8 Oracle Privileged Account Managerの構成

この章では、Oracle Privileged Account Managerを構成する方法について説明します。

次のトピックが含まれます:

概要
開始前の重要な注意点
Oracle Privileged Account Managerの構成ロードマップ
オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化
新しいWebLogicドメインでのOracle Privileged Account Managerの構成
データベース・セキュリティ・ストアの構成
Oracle WebLogic管理サーバーの起動
インストール後のタスク
管理対象サーバーの起動
ユーザーへのアプリケーション構成者ロールの割当て
非TDEモードの設定
オプション: OPAMコンソールの構成
Oracle Privileged Account Managerの検証
インストール後のOracle Privileged Account Managerのスタート・ガイド

8.1 概要

Oracle Privileged Account Managerの概要については、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のOracle Privileged Account Managerの理解に関する項を参照してください。

8.2 開始前の重要な注意点

Oracle Privileged Account Managerの構成を開始する前に、IAM_HOMEは、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracleホーム・ディレクトリを示すことに注意してください。このOracleホーム・ディレクトリには任意のパスを指定できます。

8.3 Oracle Privileged Account Managerの構成ロードマップ

表8-1に、Oracle Privileged Account Managerを構成するためのタスクを示します。

表8-1 Oracle Privileged Account Managerの構成フロー

番号	タスク	説明
1	オプション: OPAMデータ・ストアでのTDEの有効化	詳細は、第8.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」を参照してください。
2	Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。	詳細は、第8.5項「新しいWebLogicドメインにおけるOracle Privileged Account Managerの構成」を参照してください。
3	データベース・セキュリティ・ストアを構成します。	詳細は、第8.6項「データベース・セキュリティ・ストアの構成」を参照してください。
4	インストール後のタスクを実行してください。	次のインストール後のタスクを実行してください。第8.7項「Oracle WebLogic管理サーバーの起動」第8.8項「インストール後のタスク」第8.9項「管理対象サーバーの起動」第8.10項「ユーザーへのアプリケーション構成者ロール割当て」第8.11項「オプション: 非TDEモードの設定」第8.12項「オプション: OPAMコンソールの構成」第8.13項「Oracle Privileged Account Managerの検証」第8.14項「インストール後のOracle Privileged Account Managerのスタート・ガイド」

8.4 オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化

Oracle Privileged Account Managerは、Oracle Database等価的データ暗号化(TDE)モードで動作可能です。TDEモードは有効にすることも無効にすることもできます。セキュリティを強化するためにTDEモードを有効にすること強くお薦めします。

この項には次のトピックが含まれます:

データベースでのTDEの有効化
OPAMスキーマでの暗号化の有効化

8.4.1 データベースでのTDEの有効化

Oracle Privileged Account ManagerのデータベースでのTDE(透過的データ暗号化)の有効化の詳細は、使用しているOracle Databaseのバージョンに応じて次のいずれかの手順を参照してください。

Oracle Databaseリリース11.2でTDEを有効化するには、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
Oracle Databaseリリース12.1でTDEを有効化するには、『Oracle Database Advanced Securityガイド』の透過的データ暗号化の構成に関する項を参照してください。

詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した保存済データの保護に関する項を参照してください。

Oracle Privileged Account ManagerのデータベースでTDEを有効化したら、OPAMスキーマの暗号化を有効にする必要があります。第8.4.2項「OPAMスキーマでの暗号化の有効化」を参照してください。

8.4.2 OPAMスキーマでの暗号化の有効化

OPAMスキーマの暗号化を有効にするには、sqlplusまたはその他のクライアントを使用してOPAMスキーマ・ユーザーでopamxencrypt.sqlスクリプトを実行します。

IAM_HOME/opam/sql/opamxencrypt.sql

次に例を示します。

sqlplus DEV_OPAM/welcome1 @IAM_HOME/opam/sql/opamxencrypt.sql

8.5 新しいWebLogicドメインでのOracle Privileged Account Managerの構成

このトピックでは、新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成する方法について説明します。次の項が含まれます:

適切なデプロイメント環境
デプロイされるコンポーネント
依存関係
手順

8.5.1 適切なデプロイメント環境

新しいWebLogicドメインでOracle Privileged Account Managerを構成する場合には、このトピックの構成手順を実行してください。

8.5.2 デプロイされるコンポーネント

この項の構成を実行すると、Oracle Privileged Account Managerが新しいWebLogicドメインにデプロイされます。

8.5.3 依存性

この項の構成は、次のものに依存しています。

Oracle WebLogic Server 11gリリース1 (10.3.6)
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Privileged Account Managerのデータベース・スキーマ。詳細は、第3.2.5項「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。

8.5.4 手順

新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成するには、次の手順を実行します。

IAM_HOME/common/bin/config.shスクリプト(LinuxまたはUNIXの場合)またはIAM_HOME\common\bin\config.cmd(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。

Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。

注意:

IAM_HOMEがこの例で使用されます。Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracle Identity and Access Managementホーム・ディレクトリから、このスクリプトを実行する必要があります。

「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。

「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_HOME]を選択します。

注意:

Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_HOME]オプションを選択すると、デフォルトで次のオプションも選択されます。

Oracle Platform Security Service 11.1.1.0 [IAM_HOME]
Oracle JRF - 11.1.1.0 [oracle_common]
Oracle OPSS Metadata for JRF 11.1.1.0 [oracle_common]

「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。

注意:

ドメイン・ホームとアプリケーション・ホームのデフォルトの場所は、それぞれMW_HOME/user_projects/domainsとMW_HOME/user_projects/applicationsです。ただし、ドメイン・ホームとアプリケーション・ホームのディレクトリは、ミドルウェア・ホームとOracleホーム両方の外部に作成することをお薦めします。

管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」の下でモードを選択します。「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、OPAMスキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。

スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。

テストが失敗した場合は、「前へ」をクリックし、問題を修正して、やり直します。

テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、次を構成できます。
- 管理サーバー
- 管理対象サーバー、クラスタ、およびマシン
- デプロイメントとサービス
- RDBMSセキュリティ・ストア
任意のオプションを選択し、「次」を選択します。
オプション: 次の管理サーバー・パラメータを構成します。
- 名前
- リスニング・アドレス
- リスニング・ポート
- SSLリスニング・ポート
- SSLが有効か無効か

オプション: 必要に応じて、管理対象サーバーを構成します。

注意:

Oracle Privileged Account Managerがデプロイされるデフォルトの管理対象サーバー名はopam_server1です。

詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』の管理対象サーバーの構成に関する項を参照してください。

オプション: 必要に応じて、クラスタを構成します。

Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Management高可用性ガイドのOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。

ヒント:
マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。
オプション: 管理サーバーをマシンに割り当てます。
オプション: 管理対象サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、デプロイメント、アプリケーションおよびサービスの構成のサマリーを確認できます。ドメインの構成を確認し、「作成」をクリックしてドメインの作成を開始します。

デフォルトでは、Oracle Privileged Account Managerをサポートする新しいWebLogicドメインはMW_HOME\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。LinuxまたはUNIXの場合、ドメインはデフォルトでMW_HOME/user_projects/domainsディレクトリに作成されます。

8.6 データベース・セキュリティ・ストアの構成

新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成した後で、Oracle WebLogic管理サーバーを起動する前に、configureSecurityStore.pyスクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。詳細は、第11章「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。

8.7 Oracle WebLogic管理サーバーの起動

Oracle Privileged Account Managerをインストールおよび構成した後、Oracle WebLogic管理サーバーを起動する必要があります。付録C「スタックの起動」を参照してください。

8.8 インストール後のタスク

Oracle Privileged Account Managerをインストールおよび構成した後、opam-config.shスクリプト(LinuxまたはUNIXの場合)またはopam-config.batスクリプト(Windowsの場合)を実行します。

スクリプトを実行する前に、WebLogic管理サーバーが稼働中であることを確認します。Oracle WebLogic管理サーバーの起動方法の詳細は、付録C「スタックの起動」を参照してください。

注意:

ドメインを拡張する場合、 opam-config.shスクリプト(LinuxまたはUNIXの場合)またはopam-config.batスクリプト(Windowsの場合)の実行前に、WebLogic管理サーバーが再起動していることを確認します。

ANT_HOME、ORACLE_HOME、JAVA_HOMEおよびpermgenサイズを設定します。

例:

Windowsの場合:

set ORACLE_HOME= ##set Oracle_Home here##
set ANT_HOME=MW_HOME\modules\org.apache.ant_1.7.1
set JAVA_HOME=MW_HOME\jdk160_14_R27.6.4-18
set ANT_OPTS=-Xmx512M -XX:MaxPermSize=512m

LinuxまたはUNIXの場合:

set ORACLE_HOME ##set Oracle_Home here##
set ANT_HOME $MW_HOME/modules/org.apache.ant_1.7.1
set JAVA_HOME $MW_HOME/jdk160_14_R27.6.5-32
set ANT_OPTS "-Xmx512M -XX:MaxPermSize=512m"

注意:

64ビットのプラットフォームで汎用jarファイルを使用してOracle WebLogic Serverをインストールすると、JDKはOracle WebLogic Serverと同時にインストールされません。Oracle WebLogic Serverをインストールする前に、JDKを個別にインストールする必要があります。この場合は、対応してJAVA_HOME場所を指定する必要があります。

IAM_HOME/opam/binディレクトリに移動して、opam-config.shスクリプト(LinuxまたはUNIXの場合)またはopam-config.batスクリプト(Windowsの場合)を実行します。プロンプトが表示されたら、次の情報を入力します。
- Oracle WebLogic管理ユーザー名
- Oracle WebLogic管理パスワード
- Oracle WebLogic管理サーバーURL
- Oracle WebLogicドメイン名
  
  注意:
  Oracle WebLogicドメイン名は大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。
- Oracleミドルウェア・ホーム
  
  注意:
  Oracleミドルウェア・ホームは大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。
opam-configスクリプトのログ・ファイルは、DOMAIN_HOME/opam-config.logに作成されます。

前述のディレクトリが存在しない場合は、opam-configスクリプトのためのログ・ファイルがIAM_HOME/opam/config/opam-config.logに作成されます。

ログ・ファイルの場所はスクリプトの実行後に画面に出力されます。

注意:

opam-config.shスクリプト(LinuxまたはUNIXの場合)またはopam-config.batスクリプト(Windowsの場合)を実行した後、Oracle WebLogic管理サーバーを再起動する必要があります。付録C「スタックの起動」の説明を参照してください。

8.9 管理対象サーバーの起動

付録C「スタックの起動」の説明に従って、Oracle Privileged Account Manager管理対象サーバーを起動する必要があります。

8.10 ユーザーへのアプリケーション構成者ロール割当て

インストール・プロセスを完了すると、管理者ロールを持つユーザーは存在しません。ユーザーを選択し、そのユーザーにアプリケーション構成者ロールを付与する必要があります。

注意:

詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のユーザーへのアプリケーション構成者ロールの割当てに関する項を参照してください。

アプリケーション構成者ユーザーが持つことができる管理ロールの詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理の管理ロール・タイプに関する項を参照してください。

8.11 オプション: 非TDEモードの設定

注意:

TDEモードを無効にする場合は、tdemodeフラグをfalseに設定する必要があります。

注意:

このセクションに説明されている手順は、第8.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」をスキップした場合のみ必要です。

TDEモードを無効にするには、次の手順を実行します。

ORACLE_HOMEおよびJAVA_HOME.環境変数を設定します。
次のスクリプトを実行します。

Windowsの場合:
```
ORACLE_HOME\opam\bin\opam.bat -url OPAM_Server_URL -x modifyglobalconfig -propertyname tdemode -propertyvalue false -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
```
ここでは、OPAM_Server_URLにはhttps://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opamからのURLを指定します。

LinuxまたはUNIXの場合:
```
ORACLE_HOME/opam/bin/opam.sh -url OPAM_Server_Url -x modifyglobalconfig -propertyname tdemode -propertyvalue false -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
```
ここでは、OPAM_Server_URLにはhttps://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opamからのURLを指定します。

注意:

TDEモードは、Oracle Privileged Account Managerをインストールおよび構成した後、いつでも有効化または無効化できます。TDEモードを後から変更する方法の詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のディスクへのデータ保存に関する項を参照してください。

8.12 オプション: OPAMコンソールの構成

アプリケーション構成者ユーザーが、次のURLを使用してログインした場合:

http://opam-managedserver-host:opam-managedserver-nonsslport/oinav/opam

Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーの接続設定を自動検出し、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。

アプリケーション構成者ユーザーは、サーバー接続設定を変更するために、左側のペインにある「構成」オプションに移動して、「サーバー接続」をクリックできます。このユーザーは、「サーバー接続」タブで、新しいホストとポートを指定できます。

8.13 Oracle Privileged Account Managerの検証

インストール後手順を含め、インストール・プロセスの完了後、Oracle Privileged Account Managerのインストールと構成を次の方法で検証できます。

次のURLを使用して、Oracle Privileged Account Manager Serverが起動して稼働していることを確認します。
```
https://opam-managedserver-host:opam-managedserver-sslport/opam
```
ユーザー名とパスワードの入力を求められます。WebLogicのユーザー名とパスワードを入力します。次の結果が表示されます。
```
{
  ServerState: {
    Status: "Oracle Privileged Account Manager Server is up!",
    StatusCode: 0
  },
  Requestor: "WebLogic_username",
  RequestorGroups: [
    "Administrators"
  ]
}
```
次のURLを使用して、Oracle Privileged Account Managerの管理コンソールにログインします。
```
http://opam-managedserver-host:opam-managedserver-nonsslport/oinav/opam
```
OPAM管理対象サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。
Oracle WebLogic Server管理コンソールを検証します。Oracle Privileged Account Managerのインストールおよび構成に成功すると、このコンソールに、デフォルトの管理対象サーバーであるopam_server1が実行モードで表示されます。
「ドメイン構造」ペインで、「デプロイメント」をクリックします。「デプロイメント」表に次のアプリケーションがリストされ、状態がActiveになる必要があります。
- oinav
- opam
- opamsessionmgr

8.14 インストール後のOracle Privileged Account Managerのスタート・ガイド

Oracle Privileged Account Managerのインストール後、Oracle Fusion Middleware Oracle Privileged Account Managerの管理の「OPAMの管理のスタート・ガイド」の章を参照ください。