Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account ManagerのWebユーザー・インタフェース(コンソールとも呼ばれます)の起動および使用方法について説明します。
この章では、次の項目について説明します。
注意: Oracle Privileged Account Managerは、コマンド行またはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても管理できます。
|
この章では、第3章「Oracle Privileged Account Managerの管理のスタート・ガイド」に記載されているOracle Privileged Account Managerの構成ょ終了していることを想定しています。
Oracle Privileged Account Managerのコンソールにアクセスするには、ブラウザ・ウィンドウを開いて次のURLを入力します。
http://managedserver_host:managedserver_port/oinav/opam
「サイン・イン」画面のあるOracle Privileged Account Managerページが表示されたら、管理者またはエンド・ユーザーの適切な資格証明を使用してログインします。
注意: Oracle Privileged Account Managerのコマンド行ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用する場合、それらのインタフェースの詳細は、それぞれ付録A「コマンド行ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
この項では、Oracle Privileged Account Managerコンソールの概要について説明します。この項には次のトピックが含まれます:
Oracle Privileged Account Managerにログインすると、コンソールが表示されます。
コンソールの一部の機能へのアクセスは、ユーザーの管理ロール(管理者ロール)、資格証明または委任管理権限に基づきます。たとえば、図4-1は、Oracle Privileged Account Managerで提供されるすべての機能を示しています。ただし、この項で後から説明する「管理」、「レポート」および「構成」アコーディオンは、エンド・ユーザーや「セキュリティ管理者」ロールを持つユーザーには提供されません。
図4-2は、管理者権限を持たないセルフサービス・ユーザーとしてログインしたときのコンソールを示しています。
注意:
|
ヒント: Oracle Privileged Account Managerインタフェースの要素(パラメータ・フィールドや情報アイコン など)の上にカーソルを重ねると、役に立つプロンプトが表示されます。 |
マイ・アカウント: このノードを選択すると、「マイ・アカウント」ページが表示され、そこで自身が権限受領者であるアカウントを検索、表示、オープン、チェックアウトできます。
チェックアウト: このノードを選択すると「チェックアウト」ページが表示され、そこで自身のチェックアウト済アカウントの表示、それらのアカウントのパスワードの表示および自身のチェックアウト済アカウントのチェックインを実行できます。
特権アカウントを使用するには、それをチェックアウトする必要があります。Oracle Privileged Account Managerでは、パスワードまたはセッションとしてアカウントをチェックアウトできます。詳細は、第9.5項「特権アカウントのチェックアウト」を参照してください。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、アカウントを管理します。
注意:
|
「管理」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
アカウント: 選択すると、アカウントを検索、開く、追加および削除できる「アカウント」ページが表示されます。
ターゲット: 選択すると、ターゲットを検索、開く、追加および削除できる「ターゲット」ページが表示されます。
リソース・グループ: 選択すると、リソース・グループを検索、開く、作成および削除できる「リソース・グループ」ページが表示されます。
パスワード・ポリシー: 選択すると、パスワード・ポリシーを検索、開く、作成および削除できる「パスワード・ポリシー」ページが表示されます。
使用ポリシー: 選択すると、使用ポリシーを検索、開く、作成および削除できる「使用ポリシー」ページが表示されます。
ユーザー権限受領者/受任者: 選択すると、個々のユーザー権限受領者および受任者に関する情報を検索、開くおよび表示できる「ユーザー権限受領者」ページが表示されます。
グループ権限受領者/受任者: 選択すると、権限受領者および受任者のグループに関する情報を検索、開くおよび表示できる「グループ権限受領者」ページが表示されます。
いずれかのノードをクリックすると、新規ページがコンソールの右側に表示されます。これらのページを使用して、Oracle Privileged Account Managerを構成および管理します。
注意:
|
「レポート」アコーディオンには、管理ロールと資格証明に基づいて、次のいずれかまたはすべてのノードが含まれます。
デプロイメント・レポート: 選択すると、ターゲットおよび特権アカウントが、現在のデプロイメント内でどのようにデプロイされているかに関する情報を表示できる「デプロイメント・レポート」ページが表示されます。
使用状況レポート: 選択すると、特権アカウントが現在デプロイメント内でどのように使用されているかに関する情報を参照できる「使用状況レポート」ページが表示されます。
エラー・レポート: 選択すると、ターゲットとアカウントに対するエラーの現在の状態に関する情報を参照できる「エラー・レポート」ページが表示されます。
チェックアウト履歴: 選択すると「チェックアウト履歴」ページが開き、そこでアカウント・チェックアウトに関する情報を検索および確認できます。
自身の管理ロールおよび資格証明に基づいて、「構成」アコーディオンに次のノードのいくつかまたはすべてが含まれます。それらは、クラスタ内のすべてのOracle Privileged Account Managerサーバーに適用される一般的なグローバル構成プロパティを表します。
サーバー接続: 選択すると、Oracle Privileged Account Managerサーバーへの接続を構成できます。
サーバー構成: 選択すると、次のサーバー・プロパティを管理できます。
使用ポリシー強制間隔
パスワード・ポリシー強制間隔
ターゲット接続タイムアウト
リソース・ロック待機タイムアウト
Oracle Database TDEモード(透過的データ暗号化)
ユーザーのパスワード取得オプション
アイデンティティ・ストア検索フィルタ
プラグイン構成: 選択するとOracle Privileged Account Managerのプラグイン構成を作成、編集および管理できます。
セッション・マネージャ構成: 選択すると、セッション・マネージャのプロパティの構成、Oracle Privileged Account ManagerサーバーURLの構成、およびSSH構成を実行できます。
コネクタ・サーバー構成: 選択すると、コネクタ・サーバーのプロパティを作成、編集および管理できます。
Oracle Privileged Account Managerの検索ポートレットを使用すると、アカウント、ターゲット、ポリシー、ユーザー、グループおよびプラグインを検索できます。
検索を構成するには、そのポートレットに表示されている1つ以上のパラメータを使用します。様々な検索パラメータの可用性は、実行しようとしている検索のタイプに応じて異なります。たとえば、図4-3は、特権アカウントの検索に使用する「アカウントの検索」ポートレットを示しています。
次の表では、様々な検索パラメータと、それらをどの検索タイプに使用できるのかについて説明します。
表4-1 検索ポートレットのパラメータ
パラメータ名 | 説明 | 検索タイプ |
---|---|---|
アカウント名 |
アカウント名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、チェックアウト履歴 |
ターゲット・タイプ |
「すべて」を選択してすべてのターゲット・タイプを検索するか、検索するターゲット・タイプをdatabase、ldap、lockbox、sapum、sapume、ssh、windowsまたはunixのみに制限します。 |
アカウント、マイ・アカウント |
ターゲット名 |
ターゲット名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、チェックアウト履歴 |
ドメイン |
ドメイン名の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、ターゲット |
説明 |
アカウント、ターゲット、リソース・グループまたはプラグインの説明の1つ以上の文字を入力します。 |
アカウント、マイ・アカウント、リソース・グループ、プラグイン構成 |
パスワード期間 |
メニューと「日」フィールドを使用し、パスワード期間でアカウントを検索します。メニューから「が次以上」記号(>=)または「次より小さい」記号(<)を選択して、日数を入力します。 たとえば、パスワード期間が30日を超えているアカウントを検索する場合などに、このオプションを使用できます。 |
アカウント、ターゲット |
ホスト |
検索を行うホスト名の1つ以上の文字を入力します。 |
ターゲット |
ポリシー名 |
ポリシー名の1つ以上の文字を入力します。 |
パスワード・ポリシー、使用ポリシー |
ポリシー・ステータス |
「すべて」を選択してすべてのポリシーを検索するか、検索を「アクティブ」ポリシーのみまたは「無効」ポリシーのみに制限します。 |
パスワード・ポリシー、使用ポリシー |
ユーザー名 |
ユーザー名の1つ以上の文字を入力します。 |
ユーザー権限受領者、チェックアウト履歴 |
グループ名 |
グループ名の1つ以上の文字を入力します。 |
グループ権限受領者 |
「開始日」および「終了日」 |
カレンダ/時間アイコンを使用して、検索を実行する日付範囲または時間を指定します。 |
チェックアウト履歴 |
チェックアウト・イベントの記録内の文字列の1つ以上の文字を入力します。たとえば、 |
チェックアウト履歴 |
|
問合せサイズ |
カウンタを使用して、返される問合せ結果の数を制限します。 |
チェックアウト履歴 |
名前 |
リソース・グループ名またはプラグイン名の1つ以上の文字を入力します。 |
リソース・グループ、プラグイン構成、ターゲット |
権限 |
「すべて」を選択してすべての権限を検索するか、ドロップダウン・リストから必要な権限を選択して、検索を選択した権限のみに制限します。 |
アカウント、ターゲット、リソース・グループ |
タイプ |
「すべて」を選択してすべてのターゲット・タイプを検索するか、ドロップダウン・リストから必要なターゲット・タイプを選択して、databaseのみ、ldapのみ、または特定のターゲット・タイプを選択します。 |
ターゲット |
リソース・タイプ |
「すべて」を選択してすべてのリソース・タイプを検索するか、検索するリソース・タイプをaccountのみ、serverのみまたはtargetのみに制限します。 |
プラグイン構成 |
ステータス |
「すべて」を選択してすべてのプラグイン・ステータスを検索するか、検索を「アクティブ」プラグインのみまたは「無効」プラグインのみに制限します。 |
プラグイン構成 |
タイミング |
「すべて」を選択してすべてのプラグイン・タイミングを検索するか、検索を「前」タイミング・プラグインのみまたは「後」タイミング・プラグインのみに制限します。 |
プラグイン構成 |
操作 |
「すべて」を選択してすべてのプラグイン操作を検索するか、検索対象の操作をaccountpasswordchange、add、autocheckin、checkin、checkout、passwordcycle、remove、resetpassword、retrieve、sessioncheckout、showpassword、showpassordhistory、testまたはupdateのみに制限します。 |
プラグイン構成 |
検索ポートレットでは、次のようにワイルドカードの使用もサポートされます。
パーセント記号(%
)を使用すると、任意の長さの文字列を検索できます。同じ検索文字列内に複数のワイルドカードを使用することもできます。次に例を示します。
person%
と入力した場合、その結果にはperson1
、person_2
およびperson1234
などが含まれます。
%person%
と入力した場合、その結果にはdsperson
、hrperson1
およびhrperson2
などが含まれます。
アンダースコア記号(_
)を使用すると、1つの文字を検索できます。同じ検索文字列内に複数のワイルドカードを使用することもできます。次に例を示します。
person_
と入力した場合、その結果にはperson1
、person2
およびpersons
などが含まれます。
o_m_
と入力した場合、その結果にはoam1
、oem1
、oem2
、oem3
およびoim1
などが含まれます。
検索を実行する一般的な手順は次のとおりです。
「ホーム」、「管理」、「レポート」または「構成」アコーディオンで、適切なノードを選択します。
たとえば、アカウントを検索するには、「アカウント」を選択します。
検索ポートレットが表示された場合、次のように検索を構成します。
すべてのアカウントなど使用可能なすべての結果を検索する場合は、ポートレットに検索パラメータを指定しないでください。
検索を絞り込むには、表4-1に示す検索パラメータを1つ以上使用します。
たとえば、特定のLDAPターゲット上の特権アカウントのリストを表示するには、ターゲット名の1つ以上の文字を「ターゲット名」フィールドに入力し、「ターゲット・タイプ」メニューからldapを選択します。
「検索」をクリックします。
結果は、図4-4に示すような検索結果表に表示されます。
別の検索を実行するには、「リセット」をクリックします。
すべての検索結果表の上部にメニューおよびアイコンが配置されています。たとえば、図4-5は、ターゲットの検索後に使用可能なメニューおよびアイコンを示しています。
これらの機能を使用して、この表にリストされた各項目に関連する様々なタスクを実行できます。
注意: これらの機能の可用性は、実行された検索のタイプ、自身の管理ロールまたは管理権限に応じて変わります。
|
表4-2は、実行された検索のタイプによって使用可能な機能について説明しています。
表4-2 検索結果表の機能
機能名 | 検索タイプ | 説明 |
---|---|---|
アクション |
すべて |
このメニューをクリックし、実行するアクションを選択します。 注意: このメニューのオプションは、表の上部に表示されているタスク・アイコンと同じです。 |
表示 |
すべて |
このメニューをクリックし、次のオプションの1つを選択して、「検索結果」表での列の表示方法を制御します。
|
開く |
すべて |
このオプションをクリックして、選択されたアカウント、ターゲット、ポリシー、ユーザー権限受領者、グループ権限受領者またはプラグイン構成を開きます。 |
パスワードのチェックアウト |
マイ・アカウント |
「検索結果」表の行を選択し、このオプションをクリックしてアカウントのパスワードをチェックアウトします。 |
セッションのチェックアウト |
マイ・アカウント |
「検索結果」表の行を選択し、このオプションをクリックしてセッションをチェックアウトします。 |
リフレッシュ |
マイ・アカウント、チェックアウト、アカウント、ターゲット、チェックアウト履歴、リソース・グループ、プラグイン構成、コネクタ・サーバー構成 |
このオプションをクリックすると、検索結果を再表示(リフレッシュ)できます。 |
チェックイン |
チェックアウトのみ |
このオプションをクリックすると、選択したチェックアウト済アカウントをチェックインできます。詳細は、第9.6項「特権アカウントのチェックイン」を参照してください。 |
パスワードの表示 |
チェックアウト、アカウント、ターゲット |
このオプションをクリックすると、選択したアカウントまたはターゲット・サービス・ターゲットの現在のパスワードに関する情報を参照できる「現在のパスワードの表示」ダイアログ・ボックスが表示されます。
|
パスワード履歴 |
アカウント、ターゲット |
このオプションをクリックして「パスワード履歴の表示」ダイアログ・ボックスを開き、そこで、アカウントまたはターゲットのパスワード履歴を表示できます。
|
ステータス |
アカウントのみ |
このメニューをクリックし、次のオプションの1つを選択して、表にどのアカウント結果を表示するのかを制限します。
|
追加 |
アカウント、ターゲット |
このオプションをクリックすると、新しいアカウントまたは新しいターゲットをOracle Privileged Account Managerリポジトリに追加できます。 |
削除 |
アカウント、ターゲット |
このオプションをクリックすると、選択したアカウントまたはターゲットをOracle Privileged Account Managerリポジトリから削除できます。 |
パスワードのリセット |
アカウント、ターゲット |
このオプションをクリックすると、選択したアカウントまたはターゲット・サービス・アカウントのパスワードを手動でリセットできる「パスワードのリセット」ダイアログ・ボックスが表示されます。
|
強制的チェックイン |
アカウントのみ |
このオプションをクリックすると、他のユーザーによってチェックアウトされた特権アカウントをチェックインできます。 |
作成 |
パスワード・ポリシー、使用ポリシー、コネクタ・サーバー構成 |
このオプションをクリックすると、パスワード・ポリシー、使用ポリシーまたはコネクタ・サーバー構成を作成できます。 詳細は、第10.2.4項「パスワード・ポリシーの作成」を参照してください。 詳細は、第10.3.5項「使用ポリシーの作成」を参照してください。 詳細は、第5.4.1項「コネクタ・サーバーのインストールおよび構成」を参照してください。 |
削除 |
リソース・グループ、パスワード・ポリシー、使用ポリシー、プラグイン構成、コネクタ・サーバー構成 |
このオプションをクリックすると、選択したポリシーをOracle Privileged Account Managerリポジトリから削除できます。 |
作成 |
リソース・グループ、プラグイン構成 |
このオプションをクリックすると、プラグイン構成を作成できます。詳細は、第13.3項「プラグイン構成の作成」を参照してください。 |
記録 |
チェックアウト履歴 |
このオプションをクリックすると、アカウントのチェックアウト中に実行されたアクションの記録をトランスクリプト形式で表示できます。 |
例による問合せ |
リソース・グループ、チェックアウト履歴、プラグイン構成、コネクタ・サーバー構成 |
列のテキスト・フィールドに値を入力します。たとえば、名前で検索対象を限定するには、「名前」列に値を入力します。 |