16 資格証明の定義

ターゲット・タイプの定義の一部として、プラグイン・ターゲット・タイプに固有の資格証明のタイプを定義できます。たとえば、メトリック・データを収集したり、特定のEnterprise Managerジョブを起動したりするターゲット・インスタンスに接続するプラグインで必要なユーザー名とパスワードを定義できます。

Enterprise Managerの資格証明サブシステムによって、Enterprise Manager管理者は、プリファレンスまたは操作の資格証明として、セキュアな方法で資格証明を格納できます。資格証明を使用すると、リアルタイム・モニタリング、パッチ適用、プロビジョニングおよび他のターゲット管理操作など、様々なシステム管理アクティビティを実行できます。

このリリースで、資格証明サブシステムは、優先資格証明としての、ユーザー名やパスワードに基づいた固定数の資格証明の格納、アクセス、変更をサポートしており、他のEnterprise Managerサブシステムが自動解決を構築するために、この資格証明にアクセスします。資格証明サブシステムは、sudoまたはPowerBrokerベースの偽装もサポートしています。

この章の内容は次のとおりです。

• セキュリティの概念の概要

• 資格証明メタデータの定義

16.1 セキュリティの概念の概要

次の項では、資格証明サービス統合に関連する概念について説明します。

• 資格証明タイプ

  資格証明タイプは、ターゲット・タイプでサポートされる認証タイプです。ネイティブ・エージェント認証およびSSHなどの、様々な認証スキームがサポートされています。詳細は、資格証明タイプの理解に関する説明を参照してください。

• 名前付き資格証明

  名前付き資格証明は、システム上のユーザーの認証情報を含んでおり、ユーザー名/パスワード、公開鍵と秘密鍵のペアまたはX509v3証明書を使用できます。詳細は、名前付き資格証明についてに関する説明を参照してください。

• 認証ターゲット・タイプ

  認証ターゲット・タイプは、資格証明が認証できるターゲット・タイプです。詳細は、ターゲット・タイプの認証に関する説明を参照してください。

• 資格証明セット

  資格証明セットは、資格証明のプレースホルダで、資格証明を使用するシステムから、資格証明を切り離すために使用できます。詳細は、資格証明セットの概要に関する説明を参照してください。

• 資格証明ストア

  資格証明ストアは、Enterprise Managerにおける、Enterprise Manager管理者のすべての名前付き資格証明の論理ストアです。詳細は、資格証明ストアの使用に関する説明を参照してください。

• 資格証明リファレンス

  資格証明参照は、資格証明を参照します。詳細は、資格証明参照についてに関する説明を参照してください。

16.1.1 資格証明タイプの理解

資格証明タイプは、ターゲット・タイプでサポートされる認証タイプです。たとえば、ホストはユーザー名およびパスワードに基づいた認証、公開鍵認証またはKerberos認証をサポートできます。ネイティブ・エージェント認証およびSSHなどの、様々な認証スキームがサポートされています。

ネイティブ・エージェント認証スキームではユーザー名およびパスワード構造を採用していますが、SSH鍵認証スキームではユーザー名/秘密鍵/公開鍵構造を使用しています。

16.1.2 名前付き資格証明について

名前付き資格証明は、システム上のユーザーの認証情報です。名前付き資格証明にはユーザー名およびパスワード、公開鍵と秘密鍵のペア、またはX509v3証明書を使用できます。Enterprise Manager管理者は、これらの資格証明をEnterprise Managerで名前付きエンティティとして格納し、ジョブの実行、パッチ適用および他のシステム管理タスクなどの操作を実行する際に使用できます。たとえば、MyPatchingCredsとしてパッチを適用するために使用するユーザー名およびパスワードを格納できます。その後、MyPatchingCredsを使用するパッチ適用ジョブを発行して、本番環境のデータベースにパッチを適用できます。

名前付き資格証明は、Enterprise Manager 12cで資格証明タイプ用に作成できます。以降の項では、ホストおよびデータベースのターゲット・タイプ用に最もよく使用される資格証明タイプについて説明します。

名前付き資格証明の詳細は、『Oracle Enterprise Manager Cloud Controlセキュリティ・ガイド』のターゲット資格証明の構成および使用に関する項を参照してください。

16.1.3 認証ターゲット・タイプ

認証ターゲット・タイプは、資格証明が認証対象にできるターゲット・タイプです。たとえば、SQLScriptジョブには、データベース・ホストに対して認証するために使用する、ホスト資格証明DBHostCredsがあります。したがって、DBHostCredsのターゲット・タイプはデータベース・インスタンスで、認証ターゲット・タイプはホストです。

16.1.4 資格証明セットの概要

資格証明セットは、資格証明のプレースホルダです。資格証明セットは、資格証明を使用するシステムから、資格証明を切り離すために使用できます。たとえば、パッチ適用ジョブは、実行中に、資格証明セット「通常ホスト資格証明」を使用するために発行されます。

「通常ホスト資格証明」資格証明セットは、実際の名前付き資格証明に設定することもできます。ターゲットの名前付き資格証明マッピングに設定された資格証明は、資格証明を使用するシステムを編集することなく、変更できます。

16.1.5 資格証明ストアの使用

資格証明ストアは、Enterprise Managerにおける、Enterprise Manager管理者のすべての名前付き資格証明の論理ストアです。Enterprise Manager管理者のユーザー名には、プライベート論理資格証明ストアがあります。個々の資格証明は、資格証明名で識別できます。Enterprise Manager管理者は、資格証明ストア内の名前付き資格証明の追加、編集および削除を行うことができます。

16.1.6 資格証明参照について

資格証明参照は、資格証明の参照方法です。資格証明を参照するには、次の3つの方法があります。

• 資格証明名

  資格証明は、資格証明ストアの資格証明の名前を使用して、参照されます。

• 資格証明セット

  資格証明は、資格証明セット名とターゲット名を使用して、参照されます。参照は、資格証明セット名とターゲット名に関連付けられた資格証明を取得します。

• 直接

  資格証明は、属性の値で指定されます。この参照では、資格証明ストアの資格証明を参照しません。

16.2 資格証明メタデータの定義

資格証明メタデータは、ターゲット・タイプ・メタデータ・ファイル内で定義されます。このファイルの詳細は、「ターゲット・メタデータ・ファイルの作成」を参照してください。

ターゲット・タイプのすべての資格証明メタデータは、CredentialInfo要素内で定義されます。この要素には、次のサブ要素が含まれます。

• ターゲット・インスタンスにアクセスするために使用する資格証明のタイプを定義するCredentialType要素

• CredentialTypeのインスタンスをインスタンス化するCredentialSet要素

次の例では、ターゲットのインスタンスを実行するホストで認証する必要のある資格証明のユーザー名とパスワードを定義します。

例: 資格証明メタデータ

<TargetMetadata>

...
 <CredentialInfo>
 <!-- The types of credentials: target host username/password -->
  <CredentialType NAME="HostCreds">
   <Display>
    <Label NLSID="CREDS_HOST_HOSTCREDS">Host Credentials</Label>
   </Display>
   <CredentialTypeColumn NAME="HostUserName" IS_KEY="TRUE">
   <Display>
    <Label NLSID="CREDS_HOST_USERNAME">UserName</Label>
   </Display>
  </CredentialTypeColumn>
  <CredentialTypeColumn NAME="HostPassword">
   <Display>
    <Label NLSID="CREDS_HOST_Password">Password</Label>
   </Display>
  </CredentialTypeColumn>
 </CredentialType>
<!-- The CredentialSet that creates an instance of CredentialType -->
 <CredentialSet NAME="HostCredsNormal" CREDENTIAL_TYPE="HostCreds"
  USAGE="PREFERRED_CRED">
  <Display>
   <Label NLSID="CREDS_HOST_HOSTCREDS_NORMAL">Normal Host Credentials</Label>
  </Display>
  <CredentialSetColumn TYPE_COLUMN="HostUserName" SET_COLUMN="username">
   <Display>
    <Label NLSID="CREDS_NORMAL_USER">Normal Username</Label>
   </Display>
  </CredentialSetColumn>
  <CredentialSetColumn TYPE_COLUMN="HostPassword" SET_COLUMN="password">
   <Display>
    <Label NLSID="CREDS_NORMAL_PASSWORD">Normal Password</Label>
   </Display>
  </CredentialSetColumn>
 </CredentialSet>
<CredentialInfo>
...
</TargetMetadata>

16.2.1 資格証明要素の概要

次の表に、資格証明を定義するキー要素を説明します。

表16-1 plugin.xmlファイル内のキー要素

要素	必須(Y/N)	説明
CredentialInfo	Y	資格証明の定義のためのルート要素。CredentialTypeおよびCredentialSet要素が含まれています。
CredentialType	Y	1つ以上のCredentialTypeColumn要素が含まれており、それぞれが、TargetUsernameまたはTargetPasswordなどの資格証明を定義します。ターゲット・インスタンスへのアクセスに使用します。
CredentialSet	Y	CredentialTypeで定義された資格証明セットのインスタンスをインスタンス化します。次の属性があります。 CREDENTIAL_TYPE このCredentialSetが作成されたCredentialTypeを識別します。 USAGE 値はMONITORING (デフォルト)で、ターゲットPREFERRED_CRED (ユーザーの優先資格証明)またはSYSTEM (パッチ適用やクローニングなどの特別なアプリケーションで使用)に直接接続するために使用されます。
CredentialSetColumn	Y	CredentialTypeのサブ要素。1つの資格証明を定義し、その資格証明をCredentialTypeの対応する列にマップします。次の属性があります。 TYPE_COLUMN このCredentialSetColumnがマップされるCredentialTypeColumnを指定します。 SET_COLUM CredentialSetの列定義を識別します。