この章では、Oracle GoldenGate Monitor 12c (12.2.1)のインスタンス・レベル・セキュリティの実装方法について説明します。内容は次のとおりです。
Oracle Golden Gate Monitor 12c (12.2.1)では、異なるホスト/インスタンスへの個別のユーザー・アクセスを制限するために、現在の機能レベルのセキュリティに加えて、インスタンス・レベルのセキュリティを利用できます。
次のインスタンス・アクセス・ルールが適用されます。
スーパー管理者は、すべてのOracle GoldenGate Monitor Javaエージェント・インスタンスに常にアクセス可能で、オペレータ/パワー・オペレータおよび管理者ロールに属するユーザーに、インスタンスを常に直接割り当てることができます。
管理者は、スーパーユーザーおよびその他の管理者にマップされたインスタンスを変更する権限はありません。管理者は、オペレータおよびパワー・オペレータに対してのみ、インスタンス(現在ログインしている管理者がアクセス可能なインスタンス)のマップおよびアンマップが可能です。
管理者およびオペレータ/パワー・オペレータは、共有インスタンス・アクセスを持つことができます(複数のユーザーがインスタンス・プールから共通の/同じインスタンスにアクセスできます(例: Pool [1,2,3,4,5] Ad1 -->[1,2,3], Ad2-->[3,4,5]))。
スーパー管理者は、異なる管理者から付与された、オペレータ/パワー・オペレータがアクセス可能なインスタンスの完全/結合セットを常に持つことができます。スーパー管理者は、管理者によってオペレータ/パワー・オペレータに割り当てられたインスタンスをオーバーライドできます(例: ユーザーはスーパー管理者としてログインし、ユーザーOpr1をクリックします)。ユーザーAdmin2はインスタンス3、4、5にアクセスでき、3、4、5のインスタンス・アクセスをユーザーOpr1に割り当てているため、スーパー管理者には、インスタンス1、2、3、4、5のみが有効になっていることが表示されます。
スーパー管理者によって削除されたインスタンスに管理者がアクセスできる場合、管理者は、それらのインスタンスをオペレータ/パワー・オペレータに再割当てできます。
管理者が削除された場合、オペレータまたはパワー・オペレータに割り当てられたインスタンスはそのまま残ります。削除された管理者が存在しない場合、オペレータまたはパワー・オペレータによって所有されるインスタンスは、スーパー管理者によって管理されます。
ユーザーに複数のロールを割り当てることができます。Oracle GoldenGate Monitorでは、そのユーザー(Admin1など)の最高のロールを考慮し、スーパー・ユーザーおよび管理者の両方になることができます。
ロール割当ての例
次のシナリオは、ロール/インスタンスの割当て中に前述のルールがどのように適用されるかを示しています。この例で使用されるロールは次のとおりです。
SA: スーパー管理者
JI: Jagentインスタンス
Ad1、Ad2: 管理者
Opr1、Opr2: オペレータ
PowerOpr1、PowerOpr2: パワー・オペレータ
利用可能なOracle GoldenGate Monitor Javaエージェント・インスタンス: {1, 2, 3, 4, 5}
次の手順は、特定のインスタンスがロールにどのように割り当てられるかを示しています。:
SA: JI 1、2、3、4、5にアクセス
SA: JI 1、2、3をAd1に割当て
SA: JI 3、4、5をAd2に割当て
Ad1: JI 1、2、3をOpr1に割当て
Ad2: JI 3、4、5をOpr1に割当て
Ad1: JI 1、2、3をPowerOpr1に割当て
Ad2: JI 3、4、5をPowerOpr1に割当て
ユーザーに割り当てられていないインスタンスに、そのユーザーがアクセスしようとすると、インスタンスにアクセスできない旨のメッセージが表示されます。同じ動作は、特定のインスタンスの一部であるソリューション/ビューに適用されます。
ログインしているユーザー | EDIT USERインスタンスが有効/無効 | EDIT USERインスタンスが有効/無効 | EDIT USERインスタンスが有効/無効 | EDIT USERインスタンスが有効/無効 |
---|---|---|---|---|
スーパー管理者としてログイン | スーパー管理者インスタンスが無効 | 管理者インスタンスが有効 | オペレータ・インスタンスが有効 | パワー・オペレータ・インスタンスが有効 |
管理者としてログイン | スーパー管理者インスタンスが無効 | 管理者インスタンスが無効 | オペレータ・インスタンスが有効 | パワー・オペレータ・インスタンスが有効 |
注意: ユーザーは、そのユーザーがアクセスできないインスタンス・オブジェクトのアラートを作成できます。 |