server (WebLogic)でのJAASサポートの詳細は、Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解のWebLogicセキュリティ・サービスのアーキテクチャに関する項を参照してください。
Oracle Privileged Account Managerの認証の詳細は、第2.2項「Oracle Privileged Account Managerの認証の理解」を参照してください。
Oracle Privileged Account Manager関連のコンポーネント(Oracle Privileged Account Managerのコンソール、コマンド行インタフェース、サーバーなど)との通信、および各コンポーネント間の通信は、すべてSSLを介して行われます。また、Oracle Privileged Account ManagerのRESTfulインタフェースはSSLを介して公開されます。
Oracle Privileged Account Managerは、Oracle Privileged Account ManagerがデプロイされているWebLogicドメインに構成されているアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアに依存し、透過的に使用します。(ポリシー・ストアおよび資格証明ストアはWebLogicドメインの暗黙的な部分であるため、この図では表されていません。)
アイデンティティ・ストアは、Oracle Privileged Account Managerユーザーおよびグループ用の集中管理されたリポジトリです。
詳細は、第1.3項「Oracle Privileged Account ManagerのOracle Fusion Middlewareへのデプロイ方法」を参照してください。
Oracle Privileged Account Managerコンソールは、Oracle Application Development Framework (ADF)を利用し、これによってレンダリングされます。
ADFの詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technetwork/developer-tools/adf/overview/index.html
Oracle Privileged Account Managerは、Identity Connector Framework (ICF)コネクタを使用してターゲットに接続します。図1-1のように、Oracle Privileged Account Managerは、ICFの使用によって構成される次のコネクタを使用します。
汎用データベース・ユーザー管理コネクタ: Oracle、MSSQL、SybaseおよびMySQLデータベースに接続します。
汎用Unixコネクタ: 任意のUNIXシステムに接続します。
汎用LDAPコネクタ: LDAPターゲット(Oracle Internet Directory、Oracle Universal Directory、Active Directoryなど)に接続します。
詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項を参照してください。
次の図では、Oracle Fusion Middleware内にOracle Privileged Account Managerをデプロイする方法を示します。
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Fusion MiddlewareへのOracle Privileged Account Managerのデプロイ方法における相違点に関する項を参照してください。 |
この図を確認する場合、次の点に注意してください。
すべてのコンポーネントが単一のWebLogicドメイン内にデプロイされます。
Oracle Privileged Account Managerは、アプリケーション・データをOracle Privileged Account Managerデータベースに格納します。また、Oracle Privileged Account Managerスキーマは、Oracle Repository Creation Utilityを介してこのデータベースで作成されます。
Oracle Privileged Session Managerは、永続性についてはOracle Privileged Account Managerデータベースに依存し、Oracle Privileged Account ManagerとそのRESTfulインタフェースを介して通信します。
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソール)は、Oracle Privileged Account Managerサーバーおよびセッション・マネージャとともに、Oracle WebLogic Server管理対象サーバー内にデプロイされます。
コンソールは、Oracle Privileged Account Managerサーバーと通信します。このサーバーは、Oracle WebLogic Server管理対象サーバー(または管理対象サーバー)によって管理されるサーバーとして作成されます。
OPSSアイデンティティ・ストアとOPSSセキュリティ・ストア(ポリシー・ストアと資格証明ストアを含む)は、WebLogicドメイン全体の構成要素であるため、ドメインごとに1つずつ存在します。(OPSSセキュリティ・ストアはWebLogicドメインの暗黙的な部分であるため、この図では表されていません。)
Oracle Privileged Account Managerは、単純にそのドメインに構成されている設定に従って動作します。Oracle Privileged Account Manager固有の構成を使用して、これらの構成要素およびサービスを使用する必要はありません。また、これらの構成要素やサービスの使用方法は、Oracle Privileged Account Managerによって抽象化されるため、背後の動作を詳細に理解する必要はありません。
OPSSアイデンティティ・ストアは、WebLogicに埋め込まれているLDAP(そのまま使用できる)または外部LDAPサーバーを指すことができます。
構成手順は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
ポリシー・ストアおよび資格証明ストアの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のポリシー・ストアの管理に関する項および資格証明ストアの管理に関する項を参照してください。
様々なOracle Privileged Account Managerエンティティの使用を開始する前に、それらのエンティティが互いにどのように関係しているのかを理解する必要があります。図1-3に、この関係を示します。
Oracle Privileged Account Managerパスワード・ポリシーは、ターゲットと特権アカウントのどちらにも適用できます。特権アカウントに適用される場合、そのアカウントのパスワード構成(その複雑性)およびライフサイクル(その変更頻度)は、有効なOracle Privileged Account Managerパスワード・ポリシーによって制御されます。同様に、ターゲットに適用される場合、そのターゲットのサービス・アカウントは、Oracle Privileged Account Managerパスワード・ポリシーによって制御されます。
ターゲットは、1つ以上の特権アカウントが含まれるソフトウェア・システムです。
使用ポリシーは権限付与に適用され、それによって権限受領者が特権アカウントをいつどのように使用できるのかが制御されます。たとえば、使用ポリシーを構成して、アカウントへのユーザーのアクセスがいつ有効期限切れになるのかを制御できます。
ユーザーおよびグループ(ロール)は、Oracle Privileged Account Managerアイデンティティ・ストアで保持されます。これらのユーザーおよびグループは、権限付与によってのみ特権アカウントにアクセスできます。ユーザーまたはグループ・メンバーが特権アカウントへのアクセスを試み、Oracle Privileged Account Managerによって権限付与が検出されると、その権限受領者は、その権限付与およびそれに関連する使用ポリシーに基づいてそのアカウントへのアクセスを許可されます。