Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerで権限受領者を使用する場合に実行できる様々なタスクについて説明します。
注意: 権限受領者を追加、編集または削除するには、「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
この章では、次の項目について説明します。
注意: この章で説明するタスクの多くは、Oracle Privileged Account Managerのコマンド行ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても実行できます。Oracle Privileged Account Managerコンソールのかわりにこれらのインタフェースを使用する場合の手順は、付録A「コマンド行ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
権限受領者とは、Oracle Privileged Account Manager管理者によって管理される特権アカウントに対するアクセス権を付与されたアイデンティティ・ストア内のユーザーまたはグループです。ユーザーは、特権アカウントに対するアクセス権を付与されていない場合、そのアカウントをチェックアウトできません。
Oracle Privileged Account Managerは、次の順序で権限付与を評価します。
ユーザーがアカウントへのアクセスおよびチェックアウトを試みると、Oracle Privileged Account Managerは、そのユーザーに対する権限付与を検索します。Oracle Privileged Account Managerがユーザーの権限付与を検出した場合、ユーザーはその権限付与とそれに関連付けられた使用ポリシーに基づいて、アカウントのチェックアウトを許可されます。
Oracle Privileged Account Managerは、ユーザーの権限付与を検出しなかった場合、グループの権限付与を検索します。ユーザーは複数のグループのメンバーになることができます。Oracle Privileged Account Managerが、ユーザーが属するいずれかのグループの権限付与を検出した場合、ユーザーはそのグループの権限付与とそれに関連付けられた使用ポリシーに基づいて、アカウントのチェックアウトを許可されます。
ユーザーが複数のグループのメンバーであり、そのうち2つ以上のグループの権限付与が使用可能である場合、Oracle Privileged Account Managerは、一致するいずれかのグループの権限付与を実行時に選択できます。複数のグループの権限付与のうち、Oracle Privileged Account Managerが実行時にどれを選択するかを決定論的に述べることはできません。
Oracle Privileged Account Managerがユーザーの権限付与またはグループの権限付与を検出できなかった場合、ユーザーのアクセスは拒否されます。
特権アカウントに対するアクセス権を付与するには、次の手順を実行します。
アクセス権を付与するアカウントを特定します。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。
結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。
検索結果表でそのアカウント名を選択します。
「一般」、「権限付与」、「資格証明ストア・フレームワーク」および「チェックアウト履歴」タブを含む「アカウント: Account Name」ページが表示されます。
「権限付与」タブを選択します。
このアカウントにすでに関連付けられているユーザーがいる場合、その名前が「ユーザー」領域の表にリストされます。
「追加」をクリックして「ユーザーの追加」ダイアログを開きます。
「ユーザーの追加」ダイアログで、ユーザー名のすべてまたは一部を入力し、「検索」をクリックします。
たとえば、jjones
ユーザーを追加する場合は、j
、jj
またはjon
と入力すると、検索結果にはそれらの文字が含まれているユーザー名がすべて含まれるようになります。
1つ以上のユーザー名を選択し、「追加」をクリックして、それらのユーザーを権限受領者にします。
「Close」をクリックしてダイアログを閉じます。
新規ユーザーの名前が「ユーザー」表に表示されます。
注意: この時点で、デフォルト使用ポリシーがユーザーに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのユーザーに別のポリシーを選択できます。 |
特権アカウントに対するアクセス権を付与するには、次の手順を実行します。
アクセス権を付与するアカウントを特定します。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。
結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。
検索結果表のアカウント名を選択します。
「一般」、「権限付与」、「資格証明ストア・フレームワーク」および「チェックアウト履歴」タブを含む「アカウント: Account Name」ページが表示されます。
「権限付与」タブを選択します。
このアカウントにすでに関連付けられているグループがある場合、その名前が「グループ」領域の表にリストされます。
「追加」をクリックして「グループの追加」ダイアログを開きます。
「グループの追加」ダイアログで、グループ名のすべてまたは一部を入力し、「検索」をクリックします。
たとえば、hr_admin
グループを追加する場合は、h
、hr
またはadmin
と入力すると、検索結果にはそれらの文字が含まれているグループ名がすべて含まれるようになります。
1つ以上のグループ名を選択し、「追加」をクリックして、それらのグループを権限受領者にします。
「Close」をクリックしてダイアログを閉じます。
新規グループの名前が「グループ」表に表示されます。
注意: この時点で、デフォルト使用ポリシーがグループに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのグループに別のポリシーを選択できます。 |
管理者権限を持っている場合、次の手順を実行して権限受領者を検索できます。
「管理」アコーディオンで、「ユーザー権限受領者」または「グループ権限受領者」を選択します。
「ユーザー権限受領者」または「グループ権限受領者」ページが表示されたら、検索ポートレットを使用して検索を構成します。
特定の権限受領者を検索するには、その名前の1つ以上の文字を「ユーザー名」または「グループ名」フィールドに入力します。
使用可能なすべての権限受領者を検索する場合は、検索パラメータを指定しません。
「検索」をクリックします。
検索結果表で検索結果を確認します。
別の検索を実行するには、「リセット」をクリックします。
権限受領者を開いて、そのユーザーまたはグループ権限受領者の情報を表示できます。
次のいずれかの方法を使用して、「ユーザー権限受領者」または「グループ権限受領者」ページから権限受領者を開きます。
検索結果表のユーザー名またはグループ名(アクティブ・リンク)をクリックします。
ユーザーまたはグループの行番号を選択し、「開く」アイコンをクリックします。
「ユーザー: UserName」または「グループ: GroupName」ページが開き、その権限受領者に関する情報と、アクセス権が付与された特権アカウントを確認できます。
注意: ユーザーまたはグループの権限付与をアカウントから削除しても、すべての既存のチェックアウトが自動的に取り消されることはありません。権限受領者がアカウントをチェックアウトすると、次のイベントの1つが発生するまで、そのアカウントへのアクセス権が保証されます。
ただし、アカウントがチェックインされた後、権限受領者は、管理者が彼らを権限受領者として再追加するまでそのアカウントを再度チェックアウトできません。 |
アカウントから1つ以上の権限受領者を削除するには、次の手順を実行します。
アカウントを開いて「権限付与」タブを選択します。
検索結果表で、ユーザーまたはグループの行番号を選択します。
「削除」アイコンをクリックします。
削除を確認するプロンプトが表示されたら、「削除」ボタンをクリックして続行するか、「取消」ボタンをクリックして操作を終了します。プロンプトが閉じ、ユーザーまたはグループが表から削除されます。