| Oracle® Key Vault管理者ガイド リリース12.2 BP11 E76998-09 |
|
 前 |
 次 |
Oracle Key Vaultユーザーは、システムの管理、エンドポイントのエンロール、ユーザーおよびエンドポイントの管理、セキュリティ・オブジェクトへのアクセス権の制御、および必要に応じてその他のユーザーへの管理ロールの付与を行います。
Key Vaultユーザーは複数の機能を実行します。主な機能は、Key Vaultを使用してセキュリティ・オブジェクトを管理できるKey Vaultエンドポイントの登録とエンロールです。
親トピック: Oracle Key Vaultユーザーの管理
Oracle Key Vaultユーザーには、次の2つのタイプがあります。
システム管理者、キー管理者、監査マネージャという3つの管理ロールのうち、1つ以上を持っている管理ユーザー。
管理ロールは持っていないが、セキュリティ・オブジェクトへのアクセス権を持っている通常のユーザー。
Key Vaultでの義務の分離とは、管理ロールを持っているユーザーはそれらのロールに関連する機能へのアクセス権を持っているが、それ以外は持っていないことを意味します。たとえば、「System」タブはシステム管理者にのみ表示され、キー管理者や監査マネージャには表示されません。同様に、システム管理者はエンドポイントを追加できますが、エンドポイント・グループを作成することはできません。エンドポイント・グループの作成に必要なユーザー・インタフェース要素は、キー管理者にのみ表示されます。
管理ロールを持っていないユーザーには、その機能に固有のセキュリティ・オブジェクトへのアクセス権を付与できるため、その権限が制限されます。たとえば、特定の仮想ウォレットへのユーザー・アクセス権を付与できます。このユーザーは、Key Vault管理コンソールにログインして、自分のセキュリティ・オブジェクトを追加、削除および管理できますが、システム・メニュー、他のユーザーおよびエンドポイントの詳細、それらのウォレットまたは監査レポートは確認できません。
ユーザー義務の分離が推奨されますが、組織によっては、1人のユーザーにすべての管理ロールを付与して、すべての管理機能を実行させる場合もあります。
Oracle Key Vaultユーザー名をOracle Key Vaultエンドポイント名と同じにすることはできません。
親トピック: Oracle Key Vaultユーザーについて
システム管理者ロールを持っているユーザーは、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。
Key Vaultにユーザーを追加するには、次のステップに従います。
「Create User」ページが表示されます。
親トピック: Oracle Key Vaultユーザーについて
管理ロールを付与または変更する手順:
ユーザーのリストが表示された「Manage Users」ページが表示されます。
「User Details」ページが表示されます。「User Details」ページに、Key Vaultユーザーの統合ビューが表示されます。ユーザー情報として、名前、電子メール、管理ロール、ユーザー・グループ内のメンバーシップ、およびセキュリティ・オブジェクトへのアクセス権が表示されます。
親トピック: 管理ロールの付与、変更または取消し
ユーザーからロールを取り消すには、次のステップに従います。
ユーザーのリストが表示された「Manage Users」ページが表示されます。
親トピック: 管理ロールの付与、変更または取消し
組織内でのユーザーの機能が変わった場合、Key Vaultユーザーを削除できます。ユーザーを削除すると、Key Vaultから削除され、属していたすべてのユーザー・グループから削除されます。この操作によって、このユーザーが管理するセキュリティ・オブジェクトが削除されることはありません。
Oracle Key Vaultからユーザーを削除するには、次のステップに従います。
親トピック: Oracle Key Vaultユーザーについて
すべての管理ユーザーは、Oracle Key Vaultユーザーとその詳細のリストを表示できます。3つの管理ロールのいずれも持っていないユーザーは、自分のユーザー詳細のみを確認できます。
「User Details」ページに、Key Vaultユーザーの統合ビューが表示されます。このページで、すべてのユーザー管理タスクが実行されます。
指定ユーザーのユーザー詳細を表示する手順:
親トピック: Oracle Key Vaultユーザーについて
有効なOracle Key Vaultユーザーなら誰でも、自分のパスワードを変更できます。
Key Vaultシステム管理者は、別のユーザーのパスワードをリセットできます。また、別のユーザーと同じかそれ以上の管理ロールを持っている場合も、そのユーザーのパスワードをリセットできます。たとえば、監査マネージャ・ロールを持っているユーザーのパスワードを変更する場合、パスワードを変更するには、あらかじめそのロールを持っている必要があります。
次のユーザーとロールについて見てみましょう。
| ユーザー | システム管理者 | キー管理者 | 監査マネージャ |
|---|---|---|---|
|
あり |
あり |
あり |
|
あり |
あり |
- |
|
あり |
- |
- |
|
- |
あり |
- |
|
- |
- |
あり |
|
- |
- |
- |
システム管理者とキー管理者のロールを持っているユーザーOKV_SYS_KEYS_JOEがログインして、他のユーザーのパスワードを変更するとします。この場合は、次のようになります。
OKV_KEYS_KATE: OKV_SYS_KEYS_JOEは共通のキー管理者ロールを持っているため、OKV_KEYS_KATEのパスワードを変更できます。
OKV_AUD_AUDREY: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、OKV_SYS_KEYS_JOEはOKV_AUD_AUDREYのパスワードを変更できません。
OKV_ALL_JANE: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、ユーザーOKV_ALL_JANEのパスワードを変更できません。
OKV_OLIVER: OKV_SYS_KEYS_JOEは、ロールがないユーザーOKV_OLIVERのパスワードを変更できます。
親トピック: ユーザー・パスワードの変更について
すべてのユーザーが、自分のOracle Key Vaultアカウント・パスワードを変更できます。
自分のパスワードを変更するには、次の手順を実行します。
「Change Password for <your user name>」ページが表示されます。
親トピック: ユーザー・パスワードの変更について
Key Vaultシステム管理者である場合、またはパスワードをリセットするユーザーと同じがそれ以上の管理ロールを持つユーザーである場合は、他のユーザーのパスワードをリセットできます。Key Vaultには、ユーザーのパスワードをリセットする2つの方法があります。
ユーザーのパスワードを手動で設定した後、バンド外の方式を使用して、ユーザーに新しいパスワードを通知できます。
他のユーザーのパスワードをリセットするには、次のステップに従います。
「Reset User Password」ページが表示されます。
親トピック: 別のユーザーのパスワードのリセット
ユーザーのパスワードをリセットするもう1つの方法は、Key Vaultでそれを自動的に生成することです。このパスワードは、Key Vaultからユーザーに直接送信できます。この機能を使用するには、電子メール設定でSMTPを構成する必要があります。
パスワードを自動生成して、ユーザーに送信するには、次のステップに従います。
「Reset User Password」ページが表示されます。
SMTPを構成せずに「Auto Generate Password」を選択すると、「Email Settings」へのリンクが表示されます。リンクをクリックして電子メール設定を構成し、ステップ1-7を繰り返します。
親トピック: 別のユーザーのパスワードのリセット
オペレーティング・システム・ユーザー・アカウント(ルートとサポート)のパスワードをリセットできます。RootおよびSupportユーザーは、次回のログイン時にパスワードの有効期限を過ぎていた場合、パスワードを変更するように求められます。有効期限は365日で120日前に警告が送られ、STIGの場合は有効期限が60日で60日前に警告が送られます。
「Oracle Key Vault Server <Release Number>」画面が表示されます。
図5-8 「Oracle Key Vault Server <Release Number>」画面
「Set User Passwords」画面が表示されます。
「Set Password」画面が表示されます。
「Installation Passphrase」画面が表示されます。
オペレーティング・システム・ユーザーのパスワードが変更されます。
親トピック: 別のユーザーのパスワードのリセット
キー管理者ロールを持っているユーザーは、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。すべてのユーザーに、組織におけるその機能に適したレベルで、Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。
次のように、仮想ウォレットへのユーザー・アクセス権を付与できます。
親トピック: Oracle Key Vaultユーザーの管理
アラートやパスワード変更などのシステム変更をKey Vaultから直接送信できるように、Key Vaultユーザーは現在の電子メールをファイルに含めることが重要です。ユーザーの電子メールは、「User Details」ページで更新できます。また、ユーザーは、電子メール通知を止めることもできます。
「User Details」ページが表示されます。
親トピック: ユーザーの電子メールについて
ユーザー・グループとは、特定の目的を持つユーザーの名前付きコレクションです。
親トピック: Oracle Key Vaultユーザーの管理
ユーザー・グループが作成されると、グループ名は変更できませんが、それ以外のすべての詳細を変更できます。キー管理者ロールを持つユーザーは、仮想ウォレットへのアクセス権を管理するために、ユーザー・グループを作成、変更および削除できます。
ユーザー・グループの主な目的は、セキュリティ・オブジェクトへのアクセス制御を簡素化することです。一連のユーザーが、セキュリティ・オブジェクトの共通セットにアクセスする必要がある場合、ユーザーごとまたはセキュリティ・オブジェクトごとにアクセス権を付与するのではなく、これらのユーザーをグループに入れてグループ・アクセス権を付与できます。特定のユーザーがセキュリティ・オブジェクトにアクセスする必要がなくなったら、グループから削除できます。新しいユーザーをグループに追加できます。
セキュリティ・オブジェクトへのグループのアクセス・レベルは、いつでも変更できます。
親トピック: ユーザー・グループの管理
一連のユーザーが、セキュリティ・オブジェクトの共通セットを管理する必要がある場合は、ユーザー・グループを作成します。グループの作成時またはグループの作成後に、ユーザーをグループに追加できます。
既存のユーザー・グループが表示された「User Groups」ページが表示されます。
「Select Members」にユーザーのリストが表示された「Create User Group」ページが表示されます。
親トピック: ユーザー・グループの管理
既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。グループの作成時またはグループの作成後に、ユーザーをグループに追加できます。
グループの作成後にユーザーをユーザー・グループに追加する手順:
親トピック: ユーザー・グループの管理
ユーザー・グループの仮想ウォレットへのアクセス・レベルは、機能のニーズの変化に応じていつでも変更できます。
ユーザー・グループの仮想ウォレットのアクセス・レベルを変更する手順:
関連項目:
親トピック: ユーザー・グループの管理
親トピック: ユーザー・グループの管理
グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がなくなった場合、ユーザー・グループを削除できます。これにより、ウォレットおよびセキュリティ・オブジェクトに対するグループのアクセス権が自動的に削除されます。
ユーザー・グループを削除するには、次のステップに従います。
親トピック: ユーザー・グループの管理
