| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、管理者がOracle Privileged Account ManagerサーバーおよびOracle Privileged Session Manager (セッション・マネージャ)サーバーを構成および管理するために知っておく必要がある情報について説明します。
この章では、次の項目について説明します。
|
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのサーバーの構成と管理におけるの相違点に関する項を参照してください。 |
この項では、次のサーバーの高レベルの概要を示します。
Oracle Privileged Account Managerサーバーは、Oracle Privileged Account Managerの中核機能を実装し、次のものを特定するための認可決定を行います。
管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント
管理者およびエンド・ユーザーがターゲット、特権アカウントおよびポリシーに対して実行できる操作
また、Oracle Privileged Account Managerサーバーは次のことを行います。
アカウントの使用ポリシーおよびパスワード・ポリシーのサポート
その認可決定の実施
OPSSトラスト・サービスによるSAMLベースのOracle Security TokenおよびHTTP Basic認証を使用した認証のサポート
Oracle Privileged Account Managerサーバーの様々な管理ロールのサポート
Oracle Privileged Session Managerは、ターゲット・リソースへの単一のアクセス・ポイントを作成し、次のものを介してターゲット・システムに対する特権セッションを管理可能にします。
次のものによるセッション開始
特権アクセスのための単一制御ポイントの提供
特権資格証明の非公開
準拠しているサード・パーティ・クライアント(Putty、OpenSSHなど)のサポート
ポリシーベースおよび管理者によるセッションの終了およびロックアウトを介した制御を提供することによるセッション制御
犯罪捜査のための分析および監査データをサポートする履歴レコード(トランスクリプト)を保持することによるセッションのモニタリングと監査
次の図は、Oracle Privileged Session ManagerがOracle Privileged Account Managerサーバーにどのように関係しているのかを示しています。
アイデンティティ・コネクタ・バンドルがOracle Privileged Account Manager内で直接実行されない場合は、アイデンティティ・コネクタ・サーバーが必要です。ICFアーキテクチャでは、1つ以上のアイデンティティ・コネクタ・サーバーを使用することで、Oracle Privileged Account Managerと外部にデプロイされたアイデンティティ・コネクタ・バンドルとの通信が可能になります。アイデンティティ・コネクタ・サーバーは、Java (tm)およびMicrosoft .NET Frameworkアプリケーションに対応しています。
詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
Oracle Privileged Account Managerにコネクタ・サーバーを構成すると、Oracle Privileged Account Managerでは、そのコネクタ・サーバーにデプロイされている対応コネクタを使用できるようになります。
Oracle Privileged Account Managerでは、ローカルに使用可能なコネクタのJARを引き続き使用してターゲット・システムにアクセスできます。また、複数のコネクタ・サーバーを構成して、1つのサーバーをターゲット・システムに関連付けることも可能です。Oracle Privileged Account Managerでは、このサーバーを使用してターゲット・システムにアクセスします。
|
注意: Windowsコネクタの場合は、.NETベースのアイデンティティ・コネクタ・サーバーを使用して、ターゲット・システムにアクセスする必要があります。 |
この項では、Oracle Privileged Account Managerサーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
Oracle Privileged Account Managerサーバーを追加および管理するには、「アプリケーション構成者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。
この章で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。Oracle Privileged Account Managerサーバーの構成を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表5-1 参照情報
| 参照内容 | 参照先 |
|---|---|
|
管理ロール |
|
|
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
|
IBM WebSphereでのOracle Privileged Account Managerサーバーの追加と管理 |
Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのIBM WebSphereアイデンティティ・ストアに関する項 |
|
ディレクトリ構造 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle Fusion Middlewareのディレクトリ構造に関する項 |
|
WebLogicおよび管理対象サーバーの起動 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項 |
Oracle Privileged Account Managerにログインする場合、Oracle Privileged Account ManagerサーバーURLはデフォルトで自動的に検出されます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーへの新しい接続を構成するには、次の手順を使用します。
次にログインしてOracle Privileged Account Managerを開きます:
http://<opam-managedserver-host>:<opam-managedserver-nonsslport>/oinav/opam
|
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー接続」を選択します。
「サーバー接続」ページが表示されたら、Oracle Privileged Account ManagerサーバーURLが「自動検出URL」として表示されていることに注意してください。
別のサーバーを追加するには、サーバーのホスト名とSSLポート番号を入力します。
|
注意: 「ホスト」値には、完全修飾ホスト名を入力する必要があります。localhostを使用すると、第20.3.13項「セッションまたはビデオ記録を開けない」の説明のような問題が発生することがあります。 |
「テスト」ボタンをクリックして接続設定をテストします。
サーバー構成のテストに成功すると、「Test Succeeded」メッセージが表示されます。
「適用」ボタンをクリックしてこの接続情報を保存します。
コンソールまたはOPAM Global Config構成エントリ内のプロパティを使用して、スケジューラ間隔やタイムアウトなどのアクティビティに対するサーバー・レベルの動作を定義できます。使用可能なサーバー・プロパティの詳細は、第5.2.3.1項「コンソールから」を参照してください。
OPAM Global Config構成エントリで定義されているサーバー・プロパティは、次の2つの場所から管理できます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーのプロパティを管理するには、次の手順を実行します。
次にログインしてOracle Privileged Account Managerを開きます:
http://<opam-managedserver-host>:<opam-managedserver-nonsslport>/oinav/opam
|
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー構成」を選択します。
「サーバー構成」ページが表示されたら、次のサーバー・プロパティ・オプションをどれでも変更できます。
使用ポリシー強制間隔。Oracle Privileged Account Managerがアカウントを確認した後、使用ポリシーで定義されている有効期限を超えたアカウントを自動的にチェックインする間隔を秒単位で指定します。(デフォルトは3600秒です)
パスワード・ポリシー強制間隔。Oracle Privileged Account Managerが、パスワード・ポリシーで定義されている最大パスワード有効期限を超えたアカウントのパスワードを確認およびリセットする間隔を秒単位で指定します。(デフォルトは3600秒です)
ターゲット接続タイムアウト。ICFコネクタが接続先のターゲット・システムからのレスポンスを待機する時間として、Oracle Privileged Account Managerによって許可される間隔を秒単位で指定します。
この設定のデフォルト値は20秒ですが、ネットワーク待機時間が長く、ターゲット・システムからのレスポンスに時間がかかるデプロイメントでは、この値を大きくすることが必要になる場合があります。
TDEが有効化されたバックエンドが必要です。Oracle Privileged Account Managerで透過的データ暗号化(TDE)モードを使用できるようにするには、このボックスを選択します。デフォルトはTDEモードが有効です。
TDEを有効にすると、Oracle Privileged Account Managerによって格納されたすべての機密情報(アカウント・パスワードなど)が、ディスク上で暗号化されます。
このボックスの選択を解除すると、TDEモードは無効になります。
|
注意: 高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします。TDEモードの使用の詳細は、第2.4.7項「バックエンドOracle Privileged Account Managerデータベースの強化」を参照してください。 |
ユーザーのパスワード取得オプションこのメニューから次のオプションのいずれかを選択して、ユーザーのパスワード表示オプションを構成します。
パスワードの表示の有効化。「アカウントのチェックアウト」ダイアログに「パスワードの表示」ボタンのみが表示されます。このボタンをクリックすると、アカウント・パスワードをクリア・テキストで直接ダイアログに表示できます。
パスワードのコピーの有効化。「アカウントのチェックアウト」ダイアログに「パスワードのコピー」ボタンのみが表示されます。このボタンをクリックすると、パスワードを各自のクリップボードにコピーして使用できます。
パスワードの表示およびパスワードのコピーの有効化。「アカウントのチェックアウト」ダイアログに「パスワードの表示」ボタンと「パスワードのコピー」ボタンの両方が表示されます。「パスワードの表示」ボタンをクリックしてアカウント・パスワードを直接ダイアログ・ボックスに表示するか、「パスワードのコピー」ボタンをクリックしてパスワードを各自のクリップボードにコピーできます。
アイデンティティ・ストア検索フィルタ。次のいずれかの値を入力して、Oracle Privileged Account Managerによるアイデンティティ・ストアの検索方法を構成します。
beginswith (デフォルト)。Oracle Privileged Account Managerは、キーワードで開始する結果を検索します。
contains.Oracle Privileged Account Managerは、キーワードが含まれる結果を検索します。
リソース・ロック待機タイムアウト: リソースのトランザクション・ロックを取得する操作の最大許容時間を定義する間隔(秒単位)を指定します。(デフォルトは120秒です。)
完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。
OPAM Global Config構成エントリにアクセスし、これらのサーバー・プロパティを変更するには、コマンド行からgetconfigおよびmodifyconfigコマンドを使用します。
|
注意: これらのコマンドの使用方法の詳細は、第A.2.1項「getconfigコマンド」および第A.2.3項「modifyconfigコマンド」を参照してください。
コマンド行からのTDEモードの有効化または無効化の詳細は、第17.2項「ディスク上のデータの保護」を参照してください。 |
この項では、セッション・マネージャ・サーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
「セッション・マネージャ構成」ページを表示するには、「アプリケーション構成者」管理ロールまたはセキュリティ管理者ロールを持つ管理者である必要があります。
「セッション・マネージャ構成」ページの設定は、「アプリケーション構成者」管理ロールを持つ管理者のみが変更できます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Session Managerサーバーを構成するには、次の手順を実行します。
次にログインしてOracle Privileged Account Managerを開きます:
https://<opam-managedserver-host>:<opam-managedserver-sslport>/opam
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「セッション・マネージャ構成」を選択します。
「セッション・マネージャ構成」ページのプロパティを使用して、セッション・マネージャを構成します。説明は、第5.3.3項「Oracle Privileged Session Managerのプロパティの管理」を参照してください。
|
注意: 同じマシン上でOracle Privileged Session Managerの2つのインスタンスを実行することはできません。 |
Oracle Privileged Account Managerコンソールからセッション・マネージャのプロパティを管理するには、次の手順を実行します。
|
注意:
|
第5.3.2項「Oracle Privileged Session Managerサーバーへの接続の構成」の説明に従って、Oracle Privileged Account Managerを開いて「セッション・マネージャ構成」ページに移動します。
「セッション・マネージャ構成」ページが表示されたら、次のオプションを構成します。
セッション・モニタリング更新間隔。セッション・マネージャが、すべてのチェックアウト済セッションを確認し、それらのトランスクリプトを更新する間隔(秒単位)を指定します。使用ポリシーで定義された有効期限を超えたセッションはすべて、セッション・マネージャによって自動的に終了されます。(デフォルトは60秒です)。
セッション当たりの最大記録サイズ。セッションごとに許容される最大記録サイズ(KB単位)を指定します。この記録サイズは、セッションのチェックアウト後にユーザーが使用できるデータの量を制限します。この割当てに達すると、そのセッションは自動的に終了します。デフォルト値は10240です。
Oracle Privileged Account Manager URL。この表を使用して、セッション・マネージャが接続できるOracle Privileged Account Managerサーバーの配列を管理します。
1つ以上のOracle Privileged Account ManagerサーバーURLを追加するには、「追加」をクリックします。
新しい行が表に表示されたら、その空白のフィールドにOracle Privileged Account ManagerサーバーのURLを入力します。次に例を示します。
https://<opamserver_host>:<port>/opam
1つ以上のOracle Privileged Account ManagerサーバーURLを表から削除するには、その行を選択して「削除」をクリックします。
SSH構成。次のオプションを使用して、セッション・チェックアウトに対して表示する接続詳細を構成します。
リスナー・ポート: セッション・マネージャ・リスナー・プロトコルがリスニングする予約済SSHポートを指定します。この値は、1024より大きい必要があり、デフォルトは1222です。
セッション・チェックアウトの方法: ユーザーがセッションをチェックアウトするときに表示する説明のメッセージを入力します。このメッセージは、通常のSSHクライアントを使用してセッション・マネージャ・サーバーに接続するためにユーザーが入力する必要がある情報について説明するものです。
例:
ssh -p <port> <opamuser>:<targetname>:<accountname>@<sessionmgrhost>Use opam password on password prompt
|
注意: 「Windowsエージェント数」はデプロイ済のWindowsエージェントの数です。これは読取り専用フィールドです。 |
完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。
Oracle Privileged Account Managerを再起動します。
|
注意: セッション・マネージャ構成を変更した場合は常に、変更を有効にするためにOracle Privileged Account Managerを再起動する必要があります。セッションのチェックアウトおよびチェックインに必要な詳細な手順は、第14.7項「特権アカウント・セッションのチェックアウト」を参照してください。 |
この節では、以下のトピックについて説明します。
コネクタ・サーバーを構成する手順の概要を次に示します。
アイデンティティ・コネクタ・サーバーは、Java (tm)およびMicrosoft .NET Frameworkアプリケーションに対応しています。ユーザー環境の要件に応じて、次のマニュアルのいずれかを参照してください。
Javaベースのコネクタ・サーバーについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のJavaコネクタ・サーバーの使用に関する項を参照してください。
.NETベースのコネクタ・サーバーについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のMicrosoft .NET Frameworkコネクタ・サーバーの使用に関する項を参照してください。
Windowsローカル・コネクタは.NETで実装されます。したがって、このコネクタは.NETフレームワークベースのコネクタ・サーバーにデプロイする必要があります。
.NETコネクタ・サーバーをデプロイする前に、コネクタ・サーバーをインストールするコンピュータにMicrosoft .NET Framework 4.5がインストールされているかどうかを確認してください。
.NETバージョン4.0以上を使用している場合は、.NETコネクタ・サーバーの構成ファイル(ConnectorServer.exe.config)で次の手順を実行します。
「startup」を検索します。
<startup>と</startup>に挟まれた内容を、次の内容で置き換えます。
|
注意: Windowsプラットフォーム上でコネクタ・サーバーを構成している場合は、supportedRunTimeパラメータのバージョンが最上位バージョンから最下位バージョンの順にリストされている必要があります。つまり、サポートされているランタイム・バージョンは降順でリストされている必要があります。 |
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5"/>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
<supportedRuntime version="v2.0.50727"/>
</startup>
コネクタ・サーバーのポートをコネクタ構成ファイルで指定します。WindowsコネクタがWindowsコネクタ・サーバーに接続するにはポートが必要です。
<add key="connectorserver.port" value="8759" />
コマンド行で.NETコネクタ・サーバーのカスタム・キーを設定します。次の手順に従って、/setkeyコマンド行引数を使用する必要があります。
.NETコネクタ・サーバーがインストールされているディレクトリに移動します。デフォルト・ディレクトリはC:\Program Files\Identity Connectors\Connector Serverです。
次のコマンドを実行します。
ConnectorServer.exe /setkey NEW_KEY
このコマンドのNEW_KEYは新しいキーの値です。このキーは.NETコネクタ・サーバーに接続するためにOracle Privileged Account Managerによって必要とされます。
ファイルを保存します。
非管理者(委任されたユーザー)でドメイン・アカウントを管理している場合は、管理者ユーザー権限でコネクタ・サーバーを起動する必要があります。
図5-3に、管理者ユーザー権限でコネクタ・サーバーを起動する方法を示します。
|
注意: コンソールから、または直接コマンド行からコネクタ・サーバー・サービスを実行するには、管理ユーザーとして実行する必要があります。次のいずれかの手順を実行して、これを開始できます。
|
コネクタ・サーバーからWindowsターゲット・マシンへの接続は常に保護されます。Windowsコネクタでは、ADS_SECURE_AUTHENTICATIONオプションが使用されます。
詳細は、次のリンクの「ADS_SECURE_AUTHENTICATION」セクションを参照してください。
http://msdn.microsoft.com/en-us/library/aa772247%28v=vs.85%29.aspx
|
注意: コネクタで使用するWinNT APIではSecure Socket Layer (SSL)がサポートされていないので、このオプションは使用できません。それでも、この項で説明しているように、コネクタ・サーバーからWindowsターゲットへの接続は保護されます。 |
Oracle Privileged Account Managerおよび.NETコネクタ・サーバー間のSSLを構成するには、次の手順を実行する必要があります。
コネクタ・サーバーをホストしているWindowsマシン上で、証明書をエクスポートします。これを実行する手順は次のとおりです。
「スタート」→「ファイル名を指定して実行」をクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc
Microsoft管理コンソールが表示されます。
「ファイル」メニューから、「スナップインの追加と削除」を選択します。
「スナップインの追加と削除」ダイアログ・ボックスで、使用可能なスナップインのリストから「証明書」を選択して、「追加」をクリックします。
「証明書スナップイン」ダイアログ・ボックスで、「コンピューター アカウント」を選択して「次へ」をクリックします。
「コンピュータの選択」ダイアログ・ボックスで、「ローカル コンピュータ」を選択して「完了」をクリックします。
「スナップインの追加と削除」ダイアログ・ボックスで、「OK」をクリックします。
「コンソール ルート」ウィンドウの左ペインで、「証明書 (ローカル コンピュータ)」、「個人」の順に展開して、「証明書」を選択します。要求されたすべての証明書が、右ペインに表示されます。
証明書を右クリックし、「すべてのタスク」を選択してから、「エクスポート」をクリックします。証明書のエクスポート・ウィザードが表示されます。
「証明書のエクスポート ウィザードの開始」ページで、「次へ」をクリックします。
「秘密キーのエクスポート」ページで、「いいえ、秘密キーをエクスポートしません」オプションを選択して「次へ」をクリックします。
「エクスポート ファイル形式」ページで、「Base-64 encoded X.509(.CER)」を選択して「次へ」をクリックします。
「エクスポートするファイル」ページの「ファイル名」フィールドに、名前、および証明書をエクスポートする場所を入力して「次へ」をクリックします。場所の例を次に示します。
C:\ WindowsLocalCer
「証明書のエクスポート ウィザードの完了」ページで、「完了」をクリックします。
エクスポートが成功したというメッセージを示すダイアログ・ボックスが表示されます。
「OK」をクリックします。
SSL対応のコネクタ・サーバーの構成これを実行する手順は次のとおりです。
証明書ストアを作成し、この手順の手順1で作成した証明書を追加します。証明書ストアの追加手順:
コマンド・ウィンドウに次のように入力します。
C:\>certutil -f -addstore sslstore C:\WindowsLocalCer.cer
このコマンドによって、sslstoreという名前の新しい証明書ストアが作成され、証明書WindowsLocalCer.cerがこのストアに追加されます。
|
注意:
|
コネクタ・サーバーがインストールされた場所に移動し、ConnectorServer.exe.Configファイルを探します。
テキスト・エディタで、ConnectorServer.exe.Configファイルを編集用に開き、次の行の値を変更します。
変更前:
<add key="connectorserver.usessl" value="false" /> <add key="connectorserver.certificatestorename" value="ConnectorServerSSLCertificate" />
変更後:
<add key="connectorserver.usessl" value="true" /> <add key="connectorserver.certificatestorename" value="sslstore" />
コネクタ・サーバーを再起動します。
SSL対応のOracle Privileged Account Managerを構成します。
Oracle Privileged Account Managerが使用するJDKにターゲット・システムの証明書をインポートします。これを実行する手順は次のとおりです。
この手順の手順1で生成された証明書をOracle Privileged Account Managerがデプロイされているコンピュータにコピーします。
次のコマンドを実行して、(Oracle WebLogic Application Serverで実行されている) Oracle Privileged Account Managerが使用するJDKにターゲット・システムの証明書をインポートします。
keytool -import -keystore MY_CACERTS -file CERT_FILE_NAME -storepass PASSWORD
前述のコマンドで、MY_CACERTSは証明書ストアのフルパスと名前です。CERT_FILE_NAMEは証明書ファイルのフルパスと名前で、PASSWORDはキーストアのパスワードです。
次に、サンプル・コマンドを示します。
keytool -import -keystore /home/OPAM/jrockit_160_14_R27.6.5-32/jre/lib/security/cacerts -file /home/WindowsLocalCer.cer -storepass changeit
|
注意: Oracle Privileged Account Manager証明書ストアへのSSL証明書の追加の詳細は、第17.1項「SSL経由でターゲット・システムと通信するためのOracle Privileged Account Managerの構成」を参照してください。 |
.NETコネクタ・サーバーでのログの有効化の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のトレース設定の構成に関する項を参照してください。
Windowsコネクタでは.NETフレームワークの組込みロギング・メカニズムを使用します。ログ・レベルは、.NETコネクタ・サーバー構成ファイル(ConnectorServer.exe.config)で設定されます。
Windowsローカル・コネクタのロギングを有効にする手順:
ConnectorServer.exe.configファイルがインストールされているディレクトリに移動します。デフォルト・ディレクトリはC:\Program Files\Identity Connectors\Connector Serverです。ConnectorServer.exe.configファイルはこのディレクトリにあります。
ConnectorServer.exe.configファイルに、太字で示す次の行を追加します。
<system.diagnostics>
<trace autoflush="true" indentsize="4">
<listeners>
<remove name="Default" />
<add name="myListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="c:\connectorserver2.log" traceOutputOptions="DateTime">
<filter type="System.Diagnostics.EventTypeFilter" initializeData="Information" />
</add>
</listeners>
</trace>
<switches>
<add name="WindowsLocalSwitch" value="4" />
</switches>
</system.diagnostics>
value="4"はログ・レベルを冗長に設定します。この値は次のように設定できます。
表5-2 ログ・レベル
| 値 | ログ・レベル |
|---|---|
|
value="4"またはvalue="Verbose" |
詳細レベル。最も詳細です。 |
|
value="3"またはvalue="Information" |
情報レベル。 |
|
value="2"またはvalue="Warning" |
警告レベル。 |
|
value="1"またはvalue="Error" |
エラー・レベル。 |
|
value="0" |
ログなし。 |
ただし、ロギング・レベルは.NETコネクタ・サーバーのパフォーマンスに直接影響することに注意してください。
.NETコネクタ・サーバー・サービスを停止してから再起動する必要があります。
Oracle Privileged Account Managerでは、アイデンティティ・コネクタ・フレームワーク(ICF)に基づくことにより、Windowsコネクタを使用してWindowsローカル・アカウントを管理できます。
WindowsコネクタはMicrosoft .NET Frameworkを基盤としています。そのため、.NETコネクタ・サーバーにデプロイする必要があります。
Windowsコネクタを構成する手順を次に示します。コネクタ・サーバーにコネクタをインストールする手順:
コネクタ・サーバーを停止します。
"WindowsLocal.Connector-1.0.0.0.zip"ファイルを次の場所からWindowsターゲット・マシンにコピーします。
$ORACLE_HOME\opam-connectors\msft_windowslocal\bundle
.zipファイルを解凍してからすべての内容をC:\Program Files\Identity Connectors\Connector Serverにコピーします。
コネクタ・サーバーを再起動します。
コネクタ・サーバーを構成するには、表5-3で説明しているプロパティに値を指定します。
表5-3 コネクタ・サーバーの構成プロパティ
| プロパティ | 説明 |
|---|---|
|
名前 |
構成の名前 |
|
説明 |
構成の説明 |
|
ホスト |
コネクタ・サーバーのホスト |
|
ポート |
コネクタ・サーバーのポート |
|
サーバー・キー |
コネクタ・サーバーへの接続に使用されるキー |
|
SSL |
SSL有効/無効 |
|
タイムアウト(秒) |
コネクタ・サーバー操作のタイムアウト(秒) |
RESTfulインタフェースによるコネクタ・サーバーの構成の詳細は、「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。
コンソールからコネクタ・サーバー構成を管理するには、次のアクションを実行できます。
次の手順に従って、「コネクタ・サーバー構成」ページで値を指定することによってコンソールからコネクタ・サーバー構成を作成できます。
|
注意: 「アプリケーション構成者」管理ロールを持つ管理者のみがコネクタ・サーバー構成を作成できます。 |
「構成」アコーディオンから、「コネクタ・サーバー構成」を選択します。
「コネクタ・サーバー構成」ページが表示されたら、検索結果ツールバーで「作成」をクリックします。
新規の「コネクタ・サーバー構成: 無題」ページが表示されます。このページに表示されたプロパティの値を指定してコネクタ・サーバーを構成できます。
図5-4は無題の「コネクタ・サーバー構成」ページを示しています。
値を指定したら、「テスト」をクリックして構成が成功かどうかをチェックします。テストが失敗した場合は、「テストに失敗しました」というメッセージがダイアログ・ボックスに表示されます。この場合は値を再構成して再試行します。テストが成功した場合は、「テストに成功しました」というメッセージがダイアログ・ボックスに表示されます。
成功したコネクタ・サーバー構成を保存するには、「保存」をクリックします。
次の手順に従って、コンソールからコネクタ・サーバー構成を検索して開くことができます。
「構成」アコーディオンから、「コネクタ・サーバー構成」を選択します。
「コネクタ・サーバー構成」ページが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。
例:
"TestConnectorServer"構成を検索する場合は、「名前」フィールドにt、test、またはtestconnectorと入力します。
既存のコネクタ・サーバー構成をすべて検索する場合は、検索パラメータを指定しないでください。
「検索」をクリックします。結果が検索結果表に移入されます。
次の手順に従って、コンソールからコネクタ・サーバー構成を削除できます。
|
注意: 「アプリケーション構成者」管理ロールを持つ管理者のみがコネクタ・サーバー構成を削除できます。 |
「構成」アコーディオンから、「コネクタ・サーバー構成」を選択します。
「コネクタ・サーバー構成」ページが表示されたら、検索ポートレットを使用して、削除する構成を特定します。
検索結果表からコネクタ・サーバー構成番号の行番号を選択して、「削除」をクリックします。
