11 ユーザー・アカウントおよびアクセス権の管理

ここでのトピック

• Oracle AVDF管理アカウントの概要

• Audit Vault Serverの管理アカウントの構成

• セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセスの管理

• Oracle AVDFでのユーザー・パスワードの変更

Oracle AVDF管理アカウントの概要

管理者がOracle Audit Vault and Database Firewallにログインすると、管理機能にのみアクセスできるのに対し、監査者は監査機能にのみアクセスできます。

Oracle AVDFには、次の3つのタイプの管理ユーザー・アカウントがあります。

• Audit Vault Serverスーパー管理者:

  • 全システム的な設定を管理します。

  • スーパー管理者および管理者のユーザー・アカウントを作成します。

  • すべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスできます。

  • セキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を管理者に付与します。

• Audit Vault Server管理者: スーパー管理者によってアクセス権を付与された特定のセキュア・ターゲットまたはセキュア・ターゲット・グループにアクセスできます。管理者は全システム的な設定を管理できません。

• Database Firewall管理者: Database Firewall管理インタフェースにアクセスできます。

Oracle AVDFのインストール後に、「インストール後の構成」ページを使用すると、Audit Vault Server用に1つのスーパー管理者アカウントおよび1つのスーパー監査者アカウントに対するパスワードを、Database Firewall用に1つの管理者アカウントに対するパスワードを作成および指定できます。

それ以降、サーバーに対して、Audit Vault Serverスーパー管理者は他の管理ユーザーを作成でき、スーパー監査者は他の監査ユーザーを作成できます。

Database Firewallに設定できる管理者は1人のみです。インストール後の構成の詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。

この章では、Oracle AVDF管理者ユーザー・インタフェース用のユーザー・アカウントおよびパスワードの管理について説明します。監査者アカウントの管理の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。

Audit Vault Serverの管理アカウントの構成

ここでのトピック

• Oracle AVDFユーザー・アカウントの保護に関するガイドライン

• Audit Vault Serverの管理アカウントの作成

• Audit Vault Serverのユーザー・アカウント・タイプの変更

• Audit Vault Server管理者アカウントの削除

Oracle AVDFユーザー・アカウントの保護に関するガイドライン

ベスト・プラクティスとして、インストール済のAudit Vault and Database Firewallユーザー・アカウントのみをバックアップ・アカウントとして使用してください。毎日の
Oracle AVDF操作を担当するユーザー用には、一意のユーザー名およびパスワードの新しいユーザー・アカウントを追加します。

注意: Audit Vault and Database Firewallでは、引用符付きのユーザー名を使用できません。たとえば、"jsmith"は、Oracle AVDFユーザー・アカウントまたはOracle AVDFで使用するためにセキュア・ターゲットで作成したアカウントとして有効なユーザー名ではありません。

Audit Vault Serverの管理アカウントの作成

Audit Vault Serverスーパー管理者は、スーパー管理者と管理者の両方のユーザー・アカウントを作成できます。

Audit Vault Serverで管理アカウントを作成する手順は、次のとおりです。

1. Audit Vault Serverにスーパー管理者としてログインします。

2. 「設定」タブをクリックします。

   デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループが表示されます。

3. 「作成」をクリックします。

4. ユーザー名とパスワードを入力し、該当するフィールドにパスワードを再入力します。

   Oracle AVDFでは、"jsmith"などの引用符付きのユーザー名を使用できません。

5. 「タイプ」ドロップダウン・リストで、「管理者」または「スーパー管理者」を選択します。

   これらのロールの詳細は、「Oracle AVDF管理アカウントの概要」を参照してください。

6. 「保存」をクリックします。

   新しいユーザーが「管理者の管理」ページにリスト表示されます。

Audit Vault Serverのユーザー・アカウント・タイプの変更

管理アカウント・タイプは、管理者からスーパー管理者に、またはその反対に変更できます。

ユーザーのアカウント・タイプを管理者からスーパー管理者に変更した場合、そのユーザーはすべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスできます。

Oracle AVDFでユーザー・アカウント・タイプを変更する手順は、次のとおりです。

1. Audit Vault Serverにスーパー管理者としてログインします。

2. 「設定」タブをクリックします。

   デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループが表示されます。

3. 変更するユーザー・アカウントの名前をクリックします。

4. 「管理者の変更」ページの「タイプ」セクションで、「変更」をクリックします。

5. 「タイプ」ドロップダウン・リストで、新しい管理者タイプを選択します。

6. 「スーパー管理者」から「管理者」にタイプを変更した場合、必要に応じて、このユーザーに対するセキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を付与または取り消します。

   1. アクセス権を付与または取り消すセキュア・ターゲットまたはセキュア・ターゲット・グループを選択します。

   2. 「アクセス権の付与」または「アクセス権の取消し」をクリックします。

      チェック・マークは、アクセス権が付与されていることを示します。Xは、アクセス権が取り消されていることを示します。

   3. 必要に応じて、手順aおよびbを繰り返します。

7. 「保存」をクリックします。

Audit Vault Server管理者アカウントの削除

Audit Vault Server管理者ユーザー・アカウントを削除する手順は、次のとおりです。

1. Audit Vault Serverにスーパー管理者としてログインします。

2. 「設定」タブをクリックします。

   デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループが表示されます。

3. 削除するユーザーを選択し、「削除」をクリックします。

セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセスの管理

ここでのトピック

• ユーザー・アクセスの管理の概要

• ユーザーによるアクセス権の制御

• セキュア・ターゲットまたはセキュア・ターゲット・グループによるアクセス権の制御

ユーザー・アクセスの管理の概要

スーパー管理者は、すべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスでき、特定のターゲットおよびグループへのアクセス権を管理者に付与できます。

セキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権は、次の2つの方法で制御できます。

• セキュア・ターゲットまたはセキュア・ターゲット・グループを変更して、1人以上のユーザーに対するアクセス権を付与または取り消します。

• ユーザー・アカウントを変更して、1つ以上のセキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を付与または取り消します。

ユーザーによるアクセス権の制御

ユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループを制御する手順は、次のとおりです。

1. Audit Vault Serverにスーパー管理者としてログインします。

2. 「設定」タブをクリックします。

   デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループが表示されます。

3. 変更するユーザー・アカウントの名前をクリックします。

   「管理者の変更」ページが表示されます。

4. 「ターゲットとグループ」セクションで、このユーザーに対するアクセス権を付与または取り消すセキュア・ターゲットまたはセキュア・ターゲット・グループを選択します。

5. 「アクセス権の付与」または「アクセス権の取消し」をクリックします。

   チェック・マークは、アクセス権が付与されていることを示します。"x"は、アクセス権が取り消されていることを示します。

6. 必要に応じて、手順4および5を繰り返します。

7. 「保存」をクリックします。

セキュア・ターゲットまたはセキュア・ターゲット・グループによるアクセス権の制御

セキュア・ターゲットまたはセキュア・ターゲット・グループにアクセスできるユーザーを制御する手順は、次のとおりです。

1. Audit Vault Serverにスーパー管理者としてログインします。

2. 「設定」タブをクリックした後、「アクセスの管理」をクリックします。

3. アクセス権限を定義するセキュア・ターゲットまたはセキュア・ターゲット・グループの名前をクリックします。

   アクセス権限の変更ページが表示され、このセキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセス権限がリスト表示されます。スーパー管理者は、デフォルトでアクセス権を持っています。

4. 「アクセス権限の変更」ページで、このセキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を付与または取り消すユーザーを選択します。

5. 「アクセス権の付与」または「アクセス権の取消し」をクリックします。

   チェック・マークは、アクセス権が付与されていることを示します。"x"は、アクセス権が取り消されていることを示します。

6. 必要に応じて、手順4および5を繰り返します。

7. 「保存」をクリックします。

Oracle AVDFでのユーザー・パスワードの変更

ここでのトピック

• 推奨パスワードのガイドライン

• Audit Vault Server管理者ユーザー・パスワードの変更

• Database Firewall管理者パスワードの変更

推奨パスワードのガイドライン

Audit Vault and Database Firewallユーザー・アカウントには、パスワード変更ポリシーを適用する必要があります。たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。

パスワードは一意である必要はありませんが、次のようなパスワードをお薦めします。

• 大文字英字、英字、数字、特殊文字(プラス記号、カンマ、ピリオドまたはアンダースコア)がそれぞれ少なくとも1つ含まれるようにします。

• 8文字以上30文字以下にします。

• 次の文字で構成します。

  • 小文字: a-z

  • 大文字: A-Z

  • 数値: 0-9

  • 句読点記号: カンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)およびアンダースコア(_)

• ユーザー名と同じにならないようにします。

• Oracleの予約語は使用できません。

• わかりやすい語(welcome、account、database、userなど)は使用しないでください。

• 連続する文字が含まれないようにします。

Audit Vault Server管理者ユーザー・パスワードの変更

Audit Vault Serverユーザー・パスワードを変更する手順は、次のとおりです。

1. Audit Vault Serverに管理者としてログインします。

2. 「設定」タブをクリックした後、「パスワードの変更」をクリックします。

3. 「現在のパスワード」と「新規パスワード」に値を入力した後、該当するフィールドに新しいパスワードを再入力します。

   「推奨パスワードのガイドライン」を確認してください。

4. 「保存」をクリックします。

Database Firewall管理者パスワードの変更

Database Firewall管理者パスワードを変更する手順は、次のとおりです。

1. Database Firewallにログインします。

   「Database FirewallコンソールUIへのログイン」を参照してください。

2. 「ユーザー」メニューで、「リスト」をクリックします。

3. 「ユーザー」リストで、パスワードを変更するユーザー名をクリックします。

4. 「パスワード」フィールドと「パスワードの確認」フィールドに新しいパスワードを入力して確認します。

5. ユーザー・パスワード・フィールドに、古いパスワード(変更するパスワード)を入力します。

6. 「保存」をクリックします。