Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerのリソース・グループの作成、管理、およびアクセス権限の委任の方法について説明します。
注意:
|
Oracle Privileged Account Managerでは、すべてのターゲットとアカウントがリソースとみなされます。リソース・グループは、ターゲット、アカウントおよび他のリソース・グループが含まれるリソースのコレクションです。リソース・グループによって、デプロイメント内のリソースの管理が容易になり、機能も向上します。
リソース・グループは、データをグループに編成して管理をユーザーまたはユーザー・グループに委任することで管理を簡素化します。Oracle Privileged Account Managerでは、セキュリティ管理者ロールなどのグローバル管理ロールを持つユーザーが、すべてのターゲットおよびアカウントなどの全リソースに対する管理アクセス権を持ちます。デプロイメント・ニーズでは、グローバル・アクセスを提供するよりも、リソースのサブセットに対するユーザーに管理アクセス権が提供されることが求められます。たとえば、リージョン管理者は担当リージョン内のリソースのみを管理するアクセス権が必要な可能性があります。リソース・グループでは、このようなリソースのサブセットを作成して、ユーザーに管理を委任するメカニズムが提供されます。
たとえば、次の2つのメンバーが含まれる、Austin Groupという名前のリソース・グループを作成することができます。
Austin DBグループ:
このグループには、さらにappsdb01とDBADMINという2つのメンバー・グループが含まれています。
Austin Unixグループ:
このグループには、さらにappserver01とrootという2つのメンバー・グループが含まれています。
図12-1に、Austin Groupリソース・グループの構造を示します。
リソース・グループを作成した後で、そのグループの管理権限を特定のユーザーまたはグループ(あるいはその両方)に委任できます。委任の詳細は、第12.3項「管理権限の委任」を参照してください。
リソース・グループの作成手順:
Oracle Privileged Account Managerにログインします。
「管理」アコーディオンから、「リソース・グループ」を選択します。「リソース・グループ」ページが開きます。
「作成」をクリックして、「リソース・グループ: 無題」ページを開きます(このページには、次のタブがあります)。
一般: このタブを選択すると、リソース・グループを作成してメンバーを追加できます。
委任: このタブを選択すると、リソース・グループの管理権限を特定のユーザーとグループに委任したり、それを変更したりできます。
階層ビュー: このタブを選択すると、選択したリソース・グループの階層ビューを表示して操作できます。
メンバー所属: このタブを選択すると、リソース・グループが階層化されている場合に、このリソース・グループがメンバーとして所属している別のリソース・グループを表示できます。
注意: 「委任」、「階層ビュー」および「メンバー所属」の各タブは、リソース・グループを作成して保存するまではアクティブになりません。 |
「一般」タブで、「名前」フィールドにグループの名前を入力し、オプションで説明を追加します。たとえば、「説明」フィールドでこのリソース・グループの目的を他の管理者に説明します。
「メンバー」セクションで、「追加」をクリックします。
「メンバーの追加」ダイアログ・ボックスが表示されます。次の手順に従って、このダイアログ・ボックスでメンバーを検索し、新しいリソース・グループに追加します。
「タイプ」メニューを使用して、グループに追加するメンバーのタイプを指定します。「アカウント」、「ターゲット」または「リソース・グループ」オプションを選択できます。
アカウント、ターゲットまたはリソース・グループの名前の1つ以上の文字を「名前」フィールドに入力して、「検索」をクリックします。
検索結果が表示されたら、表内の1つ以上の行を選択し、「追加」をクリックして、選択したメンバーをグループに追加します。
ヒント: 連続する複数の行を選択するには[Shift]を押しながらクリックし、連続していない複数の行を選択するには[Ctrl]を押しながらクリックします。 |
「名前」フィールドの下に成功メッセージが表示されます。
完了したら、「閉じる」をクリックします。
選択したメンバーが「メンバー」検索結果表に表示されます。
「保存」をクリックします。
Oracle Privileged Account Managerによって新しいグループに一意のGUID値が割り当てられ、その値が「名前」フィールドの下に表示されます。
「委任」タブがアクティブになります。新しいリソース・グループの管理権限を委任するには、第12.3項「管理権限の委任」を参照してください。
この項では、委任について説明し、Oracle Privileged Account Managerのリソース・グループに対するアクセス権限を委任および削除する方法を示します。次の項でこのトピックについて説明します。
委任を使用すると、特定のリソース・グループまたは個々のリソースの管理職責を他のユーザーまたはグループと共有できます。
管理者がリソース・グループの管理権限をユーザーまたはグループに委任すると、指定されたリソースの管理権限のみが受任者に与えられます。委任後、委任されたユーザーはリソース・グループとそのリソース・グループ内のすべてのリソースに対して権限を保持します。受任者は、委任されたリソース・グループ外のすべての他のリソースの権限を持ちません。
委任された権限を持つユーザーも、自分に委任されたリソースを他のユーザーまたはグループに委任することが可能です。ただし、ユーザーがさらに委任できるのは、そのユーザーに委任された権限のみです。たとえば、「セキュリティ管理者」権限を持つユーザーは、「セキュリティ管理者」権限のみを他のユーザーに委任できます。同様に、「ユーザー・マネージャ」権限を持つユーザーは、「ユーザー・マネージャ」権限のみを他のユーザーに委任できます。
たとえば、Janeはシステムの「セキュリティ管理」権限を持つユーザーですが、自分の休暇中もLDAPサーバーの管理は必要です。このような場合に、Janeはリソース・グループを作成して、そのグループにターゲットを追加すればいいのです。このリソース・グループの自分の「セキュリティ管理」権限をJoeに委任できます。これで、JoeはJaneのリソース・グループの「セキュリティ管理」権限を保持して、このグループを管理できるようになります。ただし、他のリソースに対して同じ権限はありません。
権限の委任には次の利点があります。
柔軟性。
システム内のロールと職責の分離をより簡単に実現。
監査の安全性と容易性の向上。
次の権限を委任できます。
セキュリティ管理者
ユーザー管理者
最初に、システム全体の「セキュリティ管理者」または「ユーザー・マネージャ」ロールを持つユーザーが存在する可能性があり、このユーザーはリソース・グループを作成して、リソース・グループ・レベルが委任された管理者を割当てできます。委任された管理者はさらに自分の権限を他のユーザーに委任して、リソース管理を分割するためのサブ・リソース・グループも作成できます。次の表で、グローバル管理者および委任管理者が実行できるタスクを説明します。
表12-1 各管理ロールで実行可能なタスク
管理ロール | タスクの説明 |
---|---|
セキュリティ管理者 |
|
リソース・グループの「セキュリティ管理者」権限を委任されたユーザー |
|
ユーザー管理者 |
|
リソース・グループの「ユーザー・マネージャ」権限を委任されたユーザーまたはグループ |
|
注意: リソース・グループに対する権限を委任すると、委任されたリソース・グループの一部のリソース・グループ(子グループまたは子)も含めて、そのグループ内のすべてのリソースに対する同様の管理権限を暗黙的に付与することになります。 |
リソース・グループのアクセス権限をユーザーまたはグループに委任するには、「委任」タブを選択して次の手順を実行します。
注意: 権限を追加して委任する手順は、ユーザーに対する場合もグループに対する場合も基本的には同じです。
|
「検索結果」表の上にある「追加」アイコンをクリックします。
「ユーザーの追加」ダイアログ・ボックスが表示されたら、「名前」フィールドに名前を1文字以上入力して、選択可能な委任者を検索します。「検索」をクリックします。
たとえば、多くの名前でよく使用されている1文字を入力すると、その文字を含むすべての名前のリストが表示されます。結果を絞り込むには、より多くの文字を入力してください。
結果リストから1行以上選択して、「追加」をクリックします。
ヒント: 連続する複数の行を選択するには[Shift]を押しながらクリックし、連続していない複数の行を選択するには[Ctrl]を押しながらクリックします。 |
適切な行を選択したら、「閉じる」をクリックします。
これで、選択した名前とそれに割り当てられた権限が「委任」タブの該当する表で有効になりました。
デフォルトで割り当てられた権限を変更するには、「権限」メニューから別のオプションを選択します。
委任者の追加が終了したら、「適用」をクリックして変更を保存します。
委任を開くと、そのユーザーまたはグループに関する詳細情報を次のように表示できます。
ユーザーについて表示できる情報:
姓名
ユーザー・タイプ
OPAMロール
ユーザーがアクセス可能な特権アカウント
グループについて表示できる情報:
グループの説明
グループに所属するユーザーのリスト
このグループに所属するグループのリスト
グループがアクセス可能な特権アカウント
次の手順を実行して委任を開きます。
ユーザーまたはグループ表で「名前」リンクを選択します。
適切な表の行を選択して、「開く」をクリックします。
選択内容に応じて、「ユーザー: User_Name」ページまたは「グループ: Group_Name」ページが表示されます。
委任者とそのアクセス権限を削除するには、ユーザーまたはグループ表で行を選択し、「削除」をクリックします。
注意: リソース・グループを委任されたユーザーは、このリソース・グループで委任を変更できます。委任されたユーザーは委任された権限を削除することもできます。削除された委任権限の唯一の回避策はそれを再委任することであるため、委任された権限を削除しないでください。 |
この項では、リソース・グループの階層を表示して操作する方法について説明します。
リソース・グループを作成して保存すると、「階層ビュー」タブがアクティブになります。このタブを選択すると、親リソース・グループとすべてのリソース・メンバー(アカウント、ターゲットおよび他のリソース・グループ)を含む、リソース・グループの階層図が表示されます。
たとえば、図12-2は、IT Operationsという名前のリソース・グループの図を示しています。
このページには、図の他にも、様々な方法で階層図を操作できるコントロール・パネルが含まれています。このコントロール・パネルはデフォルトでは非表示です。各コントロールにアクセスするには、表示領域の左側にあるコントロール・パネルの表示/非表示アイコン()をクリックします。
図12-3に示すようなコントロール・パネルが表示されます。
表12-2では、このコントロール・パネルで使用可能な機能について説明します。
表12-2 「階層ビュー」ページのコントロール・パネル機能
機能 | 説明 |
---|---|
ズームおよび中央 |
ホイールの中央をクリックすると、表示領域内で図が中央寄せされます。 |
パン |
ホイールの外枠に沿った矢印をクリックすると、表示領域内で図が移動します。 |
ズームして合せる |
このアイコンをクリックすると、表示領域にあわせて図が調整されます。 |
スケール |
矢印を上下の目盛にスライドすると、図のサイズが調整されます。図を拡大するには上方向に、縮小するには下方向にスケールをスライドします。 |
ズーム・アウト |
アイコンをクリックすると、図が縮小します。 |
ズーム・イン |
アイコンをクリックすると、図が拡大します。 |
レイアウト・パレット |
アイコンをクリックすると、表示される図のタイプを変更できる各種アイコンのパレットが表示されます。レイアウト・オプションには、次のものがあります。
|
「階層ビュー」ページには、コントロール・パネルの他にも、次の機能が用意されています。
クリック・アンド・ドラッグ: 図の任意の場所をクリックし、マウスを使用して図をドラッグしながら表示領域内で移動します。
ロールオーバー・ポップアップ: カーソルを次の機能の上に移動すると詳細が表示されます。
コントロール・パネルの各アイコンの上にカーソルを移動すると、その名前と代替クイック・キー(使用できる場合)がポップアップに表示されます。
図の任意のボックス上にカーソルを移動すると、そのボックス内の情報がポップアップに拡大表示されます。
詳細リンクの表示: リンクをクリックすると、その特定メンバーの構成ページが表示されます。たとえば、ターゲット・ボックス内のリンクをクリックすると、「ターゲット: Target_Name」ページが表示されます。
アイコンの非表示、表示、分離およびリストア: 図を縮小して選択したボックスのみを表示したり、図を元のサイズに戻してすべてのボックスを表示する操作を、トグル・アイコンで切り替えます。
クイックキー・コマンド: コントロール・パネルのアイコンを使用するかわりに、次に示すキーの組合せを入力します。
[Ctrl]+[Alt]+[0]
: ズームおよび中央
/
(バックスラッシュ): 階層図のコントロール・パネルの非表示/表示の切替え
0
(ゼロ): ズームして合せる
+
(プラス号): ズーム・イン
-
(マイナス記号): ズーム・アウト
[Shift]+[Enter]
: 「非表示」、「表示」、「分離」および「リストア」
管理者権限がある場合は、「名前」または「説明」(あるいはその両方)のパラメータで、リソース・グループを検索できます。
リソース・グループの検索手順:
「管理」アコーディオンで、「リソース・グループ」を選択します。
「リソース・グループ」タブが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。次に例を示します。
rg1
リソース・グループを検索するには、「名前」フィールドにr
、rg
またはrg1
と入力できます。
既存のリソース・グループをすべて検索するには、検索パラメータを指定しないでください。
「検索」をクリックします。
検索結果表で検索結果を確認します。
リソース・グループを開くと、グループの構成パラメータを確認および編集できます。
リソース・グループを開く手順:
「管理」アコーディオンで、「リソース・グループ」を選択します。
「リソース・グループ」タブが表示されたら、検索ポートレットを使用して、開くリソース・グループを特定します。
結果が検索結果表に表示されたら、次の手順を実行します。
検索結果表でリソース・グループの名前(アクティブ・リンク)をクリックします。
リソース・グループの行番号を選択して、「開く」アイコンをクリックします。
リソース・グループ: ResourceGroupNameページが開き、ここでグループの構成と委任に関する情報にアクセスできます。
注意: リソース・グループを削除できるのは、「セキュリティ管理者」管理ロールを持つ管理者のみです。 |
リソース・グループの削除手順:
「管理」アコーディオンで、「リソース・グループ」を選択します。
「リソース・グループ」タブが表示されたら、検索ポートレットを使用して、削除するリソース・グループを特定します。
検索結果表からグループの行番号を選択して、「削除」アイコンをクリックします。