Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerのポリシーの概要と、管理者がコンソールからポリシーを構成および管理する方法について説明します。
この章では、次の項目について説明します。
注意: 管理者は、コマンド行またはOracle Privileged Account ManagerのRESTfulインタフェースを使用して、Oracle Privileged Account Managerのポリシーを管理することもできます。詳細は、次を参照してください。 |
Oracle Privileged Account Managerには、次の2つのタイプのポリシーがあります。
パスワード・ポリシーは、関連する特権アカウントに対して特定のターゲットによって実施されるパスワード構成ルールを定義します。このポリシー・タイプでは、パスワードのライフサイクル、つまり、パスワードを変更する必要がある頻度も制御されます。
たとえば、パスワード・ポリシーによって、パスワードで使用される数字の最小文字数と最大文字数を定めたり、パスワードを5日ごとに変更するように要求したりすることができます。
また、パスワード・ポリシーを使用して、Oracle Privileged Account Managerが特権アカウントのパスワードをリセットするためのパスワードを作成することも可能です。
使用ポリシーでは、権限受領者が特権アカウントをいつどのように使用できるかを定義します。
また、使用ポリシーを構成して、ユーザーがセッション・アクセス権を持つ場合にどのタスクを実行できるか、制限したり許可したりすることもできます。
Oracle Privileged Account Managerによって管理されるすべての特権アカウントは、関連付けられたパスワード・ポリシーを持っている必要があります。使用ポリシーは、権限付与のレベルでのみ適用されます。単一のパスワード・ポリシーを複数の特権アカウントに、単一の使用ポリシーを複数の権限付与に関連付けることができます。
Oracle Privileged Account Managerでは、デフォルト・パスワード・ポリシーとデフォルト使用ポリシーの両方が提供されています。これらのデフォルト・ポリシーを使用するか、それらを変更するか、または独自の特化したポリシーを作成することができます。詳細は、第10.2項「パスワード・ポリシーの使用」および第10.3項「使用ポリシーの使用」をそれぞれ参照してください。
注意: デフォルト・パスワード・ポリシーとデフォルト使用ポリシーは削除できません。 |
表10-1では、Oracle Privileged Account Managerのポリシーで使用できる管理ロールと、各管理ロールで実行可能および不可能なタスクについて説明します。
この項では、パスワード・ポリシーを使用する場合に管理者が実行する様々なタスクについて説明します。
注意: パスワード・ポリシーの使用と割当てを行うには、「セキュリティ管理者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
内容は次のとおりです。
「管理」アコーディオンから「パスワード・ポリシー」を選択します。
「ポリシーの検索」ポートレットが表示されたら、次の1つ以上のフィールドに検索基準を入力します。
名前: ポリシー名の全部または一部を入力します。
ステータス: メニューから次のオプションのいずれかを選択します。
すべてのポリシー(アクティブおよび非アクティブ)を検索するには、「すべて」(デフォルト)を選択します。
アクティブなポリシーのみ、または非アクティブなポリシーのみに検索を制限するには、「アクティブ」または「無効」を選択します。
「検索」をクリックします。
検索結果表に名前とステータスを含む結果が表示されます。
パスワード・ポリシーのパラメータ設定を確認するには、次の手順を実行します。
「管理」アコーディオンから「パスワード・ポリシー」を選択します。
「ポリシー」ページが表示されたら、「検索」をクリックします。
既存のパスワード・ポリシーが検索結果表に表示されます。
次のいずれかの方法を使用してポリシーを開きます。
ポリシーの名前の横にある行番号をクリックしてから、検索結果表の上にある「開く」アイコンをクリックします。
検索結果表の名前(アクティブ・リンク)をクリックします。
たとえば、デフォルト・パスワード・ポリシー・リンクをクリックすると、「パスワード・ポリシー: デフォルト・パスワード・ポリシー」ページが表示されます。
「パスワード・ポリシー」ページには、次の3つのタブが含まれます。
一般: このタブを選択すると、ポリシーの一般情報を指定したり、ポリシーのパスワード・ライフサイクル・ルールを構成したりできます。
パスワード・ライフサイクル・ルールによって、Oracle Privileged Account Managerが自動的にアカウント・パスワードをリセットする時期が制御されます。これらのパラメータの説明は、表10-2「パスワード・ライフサイクル・ルールのパラメータ」を参照してください。
パスワードの複雑性ルール: このタブを選択すると、アカウント・パスワードの複雑性要件を制御するルールを設定できます。これらのパラメータの説明は、表10-3「パスワードの複雑性ルールのパラメータ」を参照してください。
特権アカウント: このタブを選択すると、選択したパスワード・ポリシーを現在使用している特権アカウントの情報を表示できます。
デフォルト・パスワード・ポリシーを評価した後に、現在の環境に合うように設定を変更することができます。
注意: デフォルト・パスワード・ポリシーを変更する前に、そのバックアップ・コピーを作成することをお薦めします。第A.10.1項「export コマンド」の説明に従って、export コマンドを使用できます。 |
デフォルト・パスワード・ポリシーを変更する手順は、次のとおりです。
「管理」アコーディオンから「パスワード・ポリシー」を選択します。
「パスワード・ポリシー」ページが表示されたら、「検索」をクリックして検索結果表を移入します。
検索結果表のデフォルト・パスワード・ポリシー・リンクをクリックして、パスワード・ポリシー: デフォルト・パスワード・ポリシー・ページを開きます。
「一般」タブを選択して「一般フィールド」領域の「説明」を変更するか、次のパスワード・ライフサイクル・ルールのいずれかを変更します。
注意: このポリシーの「名前」または「ステータス」の値は編集できません。 |
表10-2 パスワード・ライフサイクル・ルールのパラメータ
パラメータ | 説明 |
---|---|
パスワード履歴の保存 |
カウンタおよびドロップ・メニューを使用して、アカウントのパスワード履歴を保存する日数を指定します。パスワード履歴には、アカウントのチェックアウト時間とチェックイン時間、およびアカウント・パスワードのリセット時間が含まれます。 |
パスワード有効期限 |
カウンタおよびドロップ・メニューを使用して、Oracle Privileged Account Managerでアカウント・パスワードを自動的にリセットするまでの期間(日数、時間数または分数)を指定します。たとえば、アカウント・パスワードを毎月変更する必要のあるセキュリティ・ポリシーを企業で実施する場合には、この値を30日に設定します。 アカウントがチェックアウトされ、そのパスワードが変更されるたびに(チェックアウトおよびチェックイン時にそのパスワードを変更するようにポリシーが構成されている場合)、Oracle Privileged Account Managerでは、パスワード変更時間が追跡されます。 Oracle Privileged Account Managerによってアカウントが使用されていないことが検出され、パスワード変更も指定した日数を超えて発生していない場合、そのパスワードはランダム化された新規の値に自動的にリセットされるため、企業ではユーザー操作なしでセキュリティ・ポリシーを自動的に実施できます。この自動リセット・オプションを無効にするには、数値を0に設定します。 注意: Oracle Privileged Account Managerスケジューラは、この項で説明されているように、パスワード最大期間を超えたアカウントがあるかどうかを定期的に確認し、それらをリセットします。 デフォルトでは、スケジューラは60分ごとにこの確認を実行します(OPAM Global Config構成エントリに含まれる |
チェックイン時にパスワードをリセット |
このオプションを使用して、チェックイン操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。 チェックイン操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。 |
チェックアウト時にパスワードをリセット |
このオプションを使用して、チェックアウト操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。 チェックアウト操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。 |
注意:
|
「パスワードの複雑性ルール」タブを選択して、デフォルト・パスワード要件を定義する1つ以上のパラメータを変更します。
表10-3 パスワードの複雑性ルールのパラメータ
パラメータ | 説明 |
---|---|
パスワードの文字 |
必要な文字の最小数と最大数を指定します。 |
英字 |
必要なアルファベット文字の最小数を指定します。 |
数字 |
必要な数字の最小数を指定します。 |
英数字 |
必要な英数字の最小数を指定します。 |
特殊文字 |
必要な特殊文字( |
繰返し文字 |
許可する繰返し文字の最小数と最大数を指定します。 |
一意文字 |
必要な一意文字の最小数を指定します。 |
大文字 |
必要な大文字の最小数を指定します。 |
小文字 |
必要な小文字の最小数を指定します。 |
開始文字(数字以外) |
パスワードを開始するために必要な最初の文字を指定します。 |
必須文字 |
パスワードにどの文字が必要であるかを指定します。 |
許可された文字 |
パスワードで許可する文字を指定します。 |
許可されていない文字 |
パスワードで許可しない文字を指定します。 |
パスワードとして許可されていない |
「アカウント名」ボックスを有効に(選択)してパスワードでアカウント名の使用を禁止します。 |
「特権アカウント」タブを選択して、デフォルト・パスワード・ポリシーを現在使用しているアカウントを確認します。
注意: 表にリストされている任意のアカウントに異なるパスワード・ポリシーを指定するには、「アカウント名」のリンクをクリックします。「アカウント」ページが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。 |
ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。
「管理」アコーディオンから「パスワード・ポリシー」を選択します。
「パスワード・ポリシー」ページが表示されたら、検索結果表の上部にある「作成」をクリックします。
3つのタブを含む新しい「パスワード・ポリシー: 無題」ページが表示されます。
次の情報を「一般」タブで入力します。
名前: 新規ポリシーの名前を入力します。
ステータス: 「アクティブ」または「無効」ボタンをクリックしてポリシーがアクティブか無効かを指定します。
ポリシーをアクティブにすると、すべての関連付けられたアカウントおよび権限付与に対してそのポリシーが有効になります。
ポリシーを無効にすると、その無効化されたポリシーに関連付けられたすべてのアカウントおよび権限付与にデフォルト・パスワード・ポリシーが適用されます。これらのアカウントおよび権限付与に単に異なるポリシーを割り当てると、古いポリシー割当てに関する情報はすべて失われます。
説明(オプション): 新規ポリシーに関する説明文を入力します。
パスワード・ライフサイクル・ルール: これらのパラメータを構成して、一定の状況下でOracle Privileged Account Managerがランダム化されたアカウント・パスワードを自動生成して設定できるようにします。詳細は、表10-2「パスワード・ライフサイクル・ルールのパラメータ」を参照してください。
「パスワードの複雑性ルール」タブを選択して、このポリシーのパスワードの複雑性ルールを指定します。これらのパラメータ設定の説明は、表10-3「パスワードの複雑性ルールのパラメータ」を参照してください。
「特権アカウント」タブを選択して、アカウントまたは権限受領者に新規ポリシーを割り当てます。詳細な手順は、第10.2.5項「パスワード・ポリシーの割当て」を参照してください。
このパスワード・ポリシーを特権アカウントに割り当てた後、「特権アカウント」タブを選択すると、このポリシーを現在使用しているアカウントを確認できます。
「保存」をクリックします。
新しい特権アカウントを追加すると、Oracle Privileged Account Managerによってそのアカウントにデフォルト・パスワード・ポリシーが自動的に割り当てられます。ただし、第10.2.4項「パスワード・ポリシーの作成」の説明に従って他のパスワード・ポリシーを作成済である場合、異なるポリシーをアカウントに割り当てることができます。
注意: セキュリティ管理者管理ロールを持つ管理者のみが、アカウントにパスワード・ポリシーを割り当てることができます。 |
アカウントにパスワード・ポリシーを割り当てることができます。
「アカウント」ページでは次の操作を実行します。
「アカウント」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
ポリシーを割り当てるアカウントを特定します。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。
結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。たとえば、アカウントがUNIXターゲットに割り当てられていることがわかっている場合、「ターゲット・タイプ」メニューからunixを選択します。
検索結果が表示されたら、表にあるアカウントの「アカウント名」のリンクをクリックし、「アカウント: AccountName」ページを開きます。
「一般」タブで、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。
テストが完了している場合は、「Test Succeeded
」メッセージが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「ターゲット」ページでは次の操作を実行します。
「ターゲット」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
アカウントが配置されているターゲットを特定します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。
結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。
検索結果表にあるアカウントのターゲット名(アクティブ・リンク)をクリックし、「ターゲット: TargetName」ページを開きます。
「特権アカウント」タブをクリックし、ターゲットで現在管理されているアカウントのリストを表示します。
表に、各アカウントに現在割り当てられているパスワード・ポリシーがリストされます。
特権アカウント表でアカウントを特定し、アカウントの名前(アクティブ・リンク)をクリックします。
「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。
テストが完了している場合は、「Test Succeeded
」メッセージが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「パスワード・ポリシー」ページから
「ポリシー」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
アカウントに割り当てるパスワード・ポリシーを特定します。
「管理」アコーディオンで、「パスワード・ポリシー」を選択します。
「ポリシーの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なパスワード・ポリシーのリストを移入します。
結果を絞り込むか、特定のポリシーを探すには、検索基準を1つ以上の「ポリシーの検索」フィールドに入力し、「検索」をクリックします。
検索結果表でポリシーを特定し、パスワード・ポリシーの名前(アクティブ・リンク)をクリックして、「パスワード・ポリシー: PolicyName」ページを開きます。
「特権アカウント」タブを選択します。
アカウントを特定し、アカウントの名前(アクティブ・リンク)をクリックして「アカウント: AccountName」ページを開きます。
「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。
テストが完了している場合は、「Test Succeeded
」メッセージが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
この項では、使用ポリシーを使用する場合に管理者が実行する様々なタスクについて説明します。
注意:
|
内容は次のとおりです。
使用ポリシーを使い始める前に、次の各項で説明している概念を理解する必要があります。
使用ポリシーは、権限付与のレベルでのみ適用されます。使用ポリシーでは、Oracle Privileged Account Managerによって、次の順序で権限付与が適用されます。
優先度が最も高くなるのは、ユーザーの権限付与です。
ユーザーがユーザー権限付与を介してアカウントへの直接アクセス権を持っている場合、Oracle Privileged Account Managerによってその権限付与に対応する使用ポリシーが適用されます。
Oracle Privileged Account Managerがそのユーザーに対してユーザー権限付与を検出できなかった場合、そのアカウントへのアクセス権をそのユーザーに付与するグループ権限付与がないか検索されます。
ユーザーが複数の権限付与グループのメンバーである場合、Oracle Privileged Account Managerによってそのグループ名がアルファベット順にソートされ、最初のグループに割り当てられている使用ポリシーが使用されます。
対応するポリシーUsagePolicyBを持つGroup Aと、UsagePolicyAを持つGroup Bがあると想定します。Oracle Privileged Account Managerがグループ名をソートすると、Group Aはアルファベット順で最初になるため、Oracle Privileged Account ManagerによってUsagePolicyBが適用されます。
Oracle Privileged Session Managerでは、対話型(shell)モードと非対話型(Exec)モードの両方のSSHがサポートされています。セキュア・コピー(SCP)を使用して、ターゲットからファイルをコピーすることも可能です。
使用ポリシーを構成して、特権ユーザーがセッション・アクセス権を持つ場合にどのタスクを実行できるか、制限したり許可したりすることができます。この制御は次のレベルで適用できます。
セッションモード・レベル: このモードでは、ユーザーがSCPを使用できるか、またはSSHセッションを対話型モードあるいは非対話型モードで開始できるかを制御できます。
対話型モード: このモードでは、ユーザーがターゲットとともにシェルを起動できます。
非対話型モード: このモードでは、ユーザーがリモートでコマンドを実行できます。
コマンドレベル: このモードでは、ユーザーがターゲット・システムに対して、どのコマンドをSSHセッションで実行できるかを制御できます。
対話型モードまたは非対話型モードのいずれかを有効にすると、Oracle Privileged Session Managerのコマンド制御とコマンド置換機能が使用可能になります。
コマンド制御
コマンドのホワイトリストまたはブラックリストを使用して、ユーザーがターゲットで実行可能または不可能なコマンドを構成できます。
注意: リスト内のコマンドでは、Javaの正規表現構文を使用します。たとえば、 |
次のリストでは、ホワイトリストとブラックリストの必須の使用方法について説明します。
ホワイトリスト: ホワイトリストを使用して、許可するコマンドを定義済のセットに制限します。これが推奨オプションです。
ブラックリスト: ブラックリストを使用して、問題があるとみなされたコマンドが意図せずに使用されるのを防ぎます。ブラックリストの使用とユーザー・アクティビティの記録によって、ユーザーがこのようなコマンドを実行するのを防止できます。
コマンド置換
コマンド名とその代替コマンドのリストを指定できます。これは、問題を引き起こす可能性のあるコマンドの実行を、より安全なコマンドで置き換える場合に有用です。
注意: コマンド置換のコマンドは、正規表現に対応していません。 |
置換されるのはコマンド名のみで、引数はそのまま保持されます。たとえば、コマンドrmをrm -iで置き換える必要がある場合、入力および実行済コマンドは次の例のようになります。
入力コマンド: rm importantFile
実行済コマンド: rm -i importantFile
「管理」アコーディオンから「使用ポリシー」を選択します。
「ポリシーの検索」ポートレットが表示されたら、次の1つ以上のフィールドに検索基準を入力します。
名前: ポリシー名の全部または一部を入力します。
ステータス: すべてのポリシー(アクティブおよび非アクティブ)を検索するには、メニューから「すべて」(デフォルト)を選択します。アクティブまたは非アクティブなポリシーのみに検索を制限するには、「アクティブ」または「無効」を選択します。
「検索」をクリックします。
検索結果表に名前とステータスを含む検索結果が表示されます。
使用ポリシーのパラメータ設定を確認するには、次の手順を実行します。
「管理」アコーディオンから「使用ポリシー」を選択します。
「ポリシー」ページが表示されたら、「検索」をクリックします。
既存のポリシーが検索結果表に表示されます。
次のいずれかの方法を使用してポリシーを開きます。
ポリシーの名前の横にある行番号をクリックしてから、検索結果表の上にある「開く」アイコンをクリックします。
検索結果表のポリシー名(アクティブ・リンク)をクリックします。
たとえば、デフォルト使用ポリシー・リンクをクリックすると、「使用ポリシー: デフォルト使用ポリシー」ページが開きます。
「使用ポリシー」ページには、次の4つのタブが含まれます。
一般フィールド: このタブには、ポリシーに関する一般情報を指定するためのパラメータが含まれます。
機能: このタブに含まれるパラメータを使用して、ユーザーが実行可能なチェックアウト・タイプの制御、セッション記録の有効化または無効化およびセッション・アクセス権の構成を行います。
使用ルール: このタブには、特権アカウントのチェックアウトに関連付けられたタイムゾーン、アカウントをチェックアウトできる時期およびチェックアウトの有効期限を制御するパラメータが含まれます。
権限受領者: このタブでは、特定のアカウントを使用する権限が付与されている権限受領者の情報を提供します。
デフォルト使用ポリシーを評価した後に、現在の環境に合うように設定を変更できます。
デフォルト使用ポリシーを変更するには、次の手順を実行します。
「管理」アコーディオンから「使用ポリシー」を選択します。
「使用ポリシー」ページが表示されたら、「検索」をクリックして検索結果表を移入します。
検索結果表のデフォルト使用ポリシー・リンクを選択して、使用ポリシー: デフォルト使用ポリシー・ページを開きます。
「一般フィールド」タブを選択すると、そこで次のパラメータを変更できます。
注意: このポリシーの「名前」または「ステータス」の値は編集できません。 |
説明: 既存のテキストを強調表示して削除し、新しい説明を入力します。
「機能」タブを選択して、次の手順を実行します。
「基本構成」領域では、次のパラメータを変更できます。
チェックアウト・タイプの許可: このメニューを使用して、このポリシーに対して「すべて」、「パスワード」または「セッション」をチェックアウト・オプションとして指定します。次に、各オプションについて説明します。
- All (デフォルト): このオプションを指定すると、ユーザーにパスワードおよびセッションのチェックアウトが許可されます。
- password: ユーザーに、パスワードのチェックアウトのみを許可します。
- session: ユーザーに、セッションのチェックアウトのみを許可します。
次の表に、すべてまたはセッション・チェックアウトオプションで表示または変更できるセッション・チェックアウト設定を示します。
パラメータ | 説明 |
---|---|
SCP構成 | SCPを有効にした場合、「SCPの有効化」(セキュア・コピー)設定に青いチェック・マークが表示されます。このオプションを有効にすると、ユーザーはターゲットとの間でファイルのコピーを安全にやりとりできます。 |
SSH構成 | 「対話型モードの有効化」設定と「非対話型モードの有効化」設定を有効にした場合、これらの設定に青いチェック・マークが表示されます。対話型モードまたは非対話型モードのいずれかが有効な場合、「コマンド制御リスト」領域の「リスト・タイプ」に次のいずれかのオプションを選択できます。
「コマンド・ロギングの有効化」オプションを有効にした場合、このオプションに青いチェック・マークが表示されます。このフラグを有効にすると、対話型セッション・トランスクリプトが有効になります。 注意: コマンド制御またはコマンド置換オプションが有効な場合は、対話型セッション・トランスクリプトが自動的に有効になります。 「コマンド置換」領域では、置換されるコマンドとその代替コマンドを指定できます。これを行うには、「追加」をクリックして新しい行を挿入します。新しい行の「元」列に置換されるコマンド名を入力し、「置換」列に新しいコマンドを入力して、「追加」をクリックします。 注意: コマンド置換機能ではコマンド名のみが置換され、引数は保持されます。コマンド置換では正規表現を使用できません。 |
セッション記録の有効化: この使用ポリシーをセッション・チェックアウトに適用する場合に、「セッション記録の有効化」チェック・ボックスを選択します。
セッション記録の詳細は、第9.7項「セッション記録の表示」を参照してください。
「使用ルール」タブを選択して、次の1つ以上のパラメータ設定を変更します。
パラメータ | 説明 |
---|---|
タイムゾーン | メニューからタイムゾーンを選択して、ポリシーを適用する時期を指定します。
たとえば、タイムゾーンをGMTに設定し、ポリシーで午前9時から午後5時のチェックアウトが許可されている場合、PSTではなくGMTの午前9時から午後5時にのみチェックアウトを実行できます。 |
使用許可日 | 「月曜日」から「日曜日」チェック・ボックスと、「開始」および「終了」ドロップ・メニューを使用して、権限受領者にアカウントの使用が許可される時期を指定します。権限受領者がこのアカウントにアクセスできる1つ以上の曜日や時間帯を選択します。デフォルト・アクセス期間は24x7 です。 |
有効期限 | 次のオプションのいずれかを有効にして、権限受領者によるアカウントへのアクセス権の有効期限を変更します。
注意: Oracle Privileged Account Managerスケジューラは、この項で説明されているように、指定した有効期限を過ぎたアカウントがあるかどうかを定期的に確認し、それらをリセットします。 デフォルトでは、スケジューラは60分ごとにこの確認を実行します(OPAM Global Config構成エントリに含まれる |
注意: 共有特権アカウントの使用ポリシーを構成する場合、アカウントがチェックインされ、パスワードが適切な時期に反復されることを保証するため、自動チェックイン・オプションを構成することをお薦めします。また、共有アカウントにアクセスできるユーザーの数を制限し、アカウントにアクセスできる時期を指定してそれらのユーザーをさらに絞り込むことを検討してください。各ユーザーがアカウントにアクセスできる曜日や時間帯を指定することで、チェックアウトの重複を最小限に抑え、Oracle Privileged Account Managerの監査機能を向上します。 共有アカウントの詳細は、第2.4.2項「共有アカウントの保護」を参照してください。 |
「権限受領者」タブを選択して、このポリシーが割り当てられている権限受領者を表示します。
注意: 表にリストされている任意の権限受領者に異なる使用ポリシーを指定するには、アカウントの名前(アクティブ・リンク)をクリックします。「アカウント」ページが表示されたら、「使用ポリシー」メニューから別のポリシー名を選択します。 |
ヒント: 「権限受領者名」または「アカウント名」列のアクティブ・リンクをクリックすると、他の画面にナビゲートされて追加情報を参照できます。 |
ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。
使用ポリシーを作成する手順は、次のとおりです。
「管理」アコーディオンから「使用ポリシー」を選択します。
「ポリシー」ページが表示されたら、検索結果表の上部にある「作成」をクリックします。
3つのタブを含む新しい「使用ポリシー: 無題」ページが表示されます。
次の情報を「一般」タブで入力します。
「使用ルール」を選択して、特権アカウントを使用するためのルールを定義します。これらのパラメータ設定の詳細は、第10.2.3項「デフォルト・パスワード・ポリシーの変更」の手順6の表を参照してください。
「機能」タブを選択して、チェックアウト機能を制御します。「機能」タブの説明は、第10.3.4項「デフォルト使用ポリシーの変更」の手順5の表を参照してください。
「権限受領者」タブを選択して、アカウントまたは権限受領者に新規ポリシーを割り当てます。詳細な手順については、第10.3.6項「使用ポリシーの割当て」を参照してください。
このポリシーを割り当てた後、「権限受領者」タブを選択すると、このポリシーを使用しているユーザーまたはグループを確認できます。
「保存」をクリックします。
新しい権限受領者を作成すると、Oracle Privileged Account Managerによってその権限受領者にデフォルト使用ポリシーが自動的に割り当てられます。ただし、第10.3.5項「使用ポリシーの作成」の説明に従って追加の使用ポリシーを作成済である場合、異なるポリシーを権限受領者に割り当てることができます。
注意: 「ユーザー・マネージャ」管理ロールを持つ管理者は、権限受領者とアカウントのペア・レベルでアカウントに使用ポリシーを割り当てることができます。つまり、ユーザー・マネージャは、同じアカウントの異なる権限受領者に異なる使用ポリシーを割り当てることができます。 |
別の使用ポリシーを割り当てることができます。
注意: 第11.2項「ユーザーへのアカウントの付与」または第11.3項「グループへのアカウントの付与」の説明に従ってアカウントに権限受領者を追加すると、Oracle Privileged Account Managerによって「権限付与」タブの「ユーザー」または「グループ」表にユーザー名またはグループ名が追加され、デフォルト使用ポリシーが自動的に割り当てられます。 |
「アカウント」ページでは次の操作を実行します。
「アカウント」ページから使用ポリシーを割り当てるには、次の手順を実行します。
ポリシーを割り当てるアカウントを特定します。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。
結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。
アカウントの「アカウント名」のリンクを特定して「アカウント: AccountName」ページを開きます。
「権限付与」タブを選択します。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして変更を追加します。
「ターゲット」ページでは次の操作を実行します。
「ターゲット」ページから使用ポリシーを割り当てるには、次の手順を実行します。
アカウントが配置されているターゲットを特定します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。
結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。
検索結果表にあるアカウントのターゲット名(アクティブ・リンク)をクリックし、そのターゲットを開きます。
「ターゲット: TargetName」ページが表示されたら、「権限付与」タブをクリックし、そのアカウントへのアクセス権を現在付与されている権限受領者のリストを表示します。
表に、各権限受領者に現在割り当てられている使用ポリシーがリストされます。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「使用ポリシー」ページから
「ポリシー」ページから使用ポリシーを割り当てるには、次の手順を実行します。
アカウントに割り当てる使用ポリシーを特定します。
「管理」アコーディオンで、「使用ポリシー」を選択します。
「ポリシーの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能な使用ポリシーのリストを移入します。
結果を絞り込むか、特定のポリシーを探すには、検索基準を1つ以上の「ポリシーの検索」フィールドに入力し、「検索」をクリックします。
検索結果が表示されたら、割り当てるポリシーを見つけます。「名前」のリンクをクリックし、「使用ポリシー: PolicyName」ページを開きます。
「権限受領者」タブを選択します。
「権限受領者」表でユーザー名またはグループ名を特定し、その権限受領者の特定したアカウントの名前(アクティブ・リンク)をクリックしてアカウントを開きます。
「アカウント: AccountName」ページが表示されたら、「権限付与」タブをクリックします。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして変更を追加します。