7 Oracle Key Vaultエンドポイントの管理

Oracle Key Vaultのエンドポイントは、データベース・サーバー、アプリケーション・サーバーおよび他の情報システムなどのコンピュータ・システムで、ここではキーおよび資格証明を使用して、暗号化データおよび他のシステムにアクセスします。Oracle Key Vaultと通信するには、エンドポイントを登録およびエンロールする必要があります。その後、エンドポイントではKey Vaultにキーをアップロードし、それらを他のエンドポイントと共有し、それらをダウンロードしてデータにアクセスすることが可能になります。

• エンドポイントの管理について
  
• エンドポイントの管理
  
• 仮想ウォレットへのエンドポイント・アクセス権の管理
  
• デフォルト・ウォレットとエンドポイントの関連付け
  
• エンドポイントのデフォルト・ウォレットの設定
  
• エンドポイント・グループの管理
  
• エンドポイント詳細の管理
  

7.1 エンドポイントの管理について

Oracle Key Vaultと通信するには、エンドポイントを登録およびエンロールする必要があります。システム管理者ロールを持つユーザーのみがKey Vaultにエンドポイントを追加できます。エンドポイントを追加すると、エンドポイント管理者は、エンドポイントでエンドポイント・ソフトウェアをダウンロードおよびインストールすることによって、エンドポイントをエンロールできます。その後、エンドポイントでは、エンドポイント・ソフトウェアとともにパッケージ化されたユーティリティを使用して、Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。

すべてのユーザーが仮想ウォレットを作成できますが、キー管理者権限を持つユーザーのみが、仮想ウォレットに含まれるセキュリティ・オブジェクトへのエンドポイント・アクセス権を付与できます。キー管理者は、仮想ウォレットへの共有アクセスを可能にするために、エンドポイント・グループを作成することもできます。仮想ウォレットへのエンドポイント・グループ・アクセス権を付与すると、すべてのメンバー・エンドポイントがその仮想ウォレットへのアクセス権を持ちます。たとえば、Oracle RACのすべてのノードをエンドポイント・グループに入れることによって、仮想ウォレットへのアクセス権をそれらに付与できます。これにより、仮想ウォレットへのアクセス権を各ノードに付与するステップを省略できます。

Oracle Key Vaultユーザー名をOracle Key Vaultエンドポイント名と同じにすることはできません。

次に、エンドポイントに関連する2つの管理ロールの概要を示します。

システム管理者ロールを持つユーザー:

• 名前、タイプ、プラットフォーム、説明、電子メールなどのエンドポイント・メタデータの管理

• エンドポイントのエンロール、削除、一時停止および再エンロールで構成される、エンドポイント・ライフサイクルの管理

キー管理者ロールを持つユーザー:

• エンドポイント・グループの作成、変更および削除で構成される、エンドポイント・グループ・ライフサイクルの管理

• セキュリティ・オブジェクトの作成、変更および削除で構成される、セキュリティ・オブジェクトのライフサイクルの管理

• エンドポイントおよびエンドポイント・グループに対する共有仮想ウォレットでのアクセス権のマッピングの付与、変更および取消し

• エンドポイントとデフォルト・ウォレットの関連付け

7.2エンドポイントの管理

新しいエンドポイントをエンロールしたり、既存のエンドポイントを再エンロールしたり、Oracle Key Vaultと統合しなくなった場合に削除したり、セキュリティ上の理由から一時的に無効化することができます。

• エンドポイント・エンロールのタイプ
  
• Key Vaultシステム管理者としてのエンドポイントの追加
  
• 自己エンロールを使用したエンドポイントの追加
  
• エンドポイント構成パラメータの構成
  
• エンドポイントの削除、一時停止または再エンロール
  

7.2.1 エンドポイント・エンロールのタイプ

エンドポイントをエンロールする最初のステップは、Key Vaultにエンドポイントを追加することです。エンドポイントを追加または登録するには、次の2つの方法があります。

• 管理者による開始

  システム管理者ロールを持つOracle Key Vaultユーザーが、Key Vaultにエンドポイントを追加することによって、Key Vault側からエンロールを開始します。エンドポイントが追加されると、1回限りのエンロール・トークンが生成されます。このトークンは、次の2つの方法でエンドポイント管理者に送信できます。

  1. 電子メールによってKey Vaultから直接。電子メール通知を使用するには、電子メール設定でSMTPを構成する必要があります。

  2. 電子メールまたは電話などのバンド外の方式。

  エンドポイント管理者は、エンロール・トークンを使用してエンドポイント・ソフトウェアをダウンロードし、エンドポイント側でエンロール・プロセスを完了します。

  エンドポイントのエンロールに使用したエンロール・トークンを別のエンロールに再度使用することはできません。エンドポイントを再エンロールする必要がある場合は、再エンロール・プロセスで、この目的のために新しい1回限りのエンロール・トークンを生成します。

• 自己エンロール

  人による管理操作なしで、特定の時間中にエンドポイントがそれ自体をエンロールできます。エンドポイント自己エンロールは、エンドポイント間でセキュリティ・オブジェクトを共有せず、主にOracle Key Vaultを使用してそれ自体のセキュリティ・オブジェクトを保存およびリストアする場合に役立ちます。エンドポイント自己エンロールの別の用途は、テストです。

  自己エンロールされたエンドポイントは、ENDPT_001という形式の一般的なエンドポイント名で作成されます。最初は、自己エンロールされたエンドポイントには、それ自体がアップロードまたは作成するセキュリティ・オブジェクトへのアクセス権のみがあります。仮想ウォレットへのアクセス権はありません。後で、そのアイデンティティを検証した後、仮想ウォレットへのエンドポイント・アクセス権を付与できます。

  エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。エンドポイントが自己エンロールすると予期される短期間に自己エンロールを有効化して、自己エンロール期間が終了したときに無効化することがベスト・プラクティスとなります。

関連項目:

電子メール通知

7.2.2 Key Vaultシステム管理者としてのエンドポイントの追加

Key Vaultシステム管理者としてエンドポイントを追加するには、次のステップに従います。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブをクリックします。

   「Endpoints」ページが表示され、Key Vaultエンドポイントが示されます。

   図7-1 「Endpoints」ページ

   
   「図7-1 「Endpoints」ページ」の説明

   「Endpoints」ページには、登録およびエンロールされたエンドポイントのリストと、名前、タイプ、説明、プラットフォーム、ステータス、エンロール・トークン、アラートなどのエンドポイント詳細が表示されます。エンドポイント・ステータスは、「Registered」または「Enrolled」のいずれかになります。

   • 「Registered」ステータス: エンドポイントが追加され、1回限りのエンロール・トークンが生成されています。このトークンは、対応する「Enrollment Token」列に表示されます。

   • 「Enrolled」ステータス: エンドポイント・ソフトウェアをダウンロードするために、1回限りのエンロール・トークンが使用されています。「Enrollment Token」列に、エンロール・トークンが使用されていることを示すダッシュ('-')が表示されます。

3. 「Endpoints」ページで「Add」をクリックします。

   「Register Endpoint」ページが表示されます。

   図7-2 「Register Endpoint」ページ

   
   「図7-2 「Register Endpoint」ページ」の説明
4. 次のように、新しいエンドポイントの情報を入力します。

   • Endpoint Name(必須): 名前には、文字、数字およびアンダースコアを使用できます。エンドポイント名では、大文字と小文字は区別されません。たとえば、app_server1として入力した名前は、エンドポイント表ではAPP_SERVER1となります。エンドポイントは、全体にわたってこの名前で参照されます。

   • Type(必須): サポートされているタイプは、「Oracle Database」、「Oracle Database Cloud Service」、「Oracle (non-database)」、「Oracle ACFS」、「MySQL Database」および「Other」です。「Other」の例には、サード・パーティのKMIPエンドポイントがあります。

     注意:

     Oracle Advanced Security Transparent Data Encryption(TDE)を使用していて、Oracle Key Vaultを使用してTDEマスター・キーまたはウォレットを管理する場合、「Type」を「Oracle Database」に設定する必要があります。

   • Platform(必須): サポートされているプラットフォームは、「Linux」、「Solaris SPARC」、「Solaris x64」、「AIX」、「HPUX」、「Windows」です。

   • Description(オプション、ただし推奨): エンドポイントのホスト名、IPアドレス、機能または場所など、実用的でわかりやすい説明を入力します。

   • Administrator Email(オプション、ただし推奨): Key Vaultからエンロール・トークンおよびその他のエンドポイント関連のアラートを直接送信するエンドポイント管理者の電子メール・アドレスを入力します。電子メール通知機能を使用するには、SMTPを構成する必要があることに注意してください。

5. 「Register」をクリックします。

   「Endpoints」ページが表示され、そこにステータスが「Registered」の新しいエンドポイントが表示されます。「Enrollment Token」列に1回限りのエンロール・トークンが表示されます。

   図7-3 「Registered」ステータスのエンドポイント

   
   「図7-3 「Registered」ステータスのエンドポイント」の説明
6. エンドポイント名をクリックして、エンドポイントの詳細を表示します。

   「Endpoint Details」ページが表示されます。

   図7-4 エンドポイント詳細

   
   「図7-4 エンドポイント詳細」の説明

   注意:

   「Endpoint Details」ページの「Send Enrollment Token」ボタンは、「Status」が「Registered」のエンドポイントに対してのみ表示されます。

   1回限りのエンロール・トークンをエンドポイント管理者に送信するには、2つの方法があります。

   1. SMTPを構成して電子メール・アドレスを入力した場合は、ステップ7に示すように、Key Vaultからエンドポイント管理者にエンロール・トークンが直接送信されます。

   2. SMTPを構成しなかった場合、または電子メール・アドレスを入力しなかった場合は、バンド外の方式を使用して、エンドポイント管理者にエンロール・トークンを送信する必要があります。

7. 「Send Enrollment Token」をクリックします。

   電子メールが送信されたことを示す確認メッセージが表示されます。

   ここでエンドポイントのエンロール・プロセスを完了するかどうかは、エンドポイント管理者が決定します。

   エンロール・トークンがエンドポイント側でエンドポイント・ソフトウェアのダウンロードおよびインストールに使用されている場合、エンドポイント・ステータスは「Registered」から「Enrolled」に変わります。

関連項目:

• 電子メール通知

• タスク1: エンドポイントのエンロールとソフトウェアのダウンロード

7.2.3 自己エンロールを使用したエンドポイントの追加

エンドポイント自己エンロールはデフォルトでは無効で、システム管理者ロールを持っているユーザーによって有効化される必要があります。

エンドポイントがエンロールすると予期される限られた期間にエンドポイント自己エンロールを有効化することがベスト・プラクティスとなります。予期したエンドポイントがエンロールした後、エンドポイント自己エンロールを無効化する必要があります。

Oracle Key Vaultでは、エンドポイント自己エンロールでエンロールされたすべてのエンドポイントに、自己エンロール済属性が関連付けられます。自己エンロールされたエンドポイントは、エンドポイント・ソフトウェアをダウンロードするときに途中で「Registered」ステータスにならずに、直接「Enrolled」ステータスになります。自己エンロールされたエンドポイントは、ENDPT_001という形式の、システム生成の名前によって認識できます。

エンドポイント自己エンロールを有効化するには、次のステップに従います。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、左側のバーから「Settings」を選択します。

   「Endpoint Settings」ページが表示されます。

   図7-5 自己エンロールのエンドポイント設定

   
   「図7-5 自己エンロールのエンドポイント設定」の説明
3. 「Allow Endpoint Self-Enrollment」の右にあるボックスを選択します。
4. 「Save」をクリックします。

   図7-6 自己エンロールされたエンドポイント

   
   「図7-6 自己エンロールされたエンドポイント」の説明

関連項目:

タスク1: エンドポイントのエンロールとソフトウェアのダウンロード

7.2.4 エンドポイント構成パラメータの構成

システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます(すべてのエンドポイントまたはエンドポイントごとに)。 システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。

エンドポイント固有のパラメータ(設定されている場合)は、グローバル・パラメータより優先されます。グローバル・パラメータ(設定されている場合)は、エンドポイント固有のパラメータがクリアされると有効になります。OKVでは、グローバルおよびエンドポイント固有のパラメータが両方ともクリアされるか、OKV管理コンソールから設定されていない場合に、デフォルトのシステム・パラメータが使用されます。

OKV管理コンソールで設定された構成パラメータ値は、動的にエンドポイントにプッシュされます。構成パラメータがOKV管理コンソールで設定されると、次にエンドポイントがOKVサーバーにアクセスする際に構成パラメータが更新されます。エンドポイント構成パラメータの更新はベスト・エフォートです。エラーの場合、更新は適用されません。okvutilライブラリとPKCS11ライブラリの両方で、エンドポイント構成の更新を取得および適用できます。

エンドポイント構成パラメータを構成するには、次の手順を実行します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。

   「Endpoints」ページが表示されます。

3. 「Endpoints」ページで、「Endpoint Name」をクリックします。
   「Endpoint Details」ページが表示されます。
4. 「Endpoint Configuration Parameters」セクションで、次の設定を構成します。

   • PKCS 11インメモリー・キャッシュ・タイムアウト

     マスター・キーがインメモリー・キャッシュにキャッシュされた後に使用できる期間を指定します。値は分単位で指定します。PKCS 11インメモリー・キャッシュのタイムアウト設定の詳細は、PKCS11_CACHE_TIMEOUTパラメータを参照してください。

     PKCS 11永続キャッシュ・タイムアウト

     永続マスター・キー・キャッシュにキャッシュされた後にマスター・キーを使用できる期間を指定します。値は分単位で指定します。PKCS 11キャッシュ永続タイムアウト設定の詳細は、PKCS11_PERSISTENT_CACHE_TIMEOUTパラメータを参照してください。

   • PKCS 11永続キャッシュ・リフレッシュ・ウィンドウ

     マスター・キーが永続マスター・キー・キャッシュにキャッシュされた後、マスター・キーを使用できる期間を拡張するために期間を指定します。値は分単位で指定します。PKCS 11永続キャッシュ・リフレッシュ期間設定の詳細は、PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWパラメータを参照してください。

   • サーバー・ポーリング・タイムアウト

     リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを指定します。デフォルト値は300 (ミリ秒)です。

   • PKCS 11トレース・ディレクトリ・パス

     トレース・ファイルを保存するディレクトリを指定します。

5. 「Save」をクリックします。

エンドポイント構成設定が保存されます。

7.2.5 エンドポイントの削除、一時停止または再エンロール

セキュリティ・オブジェクトを格納するためにエンドポイントでOracle Key Vaultを使用しなくなった場合、システム管理者はそれらを削除して、再度必要になったときに再エンロールできます。エンドポイントを一時的に停止して、後で有効化することもできます。

• エンドポイントの削除について
  
• 1つ以上のエンドポイントの削除
  
• 1つのエンドポイントの削除
  
• 1つのエンドポイントの一時停止
  
• エンドポイントの再エンロール
  

7.2.5.1 エンドポイントの削除について

エンドポイントを削除すると、Oracle Key Vaultから永久に削除されます。ただし、そのエンドポイントによって以前に作成またはアップロードされたセキュリティ・オブジェクトは、Oracle Key Vaultに残ります。同様に、そのエンドポイントに関連付けられたセキュリティ・オブジェクトも残ります。これらのセキュリティ・オブジェクトを永久に削除または再割当てするには、キー管理者ロールを持っているユーザーであるか、ウォレットの権限を管理することでこれらのオブジェクトをマージする権限を持っている必要があります。エンドポイントで以前にダウンロードされたエンドポイント・ソフトウェアも、エンドポイント管理者が削除するまで、エンドポイントに残ります。

7.2.5.2 1つ以上のエンドポイントの削除

「Endpoints」ページには、Key Vaultからエンドポイントのグループを一度に削除するメカニズムが用意されています。このページから1つのエンドポイントを削除することもできます。

1つ以上のエンドポイントを削除するには、次のようにします。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。

   「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。

3. 削除するエンドポイントの左にあるチェック・ボックスを選択します。複数選択できます。
4. 「Delete」をクリックします。
5. 表示される確認ダイアログ・ボックスで「OK」をクリックします。

関連項目:

処理と検索の実行

7.2.5.3 1つのエンドポイントの削除

「Endpoint Details」ページには、選択したエンドポイントの統合ビューが表示されます。これには、Key Vaultからエンドポイントを削除するメカニズムも含まれます。

エンドポイントを削除するには、次のステップに従います。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
4. 削除するエンドポイントの名前をクリックします。「Endpoint Details」ページが表示されます。
5. 「Delete」をクリックします。
6. 「OK」をクリックして確定します。

関連項目:

処理と検索の実行

7.2.5.4 1つのエンドポイントの一時停止

セキュリティ上の理由からエンドポイントを一時的に停止し、脅威が去った後でエンドポイントを回復できます。エンドポイントを一時停止すると、ステータスが「Enrolled」から「Suspended」に変わります。

エンドポイントを一時停止するには、次のようにします。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoints」ページに、現在登録またはエンロールされているすべてのエンドポイントがリストされます。
4. 一時停止するエンドポイントの名前をクリックします。「Endpoint Details」ページが表示されます。
5. 「Suspend」をクリックします。
6. 実行するかどうかを確認するメッセージが表示されます。「OK」をクリックします。
7. エンドポイントを一時停止すると、「Endpoints」ページの「Status」が「Suspended」になります。
8. エンドポイントを有効化するには、ステップ1-4を実行します。「Endpoint Details」ペインから、「Enable」をクリックします。「Endpoints」ページのエンドポイントの「Status」が「Enrolled」になります。

関連項目:

処理と検索の実行

7.2.5.5 エンドポイントの再エンロール

エンドポイントのエンドポイント・ソフトウェアをアップグレードするには、エンドポイントを再エンロールする必要があります。また、たとえば、高可用性構成でプライマリOracle Key Vaultサーバーと新しいセカンダリ・サーバーをペアにする必要がある場合に、Oracle Key Vaultデプロイメントの変更に対応するために、エンドポイントを再エンロールします。

次の手順は、エンドポイントを再エンロールする方法を示しています。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoints」ページに、Key Vaultのすべてのエンドポイントがリストされます。
4. 再エンロールするエンドポイントの左にあるボックスを選択します。
5. 「Reenroll」をクリックします。

   エンドポイントが正常に再エンロールされたことを示す確認メッセージが表示されます。

   注意:

   Oracle Key Vault 12.2.0.5.0以前では、okvclient.oraへのシンボリック・リンク参照は、再エンロール時に更新されません。Oracle Key Vault 12.2.0.6.0では、新しいokvclient.jarオプション-oを使用すると、シンボリック・リンク参照を上書きして、新規ディレクトリのokvclient.oraを指すことができます。

   再エンロールごとに新しいエンロール・トークンが生成され、対応する「Enrollment Token」列に表示されます。

   この1回限りのトークンを使用して、エンドポイントを再エンロールできます。

関連項目:

「タスク1: エンドポイントのエンロールとソフトウェアのダウンロード」

7.3 仮想ウォレットへのエンドポイント・アクセス権の管理

仮想ウォレットへのエンドポイント・アクセス権を付与し、必要でなくなった場合にアクセス権を取り消したり変更することができます。Key Vaultとの間でセキュリティ・オブジェクトをアップロードおよびダウンロードするには、ウォレットに対する読取りおよび変更とウォレット管理の各アクセス権限がエンドポイントに付与されている必要があることに注意してください。

• 仮想ウォレットへのエンドポイント・アクセス権の付与
  
• 仮想ウォレットへのエンドポイント・アクセス権の取消し
  
• ウォレット項目の表示
  

7.3.1 仮想ウォレットへのエンドポイント・アクセス権の付与

Oracle Key Vaultにエンドポイントを追加した直後で、まだ「registered」ステータスのときに、仮想ウォレットへのエンドポイント・アクセス権を付与できます。

Oracle Key Vaultにすでに追加されているウォレットへのエンドポイント・アクセス権を付与する手順:

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoints」ページで、仮想ウォレットへのアクセス権が必要なエンドポイントを選択します。「Access to Wallets」ペインが表示された「Endpoint Details」ページが表示されます。

   図7-7 エンドポイント詳細: ウォレットへのアクセス権

   
   「図7-7 エンドポイント詳細: ウォレットへのアクセス権」の説明
4. 「Access to Wallets」ペインに、エンドポイントがすでにアクセス権を持っているウォレットがリストされます。「Add」をクリックして、このリストに別のウォレットを追加します。

   「Add Access to Endpoint」ページが表示されます。

   図7-8 エンドポイントへのアクセス権の追加

   
   「図7-8 エンドポイントへのアクセス権の追加」の説明
5. 「Add Access to Endpoint」ページに表示されているウォレットの使用可能なリストからウォレットを選択します。
6. 「Select Access Level」ペインで、必要な「Access Level」を選択します。
7. 「Save」をクリックします。

   アクセス権のマッピングが成功したことを示す確認メッセージが表示されます。

関連項目:

アクセス制御のオプション

7.3.2 仮想ウォレットへのエンドポイント・アクセス権の取消し

次の手順を使用して、エンドポイントの仮想ウォレットへのアクセス権を取り消します。

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoints」ページで、エンドポイント名を選択して、「Endpoint Details」ページに移動します。このページで、「Access to Wallets」ペインを探します。

   「Access to Wallets」ペインに、エンドポイントがアクセス権を持っているウォレットのリストが表示されます。

4. アクセス権を取り消すウォレットを選択します。
5. 「Remove」をクリックします。
6. 確認ダイアログ・ボックスで、このアクセス権を削除するかどうかの確認を求められたら、「OK」をクリックします。

   アクセス権のマッピングが削除されたことを示す確認メッセージが表示されます。

7.3.3 ウォレット項目の表示

ウォレット項目は、エンドポイントがアクセス権を持っているセキュリティ・オブジェクトを指します。

これらを表示するには、次のステップに従います。

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. 「Endpoint Name」をクリックして、「Endpoint Details」に移動します。
4. 「Endpoint Details」の「Access to Wallet Items」ペインに、エンドポイントがアクセス権を持っているウォレット項目がリストされます。

   図7-9 エンドポイント詳細: ウォレット項目へのアクセス権

   
   「図7-9 エンドポイント詳細: ウォレット項目へのアクセス権」の説明

関連項目:

• 図7-1

• 図7-4

7.4 デフォルト・ウォレットとエンドポイントの関連付け

デフォルト・ウォレットは、ウォレットが明示的に指定されていない場合にセキュリティ・オブジェクトがアップロードされる仮想ウォレットのタイプです。デフォルト・ウォレットは、他のエンドポイント(Oracle RACのノードやDataguard (DG)のプライマリおよびスタンバイ・ノードなど)と共有し、すべてのエンドポイントで同じデフォルト・ウォレットを使用できるので便利です。

デフォルト・ウォレットは登録プロセス中に設定して、ダウンロード済のエンドポイント・ソフトウェアがデフォルト・ウォレットを使用するように構成してください。

エンロール・ステータス「registered」は、エンドポイントはOracle Key Vaultに追加されているが、エンドポイント・ソフトウェアがダウンロードおよびインストールされていないことを意味します。この場合、デフォルト・ウォレットをエンドポイントに関連付ける必要があります。

エンドポイント・エンロール・ステータスは、エンドポイント・ソフトウェアをエンドポイントにダウンロードおよびインストールすると「enrolled」になります。エンドポイントのエンロール後にデフォルト・ウォレットを設定する場合は、エンドポイントを再エンロールして、エンドポイントで今後作成されるすべてのセキュリティ・オブジェクトがそのウォレットに自動的に関連付けられるようにしてください。

7.5 エンドポイントのデフォルト・ウォレットの設定

エンドポイントのデフォルト・ウォレットを設定すると、ウォレットが明示的に指定されていないかぎり、すべてのエンドポイントのセキュリティ・オブジェクトがこのウォレットに自動的にアップロードされます。エンドポイントを登録した直後で、エンドポイント・ソフトウェアをダウンロードする前に、デフォルト・ウォレットを設定する必要があります。

デフォルト・ウォレットを設定するには、次のステップに従います。

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、エンドポイント名をクリックします。

   「Endpoint Details」ページが表示されます。

3. 「Default Wallet」で「Choose Wallet」を選択します。

   図7-10 エンドポイント詳細: デフォルト・ウォレット

   
   「図7-10 エンドポイント詳細: デフォルト・ウォレット」の説明

   「Add Default Wallet」ページが表示され、使用可能なウォレットのリストが示されます。

   図7-11 デフォルト・ウォレットの追加

   
   「図7-11 デフォルト・ウォレットの追加」の説明
4. デフォルト・ウォレットにするウォレットをリストから選択するには、ウォレットの左にあるラジオ・ボタンをクリックします。「Select」をクリックします。

   選択したウォレットの名前が「Default Wallet」ペインに表示されます。

   図7-12 デフォルト・ウォレットの選択後

   
   「図7-12 デフォルト・ウォレットの選択後」の説明
5. 「Save」をクリックします。

   更新されたことを示す確認メッセージが表示されます。

7.6 エンドポイント・グループの管理

エンドポイント・グループは、ウォレットの共通セットを共有するエンドポイントのグループです。

• エンドポイント・グループの作成
  
• エンドポイント・グループ詳細の変更
  
• 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与
  
• エンドポイント・グループからのエンドポイントの削除
  
• エンドポイント・グループの削除
  

7.6.1 エンドポイント・グループの作成

ウォレットに格納されたセキュリティ・オブジェクトの共通セットを共有する必要がある複数のエンドポイントを、1つのエンドポイント・グループにまとめることができます。たとえば、Oracle RAC、GoldenGateまたはOracle Active Data Guardを使用するエンドポイントが、共有データにアクセスするためのキーを共有する必要がある場合があります。

エンドポイント・グループを作成する手順:

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。

2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。

   「Endpoint Groups」ページが表示されます。

   図7-13 「Endpoint Groups」ページ

   
   「図7-13 「Endpoint Groups」ページ」の説明

3. 「Create Endpoint Group」をクリックします。「Create Endpoint Group」ページが表示されます。

   図7-14 「Create Endpoint Group」ページ

   
   「図7-14 「Create Endpoint Group」ページ」の説明

4. 新しいグループの名前と簡単な説明を入力します。「Create Endpoint Group」のすぐ下にある「Select Members」ペインのリストから、簡単にメンバーをグループに追加できます。

5. 「Select Members」ペインに、すべてのエンドポイントがリストされます。エンドポイントをエンドポイント・グループに追加するには、各エンドポイントの左にあるボックスを選択します。

6. 「Save」をクリックして、エンドポイント・グループの作成を完了します。

   エンドポイント・グループが正常に保存されたことを示すメッセージが表示されます。これで、新しいエンドポイント・グループが「Endpoint Groups」ページに表示されます。

関連項目:

• 図7-13

• 図7-14

• 「エンドポイント・グループ詳細の変更」

• 処理と検索の実行

7.6.2 エンドポイント・グループ詳細の変更

エンドポイント・グループの作成後、エンドポイントおよびアクセス権のマッピングをエンドポイント・グループに追加できます。1つのエンドポイントは複数のエンドポイント・グループに属することができます。1つのエンドポイント・グループを別のエンドポイント・グループに追加することはできません。

作成後にエンドポイント・グループを変更するには、次のステップに従います。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。

   「Endpoint Groups」ページが表示されます。

3. エンドポイント・グループに対応する「Details」列の編集の鉛筆アイコンをクリックします。

   「Endpoint Group Details」ページが表示されます。

   図7-15 「Endpoint Group Details」ページ

   
   「図7-15 「Endpoint Group Details」ページ」の説明
4. 必要に応じて、説明を変更します。

   「Add」をクリックして、ウォレット・エンドポイント・グループ・メンバーへのアクセス権を追加または削除します。

5. 「Save」をクリックします。

関連項目:

• 図7-13

• 図7-15

7.6.3 仮想ウォレットへのエンドポイント・グループ・アクセス権の付与

次の手順で、既存の仮想ウォレットへのエンドポイント・グループ・アクセス権を付与します。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。
3. エンドポイント・グループに対応する「Details」列の鉛筆アイコンをクリックします。「Endpoint Group Details」ページが表示されます。
4. 「Access to Wallets」ペインで、「Add」をクリックします。
5. 使用可能リストから仮想ウォレットを選択します。
6. 次のように、「Access Level」を選択します。

   • Read Only: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りアクセス権が付与されます。

   • Read and Modify: このレベルでは、仮想ウォレットとその項目へのエンドポイント・グループ読取りおよび書込みアクセス権が付与されます。

7. エンドポイントで次の操作を実行する場合は、「Manage Wallet」チェック・ボックスを選択します。

   • 仮想ウォレットでのオブジェクトの追加または削除。

   • その他のエンドポイントまたはエンドポイント・グループに対する仮想ウォレットへのアクセス権の付与。

8. 「Save」をクリックします。

   アクセス権のマッピングが成功したことを示すメッセージが表示されます。

7.6.4 エンドポイント・グループからのエンドポイントの削除

エンドポイント・グループからエンドポイントを削除できます。これにより、エンドポイントに対してウォレットへのアクセス権が別途、直接または別のエンドポイント・グループを介して付与されていないかぎり、そのエンドポイント・グループに関連付けられたウォレットへのすべてのアクセス権が削除されます。複数のエンドポイントを同時に削除できます。

エンドポイント・グループからエンドポイントを削除するには、次のステップに従います。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。

   「Endpoint Groups」ページが表示されます。

3. エンドポイント・グループに対応する「Details」列の横にある編集の鉛筆アイコンをクリックします。

   「Endpoint Group Details」ページが表示されます。

4. 「Endpoint Group Members」ペインで、削除するエンドポイントの名前の左にあるボックスをチェックします。
5. 「Remove」をクリックします。
6. グループからエンドポイントを削除するかどうかの確認を求めるダイアログ・ボックスが表示されたら、「OK」をクリックします。

   エンドポイントがグループから正常に削除されたことを示すダイアログ・ボックスが表示されます。

7.6.5 エンドポイント・グループの削除

メンバー・エンドポイントで、同じ仮想ウォレットへのアクセス権が必要がなくなった場合、エンドポイント・グループを削除できます。このアクションでは、エンドポイント自体ではなく、ウォレットに対するメンバー・エンドポイントの共有アクセス権が削除されます。

次の手順は、Key Vaultからエンドポイント・グループを削除する方法を示しています。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択し、「Endpoint Groups」を選択します。

   「Endpoint Group」ページが表示されます。

3. エンドポイント・グループ名の左にあるボックスを選択します。
4. 「Delete」をクリックします。
5. エンドポイント・グループを削除するかどうかの確認を求めるダイアログ・ボックスが表示されたら、「OK」をクリックして確定します。

7.7 エンドポイント詳細の管理

エンドポイントを登録またはエンロールした後、必要に応じて、エンドポイントの名前、タイプ、説明、プラットフォームおよび電子メールを変更できます。エンドポイント・グループにエンドポイントを追加したり、エンドポイントでソフトウェアをアップグレードすることができます。

• エンドポイント詳細
  
• エンドポイント詳細の変更
  
• エンドポイント・グループへのエンドポイントの追加
  
• グローバル・エンドポイント構成パラメータの構成
  
• エンドポイント・グループからのエンドポイントの削除
  
• エンドポイント・ソフトウェアのアップグレード
  

7.7.1 エンドポイント詳細について

エンドポイント詳細ページには、エンドポイントの統合ビューが表示されます。ここから、エンドポイント詳細を変更したり、エンドポイント管理タスクを完了することができます。

図7-16 「Endpoint Details」ページ

「図7-16 「Endpoint Details」ページ」の説明

関連項目:

• デフォルト・ウォレット 図7-10

• エンドポイント・グループ・メンバーシップ 図7-19

• ウォレットへのアクセス権 図7-7

• ウォレット項目へのアクセス権 図7-9

7.7.2 エンドポイント詳細の変更

次のように、「Endpoint Details」ページからエンドポイントの名前、タイプ、プラットフォームおよび電子メールを変更できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、「Endpoints」ページに移動します。
3. エンドポイントの名前をクリックして、「Endpoint Details」ページに移動します。

   図7-17 「Endpoint Details」ペイン

   
   「図7-17 「Endpoint Details」ペイン」の説明
4. 必要に応じて、エンドポイント名、エンドポイント・タイプ、説明、プラットフォーム、電子メールを変更します。
5. 「Save」をクリックします。

7.7.3 エンドポイント・グループへのエンドポイントの追加

ウォレットへの共有アクセス権が必要な場合は、次のように、エンドポイント・グループにエンドポイントを追加できます。

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。

   「Endpoints」ページが表示されます。

3. グループに追加するエンドポイントを選択します。

   「Endpoint Details」ページが表示されます。

4. 「Endpoint Group Membership」で「Add」をクリックします。

   「Add Endpoint Group Membership」ページが表示されます。

   図7-18 エンドポイント・グループへのエンドポイントの追加

   
   「図7-18 エンドポイント・グループへのエンドポイントの追加」の説明

   エンドポイント・グループのリストが「Endpoint Group Name」の下に表示されます。

5. エンドポイントを追加するエンドポイント・グループの左にあるボックスを選択します。
6. 「Save」をクリックします。

   エンドポイントがグループに追加されたことを示すメッセージが表示されます。

   「Endpoint Group Membership」ペインに、選択したエンドポイント・グループが表示されます。

   図7-19 エンドポイント詳細: エンドポイント・グループ・メンバーシップ

   
   「図7-19 エンドポイント詳細: エンドポイント・グループ・メンバーシップ」の説明

関連項目:

グループへのエンドポイントの追加 図7-18

エンドポイント・グループの作成については、エンドポイント・グループの作成を参照してください。

7.7.4 グローバル・エンドポイント構成パラメータの構成

システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。 この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます( すべてのエンドポイントまたはエンドポイントごとに)。 システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。

エンドポイント固有のパラメータ(設定されている場合)は、グローバル・パラメータより優先されます。グローバル・パラメータ(設定されている場合)は、エンドポイント固有のパラメータがクリアされると有効になります。OKVでは、グローバルおよびエンドポイント固有のパラメータが両方ともクリアされるか、OKV管理コンソールから設定されていない場合に、デフォルトのシステム・パラメータが使用されます。

OKV管理コンソールで設定された構成パラメータ値は、動的にエンドポイントにプッシュされます。構成パラメータがOKV管理コンソールで設定されると、次にエンドポイントがOKVサーバーにアクセスする際に構成パラメータが更新されます。エンドポイント構成パラメータの更新はベスト・エフォートです。エラーの場合、更新は適用されません。okvutilライブラリとPKCS11ライブラリの両方で、エンドポイント構成の更新を取得および適用できます。

グローバル・エンドポイント構成パラメータを構成するには、次の手順を実行します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択して、左側のバーから「Settings」を選択します。

   「Endpoint Settings」ページが表示されます。

   図7-20 エンドポイント設定

   
   「図7-20 エンドポイント設定」の説明
3. 「グローバル・エンドポイント構成パラメータ」セクションで、次の設定を構成します。

   • エンドポイント証明書の有効性

     現在のエンドポイント証明書が有効な日数を指定します。

   • PKCS 11インメモリー・キャッシュ・タイムアウト

     マスター・キーがインメモリー・キャッシュにキャッシュされた後に使用できる期間を指定します。値は分単位で指定します。PKCS 11インメモリー・キャッシュのタイムアウト設定の詳細は、PKCS11_CACHE_TIMEOUTパラメータを参照してください。

     PKCS 11キャッシュ永続タイムアウト

     永続マスター・キー・キャッシュにキャッシュされた後にマスター・キーを使用できる期間を指定します。値は分単位で指定します。PKCS 11キャッシュ永続タイムアウト設定の詳細は、PKCS11_PERSISTENT_CACHE_TIMEOUTパラメータを参照してください。

   • PKCS 11永続キャッシュ・リフレッシュ・ウィンドウ

     マスター・キーが永続マスター・キー・キャッシュにキャッシュされた後、マスター・キーを使用できる期間を拡張するために期間を指定します。値は分単位で指定します。PKCS 11永続キャッシュ・リフレッシュ期間設定の詳細は、PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWパラメータを参照してください。

   • サーバー・ポーリング・タイムアウト

     リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを指定します。デフォルト値は300 (ミリ秒)です。

   • PKCS 11トレース・ディレクトリ・パス

     トレース・ファイルを保存するディレクトリを指定します。

4. 「Save」をクリックします。

エンドポイント構成設定が保存されます。

7.7.5 エンドポイント・グループからのエンドポイントの削除

エンドポイントでウォレットへの共有アクセス権が必要なくなった場合は、次のように、エンドポイント・グループからエンドポイントを削除できます。

1. キー管理者ロールを持っている管理者としてOracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブを選択します。

   「Endpoints」ページが表示されます。

3. グループから削除するエンドポイントを選択します。

   「Endpoint Details」ページが表示されます。

4. エンドポイントを削除するエンドポイント・グループの左にある「Endpoint Group Membership」のボックスを選択します。
5. 「Remove」をクリックします。

   選択したエンドポイント・グループからエンドポイントを削除するかどうかを確認するメッセージが表示されます。「OK」をクリックします。

関連項目:

• グループへのエンドポイントの追加 図7-18

• エンドポイント・グループの作成については、エンドポイント・グループの作成を参照してください。

7.7.6 エンドポイント・ソフトウェアのアップグレード

エンロールされたエンドポイントを最新のエンドポイント・ソフトウェアにアップグレードするために、エンドポイントを再エンロールしないでエンドポイント・ソフトウェアをダウンロードできます。

エンドポイント・ソフトウェアの最新バージョンをダウンロードするには、タスク1: エンドポイントのエンロールとソフトウェアのダウンロードのステップ1-4に従います。

ステップ4で、「Enroll Endpoint & Download Software」ページが表示されます。

「Enroll Endpoint & Download Software」ページで次の作業を行います。

1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
2. Oracle Key Vault管理コンソールに接続します。

   次に例を示します。

   https://192.0.2.254

3. Oracle Key Vault管理コンソールへのログイン・ページが表示されます。

   ログインしないでください。

   図7-21 Key Vault管理コンソールのログイン画面

   
   「図7-21 Key Vault管理コンソールのログイン画面」の説明
4. 「Login」の下にある強調表示されたリンク「Endpoint Enrollment and Software Download」をクリックします。

   次の2つのタブで構成される「Enroll Endpoint & Download Software」ページが表示されます。

   • Enroll Endpoint & Download Software

   • Download Endpoint Software Only

   図7-22 「Enroll Endpoint & Download Software」ページ

   
   「図7-22 「Enroll Endpoint & Download Software」ページ」の説明

   図8-2は切り捨てられていますが、実際は、「Download Endpoint Software」と、右側の各ボタン(「Cancel」、「Reset」および「Enroll」)の間に、次のテキストが含まれていることに注意してください。

   「To enroll an endpoint, enter your endpoint Enrollment Token and click 'Submit Token'.Update the endpoint details if necessary and click 'Enroll' to complete the enrollment.Download the endpoint package when prompted.」

5. 「Download Endpoint Software Only」タブをクリックします。

   「Download Endpoint Software Only」ページが表示されます。

6. ドロップ・ダウンの「Platform」メニューからエンドポイント・プラットフォームを選択して、「Download」をクリックします。
7. okvclient.jarファイルを任意の場所に保存します。
8. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
9. JDK 1.5以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。

   Oracle Key Vaultは、JDKバージョン1.5、1.6、7および8をサポートしています。

10. シェル・ユーティリティのORAENVまたはsource ORAENVコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
11. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。

    ORAENVを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEがORACLE_BASEの下位のサブディレクトリ(Oracle Databaseのインストール先)を指していることを確認する必要があります。

12. okvclient.jarファイルを保存したディレクトリに移動します。
13. javaコマンドを実行して、okvclient.jarファイルをインストールします。

    java -jar okvclient.jar -d /home/oracle/okvutil -v
    

    このように指定した場合:

    • -d引数では、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okvutil)を指定します。

      環境変数$OKV_HOMEは、エンドポイント・ソフトウェアのインストール先ディレクトリ(この例では/home/oracle/okvutil)を表します。

    • -v引数を指定すると、サーバー・エンドポイントの$OKV_HOME/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

    注意:

    -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。
14. インストール・プロセスによりパスワードの入力を求められます。次に示すように、パスワードを入力してパスワード保護ウォレットを作成することも、パスワードを使用しない自動ログイン・ウォレットを作成することもできます。

    • パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

      パスワード保護ウォレットを作成するには、8-30文字のパスワードを入力します。その後、[Enter]を押します。

    • 自動ログイン・ウォレットは、単に[Enter]をクリックすることで作成されます。

      エンドポイントからOracle Key Vaultへの接続時にパスワードは必要ありません。自動ログイン・ウォレットを使用すると、人による操作なしでエンドポイントをプロビジョニングできるようになります。

    Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
    Confirm new endpoint password: Key_Vault_endpoint_password
    

    インストールが進行し、完了すると、次のメッセージが表示されます。

    The Oracle Key Vault endpoint software installed successfully.
    

    エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

    • bin: okvutilプログラム、root.shとroot.batというスクリプト、okveps.x64とokveps.x86というバイナリ・ファイルが含まれています。

    • conf: 構成ファイルokvclient.oraが含まれています。

    • jlib: Javaライブラリ・ファイルが含まれています。

    • lib: ファイルliborapkcs.soが含まれています。

    • log: ログ・ファイルが含まれています。

    • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

      ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

15. UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。

    TDE直接接続を使用する予定の場合、Oracle Linux x86-64、Solaris, AIXおよびHP-UX (IA)のインストールではroot.shを実行します。liborapkcs.soファイルは、/opt/oracle/extapi/64/hsm/oracle/1.0.0ディレクトリにコピーされます。

    Windowsインストールでは、root.batを実行します。liborapkcs.dllファイルは、C:\oracle\extapi\64\hsm\oracle\1.0.0にコピーされます

    ルート・ユーザーとしてログインし、root.shスクリプトを実行します。Windowsインストールでは、root.batを実行します。

    $ sudo bin/root.sh
    

    bin\root.bat

    または

    $ su -
    # bin/root.sh
    

    Windowsプラットフォームでroot.batを実行すると、使用中のRDBMSのバージョンを要求されます。このステップが完了した後、ルート・ユーザーから切り替えます。

16. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。

    エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。

    $ ./okvutil list
    No objects found
    

    「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。最初に、環境変数が正しく設定されていることを確認します。

17. エンドポイント・ソフトウェアのヘルプを表示するには、次のように-hオプションを指定します。

    java -jar okvclient.jar -h
    
    

    次の出力が表示されます。

    Oracle Key Vault Release 12.2.0.9.0 (2019-03-15 15:36:49.839 PDT)
    Production on Fri Mar 15 19:55:31 PDT 2018
    Copyright (c) 1996, 2019 Oracle. All Rights Reserved.
    Usage: java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]
    

18. インストールが終了したら、エンドポイント・ソフトウェア・ファイルokvclient.jarをセキュアに削除することをお薦めします。

関連項目:

• 環境および設定の確認方法については、「エンドポイントのプロビジョニングについての特別な注意」を参照してください

• TDEについては、「Oracle Key Vaultでのオンライン・マスター・キーの使用」を参照してください