Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、一般的に使用されているディレクトリ・テクノロジおよびID管理テクノロジと統合するためのOracle Privileged Account Managerの構成方法について説明しています。
注意: Oracle Identity Management Suite向けの統合の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。 |
この章では、次の項目について説明します。
この項では、Oracle Privileged Account ManagerとOracle Identity Managerとの統合プロセスについて説明します。
内容は次のとおりです。
第19.1.1項「Oracle Privileged Account ManagerとOracle Identity Managerとの統合トポロジ」
第19.1.6項「Oracle Privileged Account Managerのメタデータによるカタログ・エントリのタグ付け」
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Identity Managerと統合する場合の相違点に関する項を参照してください。 |
Oracle Privileged Account ManagerとOracle Identity Managerとの統合により、Oracle Privileged Account Managerの権限受領者でもあるLDAPグループに対するアクセスを管理できるようになります。具体的には、この2つの製品の統合により、次のことが可能になります。
入社から退社までのアイデンティティ・ライフサイクルを管理できます。
HRシステムの更新に基づいて適切なLDAPグループに対してユーザーを自動的に追加および削除するネイティブ機能を提供します。
アカウントに対するアクセスを手動でリクエストする機能を提供します。
リクエストの承認を取得する機能がサポートされます。
Oracle Privileged Account Managerの独自のレポートを拡張するか、そのかわりとして、アテステーション・レポートで使用できるレポートがサポートされます。
また、Oracle Privileged Account Managerは、ワークフローをサポートするためにOracle Identity Managerを使用できます。統合の要点は次のとおりです。
Oracle Privileged Account Manager管理者は、Oracle Privileged Account Managerのロールに付与されている特権アカウントにアクセスします。
エンド・ユーザーは、Oracle Identity Managerを通じてこれらのロールのメンバーシップをリクエストできます。
これらのリクエストを承認するためにOracle Identity Managerの標準ワークフローが使用されます。
リクエストしたロールのメンバーシップによって、エンド・ユーザーは、Oracle Privileged Account Managerの対応する特権アカウントにアクセスできます。
この統合をサポートするために、Oracle Identity Managerでは、次のことを実現しています。
適切なエンタープライズ・ロールおよび権限のリソース・カタログへの移入。
現実には、Oracle Identity Managerは実際のアカウントに直接アクセス権を付与するのではなく、そのアカウントの表現のみに付与するため、Oracle Privileged Account Managerターゲット・アカウントは権限です。
注意: IBM WebSphereでOracle Privileged Account Managerを使用している場合は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Fusion MiddlewareでのOracle Privileged Account Managerのデプロイ方法の相違点に関する項を参照してください。 |
この項では、実際の統合プロセスを開始する前に完了しておく必要があるタスクについて説明します。次のようなタスクがあります。
この章の手順では、Oracle Identity Managerがすでにインストールされていることを前提としています。Oracle Identity Managerをまだインストールしていない場合は、その手順について『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
この統合のためにOracle Identity Manager管理者を構成する場合、その管理者は次のタスクを実行できる必要があります。
ビジネス・ルールに基づいて新しいユーザーを適切なLDAPグループに割り当てるOracle Identity Managerルールを構成します。このルールは、新しいユーザーをユーザー画面から手動で割り当てる場合とHR/テキスト・フィードを使用して自動的に割り当てる場合のどちらにも適用する必要があります。
Oracle Identity Managerのネイティブ機能を使用して、Oracle Identity Managerリソース・カタログのアイテムに対するリクエストを作成し、カタログが適切に移入されていることを確認します。Oracle Identity Managerによって、ユーザーは、Oracle Identity Managerカタログに含まれる権限に対するアクセスをリクエストできます。
承認者フィールドに適切な値を設定します。たとえば、ある従業員が、長期間会社に不在の別の従業員の電子メール・アカウントに対するアクセスをリクエストする場合です。
緊急リクエストを処理します(Oracle Privileged Account Managerユーザーが通常のビジネス・プロセスの外部にあるシステムにアクセスする必要がある場合)。
緊急リクエストは、ビジネス要件およびビジネス・ルールに基づいて処理されます。たとえば、Oracle Privileged Account Managerユーザーがターゲットに対する権限を持っているが、アクセス・ポリシーの制限によってパスワードを取得できない場合、Oracle Privileged Account Manager管理者はそのターゲット・アカウントのアクセス・ポリシーを一時的に変更できます。
ユーザーがOracle Identity Managerを待機できない場合、Oracle Privileged Account Manager管理者は、かわりに手動で直接アクセスできます(アカウントに特定の権限受領者を追加するなど)。
Oracle Identity Manager管理者の構成手順をレビューするには、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』の管理ロールの管理に関する項を参照してください。
外部アイデンティティ・ストアをOracle Privileged Account Managerのメイン認証ソースとして構成する必要があります。詳細は、第3.3.2項「Oracle Privileged Account Managerの外部アイデンティティ・ストアの構成」を参照してください。
Oracle Privileged Account Managerの外部アイデンティティ・ストアを構成したら、同一のアイデンティティ・ストアを使用するようにOracle Identity Managerを構成する必要があります。
LDAPSyncを使用することで、Oracle Privileged Account Managerと同じLDAPサーバーを使用するようにOracle Identity Managerを構成できます。
手順については、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のLDAP同期を有効にするための前提条件の完了に関する説明を参照してください。
また、汎用LDAPコネクタを使用して、Oracle Privileged Account Managerと同じLDAPサーバーを使用するようにOracle Identity Managerを構成することもできます。
サーバーに対して必要なLDAPコネクタの設定および構成の詳細は、第19.1.3.1項「汎用LDAPコネクタのインストールおよび構成」を参照してください。
注意: ベスト・プラクティスは、Access Managerも有効になっている環境にLDAPSyncを使用することです。環境でAccess Managerが有効になっていない場合、LDAPコネクタを使用できます。一般に、ほとんどの製品デプロイではLDAPSyncを使用するようにします。 |
Oracle Privileged Account Managerは、共有アカウントおよび特権アカウント(UNIXシステムのroot
など)を管理する目的で最適化されています。
Oracle Privileged Account Managerは、ユーザーが受領した権限付与に基づいて、ターゲット上でアカウントのパスワードをチェックアウトできるユーザーを判別します。権限付与は、直接行うか、グループのメンバーシップを通じて行うことができます。グループ自体は、静的または動的のいずれかです。
これらのLDAPグループは、可能なかぎりエンタープライズ・ロールと一致している必要があります。たとえば、「データ・センター製品UNIX管理者」エンタープライズ・ロールがある場合、対応するLDAPグループが存在する必要があります。この一致の利点は、これらのグループを使用して、Oracle Privileged Account Managerターゲット・アカウントに加え、他のアプリケーションに対するアクセスを制御できることにあります。
注意: LDAPグループを作成するには、LDAP管理者に連絡してください。 |
Oracle Privileged Account ManagerサーバーのWebサービス認証局(CA)の証明書が組み込まれるようにOracle Privileged Account Managerのカタログ同期化タスクを構成する必要があります。そうしないと、Oracle Privileged Account Managerに対するHTTPS Webサービス・コールが正常に実行されません。
このプロセスには、2つの手順があります。
注意: IBM WebSphereサーバーでOracle Privileged Account Managerを使用している場合は、これらの手順は若干異なります。手順は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のOracle Identity Managerと統合する際の相違点に関する項を参照してください。 |
CA証明書の取得
Oracle Privileged Account ManagerサーバーのCA証明書を取得する手順は、次のとおりです。
ブラウザから、Oracle Privileged Account ManagerサーバーWebサービスに接続します。
https://hostname:sslport/opam
CA証明書(.pem
)ファイルを特定して、トラストストアに保存します。
たとえば、Firefoxブラウザの場合は次の手順を実行します。
ブラウザのアドレス・バーにあるロック・アイコンをクリックします。
情報ダイアログ・ボックスが表示されたら、詳細をクリックします。
「ページ情報」ダイアログで、「証明書の表示」をクリックします。
「証明書ビューア」ダイアログで、「詳細」タブを選択して証明書の階層を表示します。
証明書階層リストで最初の(root)証明書を選択して、「エクスポート」をクリックします。
証明書をファイルに保存ダイアログ・ボックスが表示されたら、ファイルを保存するディレクトリに移動します。たとえば、/tmp/opam.pem
に移動します。
「次のタイプとして保存」メニューから「X.509証明書(PEM)」を選択し、ファイル名としてopam.pem
と入力し、「保存」をクリックします。
CA証明書のインポート
次のコマンドを実行して、CA証明書ファイルopam.pem
を、Oracle Identity Managerを実行しているサーバー上のWebLogicトラストストアにインポートします。
keytool -import -file FILE_LOCATION -keystore TRUSTSTORE_LOCATION
-storepass TRUSTSTORE_PASSWORD -trustcacerts -alias ALIAS
説明
FILE_LOCATIONは、証明書ファイルのフルパスおよび名前です。
ALIASは、証明書の別名です。
TRUSTSTORE_PASSWORDは、トラストストアのパスワードです。
TRUSTSTORE_LOCATIONは、次のトラストストア・パスのいずれかです。
次を使用している場合: | このディレクトリのキーストアに対する証明書をインポートします: |
---|---|
Oracle jrockit_R27.3.1-jdk |
JROCKIT_HOME /jre/lib/security |
デフォルトのOracle WebLogic Server JDK | WEBLOGIC_HOME /java/jre/lib/security/cacerts |
Oracle jrockit_R27.3.1-jdk またはOracle WebLogic Server JDK以外のJDK |
JAVA_HOME /jre/lib/security/cacerts |
注意: この手順では、Oracle Identity Managerをすでにインストールしており、手順を実行するユーザーがこの項に記載されている各種構成タスクを実行できるOracle Identity Manager管理者であることを前提としています。 |
Oracle Identity Managerを統合のために準備するには、次のトピックに記載されているタスクを実行する必要があります。
LDAPアイデンティティ・ストアと連携する汎用LDAPコネクタ・ファイルをダウンロードし、ターゲットとしてインストールする必要があります。
インストールの手順は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のコネクタのインストールに関する項を参照してください。
コネクタをインストールしたら、アプリケーション・インスタンスを作成してカタログで使用できるようにする必要があります。
手順は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の第IV部「アプリケーション管理」を参照してください。
opamSetup
スクリプトの実行Oracle Privileged Account ManagerとOracle Identity Managerとの統合を運用できるようにするには、Oracle Privileged Account ManagerとOracle Identity Managerとの統合設定スクリプト(opamSetup
)を実行する必要があります。このスクリプトは次のディレクトリで入手できます。
<OIM Oracle Home>/server/bin
次のコマンドのいずれかを実行し、スクリプトを開始します。
UNIXの場合は、opamSetup.sh
を使用します。
Windowsの場合は、opamSetup.bat
を使用します。
opamSetup -oimUrl <OIM URL> -oimUser <OIM username> -oimPassword <OIM user password> -opamItResource <OPAM IT resource name> -opamServer <OPAM server name> -opamPort <OPAM server port> -opamUser <OPAM user> -opamPassword <OPAM user password> -idStoreItResource <ID Store IT resource name> [-ctxFactory <Initial context factory>] [-help]
説明:
オプション | 説明 |
---|---|
-oimUrl <OIM URL> | Oracle Identity ManagerサーバーのURLアドレスを指定します。 |
-oimUser <OIM username> | Oracle Identity Managerのログイン・ユーザー名を指定します。 |
-oimPassword <OIM user password> | Oracle Identity Managerのログイン・パスワードを指定します。 |
-opamItResource <OPAM IT resource name> | Oracle Privileged Account ManagerのITリソース名を指定します。 |
-opamServer <OPAM server name> | Oracle Privileged Account Managerサーバーのパスとディレクトリ名を指定します。 |
-opamPort <OPAM server port> | Oracle Privileged Account Managerサーバーのポートを指定します。 |
-opamUser <OPAM user> | Oracle Privileged Account Managerのログイン・ユーザー名を指定します。
注意: このコマンドを実行するには、「ユーザー・マネージャ」管理ロールとセキュリティ管理者管理ロールを持つ管理者である必要があります。 |
-opamPassword <OPAM user password> | Oracle Privileged Account Managerのログイン・パスワードを指定します。 |
-idStoreItResource <ID Store IT resource name> | アイデンティティ・ストア内のITリソースの名前を指定します。 |
-ctxFactory <Initial context factory> | コンテキスト・ファクトリの名前(通常はweblogic.jndi.WLInitialContextFactory )を指定します。 |
-help | オプションです。このコマンドの使用オプションが表示されます。 |
注意: 誤ってパラメータを省略した場合は、指定するように求められます。 |
opamSetup
スクリプトは、次のタスクを実行します。
opamServer
、opamPort
、opamUser
およびopamPassword
設定スクリプト・パラメータを使用してOracle Privileged Account ManagerのITリソースを作成します。
次の特性を備えたOracle Privileged Account Manager同期化スケジュール済ジョブを作成します。
名前: Oracle Privileged Account Managerカタログ同期化ジョブ。この名前のジョブがすでに存在する場合は、ジョブ名にa -1
、a -2
が順に追加されます。
スケジュール・タイプ: 15分ごとに周期的に実行されます。
OPAMServerIdStoreItResource: 設定スクリプトのidStoreItResource
パラメータ。
OpamServerItResource: 設定スクリプトのopamItResource
パラメータ。
OIM.OPAM.Integration
システム・プロパティを作成し(まだ存在していない場合)、true
に設定します。
これらのタスクのいずれかが失敗すると、スクリプトにより、次のタスクが自動的に実行されます。
OPAM_TAGS
とOPAM_CERT_TAGS
のUDFの作成Oracle Privileged Account ManagerとOracle Identity Managerとの統合環境を設定したら、OPAM_TAGS
とOPAM_CERT_TAGS
のユーザー定義フィールド(UDF)をOracle Identity Managerカタログに手動で作成する必要があります。OPAM_TAGS
とOPAM_CERT_TAGS
のUDFを使用すると、Oracle Privileged Account ManagerでOracle Identity Managerカタログを検索できます。
OPAM_TAGS
とOPAM_CERT_TAGS
のUDFを手動で作成するには、次の手順を実行します。
Oracle Identity Manager管理コンソールを開き、Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。
注意: サンドボックスの作成およびアクティブ化の詳しい手順は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のサンドボックスの管理に関する項を参照してください。 |
左ペインの「システム・エンティティ」の下の「カタログ」をクリックして「カタログの管理」ページを開きます。
「カスタム・フィールドの作成」アイコンをクリックします。
フィールド・タイプの選択ダイアログ・ボックスが表示されたら、テキスト・フィールドを作成するための「テキスト」フィールド・タイプを選択します。「OK」をクリックします。
カスタム・フィールドを作成するためのページが表示されたら、次の設定を指定します。
「外観」セクション: 「表示ラベル」フィールドに
OPAM tagsと入力します。
「名前」セクション: 「名前」フィールドに
OPAM_TAGSと入力し、「説明」フィールドに
OPAM metadata tagsと入力します。
「制約」セクション: 「検索可能」ボックスを選択します。
「最大長」: 256
と入力します。
「デフォルト値」セクション: このフィールドは空白のままにしておきます。
「拡張」セクション: いずれもプロパティ・ボックスも選択しないでください。
「保存して閉じる」をクリックし、UDFがカスタム・フィールド表に表示されることを確認します。
「サンドボックスの管理」タブを選択し、「サンドボックスの公開」をクリックします。
注意: サンドボックスの公開の詳しい手順は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のサンドボックスの管理に関する項を参照してください。 |
OPAM_CERT_TAGS
UDFを作成するには、手順6を次のように変更して、この手順を繰り返します。
「外観」セクションの「表示ラベル」フィールドの値として、「OPAM tags」を「OPAM cert tags」に置き換えます。
「名前」セクションの「名前」フィールドの値として、OPAM_TAGS
をOPAM_CERT_TAGS
に置き換えます。
opamSetup
スクリプトで作成されたOracle Privileged Account Managerカタログ同期化ジョブにより、カタログ・エントリがOracle Privileged Account Managerのメタデータでタグ付けされます。このジョブは15分ごとに自動的に実行されます。
次回のジョブの開始まで待機せずに、ジョブをただちに実行する必要がある場合は、Oracle Identity Manager管理コンソールから次の手順を手動で実行できます。
「スケジューラ」をクリックします。
新しい画面が表示されたら、OPAM Catalog Synchronizationジョブを見つけて選択します。
「即時実行」をクリックします。
ジョブが終了したら、「リフレッシュ」をクリックします。
ジョブが正常に実行されたことを確認するには、「ジョブ履歴」ビューを確認します。
注意: 新しいターゲットまたはアカウントをOracle Privileged Account Managerに追加した場合は、Oracle Privileged Account Managerカタログ同期化ジョブを再度実行する必要があります。 |
"OPAM Catalog Synchronization Job"によってOracle Privileged Account Managerは、アカウントと、そのアカウントへのアクセス権を持つ関連付けられたLDAPグループ(エンタイトルメント)が問合せされます。この情報が使用され、検索可能タグ(OPAM_TAGS UDF)がOracle Identity Managerカタログ内のエンタイトルメントに追加されます。OIMリクエスト・ユーザー・インタフェースで、OPAMターゲット・タイプ、ターゲット名、および関連付けられたエンタイトルメントを探すためのアカウント名を使用して、カタログ検索を実行できます。
さらに、OIMのカタログ・アイテム詳細ページをカスタマイズしてタグを表示できます。
OPAM_TAGS
は次の形式で追加されます。
targettype:targetname:accountname
例:
"root"という"unix"アカウントを"prodhost"ターゲットで検索するには、*root*
または*prodhost*
またはunix:prodhost:root
を検索して、アカウントにアクセスを付与する関連付けられたエンタイトルメントを探すことができます。
この項では、Oracle Access Management Access Manager (Access Manager)によるOracle Privileged Account Managerとの統合方法について説明します。この統合シナリオを使用すると、Webゲート・エージェントを利用するAccess ManagerによってOracle Privileged Account Managerを保護できます。
この項の内容は次のとおりです。
第19.2.2項「シングル・サインオンの有効化」に説明されている手順を開始する前に、次のことに注意してください。
この手順は、Oracle Internet Directoryをアイデンティティ・ストアとして構成していることを前提としますが、他のコンポーネント構成も可能です。サポートされている構成の詳細は、Oracle Technology Networkにあるシステム要件と動作保証情報のドキュメントを参照してください。
また、この手順では、Access Managerを使用してURLを保護する特定の例について説明します。記述されている内容はこのタイプの構成に一般的な方法ですが、ここで説明されているものと完全に同じ手順およびコンポーネントを使用しなくてもかまいません。たとえば、Oracle Internet Directoryは、Access Manager 11gに対して動作保証されているいくつかのアイデンティティ・ストアの1つです。
Oracle Adaptive Access ManagerをAccess Managerでの認証オプションとして使用できます。Oracle Adaptive Access Managerでは、Oracle Privileged Account Managerのレイヤー化セキュリティを実現するために使用できる厳密認証およびリスクベース認可が提供されます。
Oracle Privileged Account ManagerでOracle Adaptive Access Managerを有効にするには、Oracle Privileged Account Managerを保護するWebゲートの認証オプションとしてAccess Managerを選択します。
Oracle Privileged Account Managerは、ドメイン・エージェントによってデフォルトで保護されます。
デフォルトでは、Access Manager 11gエージェントによって、Oracle Privileged Account Managerおよび次のアイデンティティ管理コンソールにシングル・サインオン機能が提供されます。
Oracle Identity Manager
Access Manager
Oracle Adaptive Access Manager
Oracle Authorization Policy Manager
Access Managerエージェントが保護できるのは、単一のドメイン内のコンソールのみです。ご使用の環境が複数のドメインにまたがる場合、Oracle HTTP Server 11gにAccess Manager 11g WebGateを使用できます。
Access Managerで、任意のAccess Manager認証スキームをチャレンジ・メソッドとして使用して、Oracle Privileged Account Managerのユーザー・インタフェース用にシングル・サインオンを有効にできます。
前提条件を次に示します。
Oracle HTTP Serverがインストールされています。
Oracle HTTP Serverのインストール時に、「Oracle Web Cache」およびWebLogicドメイン(またはWebSphere Cell)に関連付けられている選択済のコンポーネントの選択を解除します。
Access Manager 11gが適切にインストールされ、構成されています。
Oracle HTTP Server 11gがOracle Privileged Account ManagerのフロントエンドのプロキシWebサーバーとしてインストールされ、構成されています。
Oracle HTTP Server 11g用のAccess Manager 11g WebGateがOracle HTTP Server 11g上にインストールされています。
関連項目: リストされているコンポーネントのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください |
Oracle Privileged Account Managerでシングル・サインオンを有効にする手順は、次のとおりです。
次の場所にあるOracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン」ページが表示されたら、「検索」をクリックします。
検索結果で「IAMスイート」をクリックします。
「リソース」タブを選択します。
「リソースURL」フィールドに/oinav/**
と入力して「検索」をクリックします。
検索結果にリソースとして/oinav/**
のURLが表示されていること、およびその認証ポリシーが保護されたリソース・ポリシーとして表示されていることを確認します。
/oinav/**
のURLが表示されていない場合、Access Managementコンソールを使用して、Oracle Privileged Account ManagerのURLを保護するエージェント用に新しいリソースを構成します。詳細は、第19.2.2.1項「エージェント用の新しいリソースの構成」を参照してください。
リストで/oinav/**
のURLが利用できる場合、手順8に進むことができます。
構成済のリソースおよびポリシーを持つAccess Managerドメインを指すように、Oracle HTTP Serverを構成します。詳細は、第19.2.2.2項「Access Managerドメイン用のOracle HTTP Serverの構成」を参照してください。
Access Managementコンソールを使用して、次の新しいアイデンティティ・プロバイダを追加します。
Access Managerアイデンティティ・アサータ
Oracle Internet Directoryオーセンティケータ
詳細は、第19.2.2.3項「新しいアイデンティティ・プロバイダの追加」を参照してください。
WLSTコマンドを使用して、ブラウザ・セッションで複数のタブを使用する複数のアプリケーションに対するアクセスを有効にします。詳細は、第19.2.2.4項「複数のアプリケーションに対するアクセスの構成」を参照してください。
ここでは次の項目についても説明します。
Access Managerのデプロイ後にエージェントIAMSuiteのリソース・リストで/oinav/**
のURLが利用できない場合、そのリソースを構成する必要があります。このプロセスの高度な手順は次のとおりです。
注意: 詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のアプリケーション・ドメインのリソースの定義に関する説明を参照してください。 |
次の場所にあるOracle Access Managementコンソールにログインします。
http://oam_host:port/oamconsole
「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」で、Oracle Privileged Account ManagerのURLを保護するエージェントを選択します(たとえば、-OIMDomain
)。
「リソース」タブを選択し、「追加」アイコンをクリックして新しいリソースを追加します。「リソース」表で、「リソース・タイプ」、「ホスト識別子」および「リソースURL」の値(/oinav/…/*
)を入力し、「適用」ボタンをクリックします。
保護付きポリシー、または認証スキーマがLDAPスキーマであるポリシーを選択します。「リソース」表の「追加」アイコンをクリックし、ドロップダウン・リストからOracle Privileged Account ManagerのURL (/oinav/…/*
)を選択します。
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の特定のリソースに対する認可ポリシーの定義に関する説明に従い、新しく定義したリソースをアプリケーション・ドメインの認可ポリシーに追加します。
Oracle HTTP Serverが、Oracle Privileged Account ManagerがインストールされているOracle WebLogic Serverコンテナのフロントエンドとなるように、次の手順を実行します。
Oracle HTTP Serverサーバーのconfig
ディレクトリに移動します。次に例を示します。
/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/config
/OHS/ohs1
mod_wl_ohs.confファイルで
<IfModule mod_weblogic.c>
ブロックを特定します。保護されたOracle Privileged Account Manager URLのホストおよびポート番号を追加します。例:
MatchExpression /oinav* WebLogicHost=host WebLogicPort=port
host
およびport
は、Oracle Privileged Account Managerコンソールが構成されたホストおよびポートに対応します。
次に示すようなOHSインストールのbin
ディレクトリにあるOracle HTTP Serverサーバーを再起動します。
/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/bin
次のコマンドを実行します。
-./opmnctl restartproc ias=component=ohs1
2つの新しいアイデンティティ・プロバイダを追加するには、次の手順を実行します。
Oracle Access Managementコンソールにログインし、
「セキュリティ・レルム」→「myrealm」→「プロバイダ」にナビゲートします。
次のプロバイダを追加します。
Access Managerアイデンティティ・アサータ
Oracle Internet Directoryオーセンティケータ
Access Managerアイデンティティ・アサータの「制御フラグ」をRequired
に設定します。
Oracle Internet Directoryオーセンティケータで次の設定を更新します。
「制御フラグ」をSufficient
に設定します。
「プロバイダ固有」タブを選択し、必要な変更を加えてOracle Internet Directoryサーバーのホスト、ポートおよびその他の資格証明を指定します。Oracle Internet DirectoryオーセンティケータでLDAP設定を適切に構成します。
LDAPのユーザーおよびグループがコンソールに反映されます。
次のようにプロバイダの順番を変更します。
Access Managerアイデンティティ・アサータ
オーセンティケータ
デフォルト・オーセンティケータ
デフォルト・アイデンティティ・アサータ
Oracle WebLogic Serverを再起動します。
Oracle HTTP Serverインストールのホストおよびポートを使用する、保護されたOracle Privileged Account Manager URLを入力します。
http://OHSHost:OHSPort/oinav/faces/idmNag.jspx
この項では、Oracle Privileged Account Managerと資格証明ストア・フレームワーク(CSF)との統合方法について説明します。
内容は次のとおりです。
資格証明ストア・フレームワーク(CSF)は、主に資格証明にセキュアな格納場所を提供するOPSSコンポーネントです。たとえば、CSFは、多くのアプリケーションでアプリケーション資格証明を格納するためのメカニズムとして使用されます。
Oracle Privileged Account Managerによって、管理者は、アカウント資格証明を保護、共有、監査および管理の対象として識別できます。また、Oracle Privileged Account Managerでは、定期的なパスワード変更などのアカウント・ライフサイクル管理アクティビティがサポートされます。
多くのアプリケーション開発者がCSFを使用して必要なターゲット(RDBMSやLDAPなど)のアプリケーション資格証明を格納していますが、CSFの使用方法については、次のように改善が可能ないくつかの側面があります。
CSFに資格証明を格納するアプリケーションでは、それらの資格証明を共有することは想定されていません。そのため、CSFの特定のインスタンスは、同じ資格証明に対する複数の参照を保持できます。たとえば、複数のアプリケーションが、同じ物理資格証明に依存しながら、複数の論理参照を保持していることがあります。
コンプライアンスおよび内部ITポリシー要件を満たすには、定期的にアプリケーション資格証明を変更することが必要です。ただし、ターゲット上の資格証明を変更し、その後にCSF参照を変更することは、手動タスクのままであるため、CSFの同じ資格証明に対して複数の参照が存在する可能性があることを考えると、これは非常に複雑な作業です。つまり、管理者は、ターゲット上のパスワードまたは資格証明を変更してから、CSFのそのパスワードに対するすべての参照を手動で更新する必要があります。
Oracle Privileged Account Managerでは、このプロセスを自動化できますが、資格証明の定期的な変更の自動化は、正確にトレースできない複数の参照が存在する可能性によって、同じように複雑になります。
Oracle Privileged Account Managerは、そのアカウント・ライフサイクル管理機能を利用して、CSFに格納されているアプリケーション資格証明のライフサイクル管理を支援します。
Oracle Privileged Account Managerで特定のアカウント資格証明を管理することに決定したら、Oracle Privileged Account Managerを通じてその資格証明をプロビジョニングする必要があります。次の図では、このプロビジョニング・プロセスを示します。
管理者の作業は次のとおりです。
Oracle Privileged Account Managerターゲットを追加します(必要な場合)。
Oracle Privileged Account Managerの特権アカウントまたは資格証明をターゲットに追加します(ターゲットには必要なCSFマッピングが含まれている必要があります)。
注意: CSFマッピングは、CSF内で特定の資格証明インスタンスを一意に識別するためのメカニズムです。 |
Oracle Privileged Account Managerサーバーは、特権アカウントのその表現とともに、CSFマッピングを格納します。Oracle Privileged Account Managerサーバーによって、指定されたマッピングに対応するCSFに資格証明のインスタンスが作成されます。
第19.3.2項「プロビジョニング」の説明に従ってプロビジョニングしたアカウントには、パスワード構成や定期的な変更の要件などを制御するパスワード・ポリシーを関連付けることができます。
Oracle Privileged Account Managerは、通常、ポリシーに準拠してアクションを実行します。ただし、管理者が、関連するCSFマッピングを持つアカウント資格証明を変更すると、Oracle Privileged Account Managerによって、CSFに格納されている、そのマッピングを持つ資格証明インスタンスも更新されます(図19-3)。この更新によって、すべての関連ユーザーが最新の資格証明にアクセスし、定期的な変更などのパスワード・ライフサイクル・イベントをシームレスに管理できるようになります。
Oracle Privileged Account Managerを使用してアプリケーションの資格証明を管理する場合、そのアプリケーションに追加の負荷は発生しません。発生する唯一のプロセス変更は、最初にOracle Privileged Account Managerを通じて資格証明をOracle Privileged Account ManagerおよびCSFにプロビジョニングする必要があることです。
Oracle Privileged Account Managerは、管理者指定のマッピングを使用してCSFに資格証明を送信します(図19-3)。これらのマッピングが変更されない場合、アプリケーションでは、直接CSFを通じて継続的に資格証明にアクセスできます。