1. セキュリティ・ガイド
  2. ユーザー認証および認可の管理
  3. Enterprise Managerによるマルチテナント環境のセキュリティの管理

8 Enterprise Managerによるマルチテナント環境のセキュリティの管理

Oracle Enterprise Managerを使用して、マルチテナント環境の共通およびローカルのユーザーとロールを管理できます。

この項では、次の項目について説明します。

親トピック: ユーザー認証および認可の管理 

8.1 Enterprise Managerによるマルチテナント環境のセキュリティの管理について

Oracle Enterprise Manager Cloud Controlではマルチテナント環境のセキュリティ管理がサポートされます。

マルチテナント環境では、Oracle Enterprise Manager Cloud Controlを使用して、ルートと関連のプラガブル・データベース(PDB)の両方の共通ユーザーと共通ロールの作成、管理および監視ができます。

Enterprise Managerによって、ルートと指定されたPDBの間を容易に切り替えることができます。

親トピック: Enterprise Managerによるマルチテナント環境のセキュリティの管理

8.2 Enterprise Managerによるマルチテナント環境へのログイン

マルチテナント環境では、CDBまたはPDBにログインしたり、PDBから別のPDBまたはルートに切り替えることができます。

この項では、次の項目について説明します。

親トピック: Enterprise Managerによるマルチテナント環境のセキュリティの管理

8.2.1 CDBまたはPDBへのログイン

様々な種類のEnterprise Managerデータベース・ログイン・ページが、ログイン時にリクエストした機能に基づいて自動的に表示されます。

CDB管理者(CDBターゲットに対してCONNECT権限を持つEnterprise Managerユーザー)としてマルチテナント環境にログインしてCDBの範囲の機能を使用するには:

  1. ユーザーSYSTEMまたはSYSMANとしてOracle Enterprise Manager Cloud Controlにログインします。

    URLは次のとおりです。 

    https://host:port/em
  2. 「データベース」ページに移動します。
  3. アクセスするデータベースを選択します。

    データベースのホームページが表示されます。

  4. 実行するアクションのメニュー項目を選択します。たとえば、ユーザーを認証するには「管理」「セキュリティ」「ユーザー」の順に選択します。

    「データベース・ログイン」ページが表示されます。次に示す例はCDBの「データベース・ログイン」ページです(表示されているデータベース名がCDB$ROOTのため)。この名前から、このページは口語的にマルチテナント環境のrootのデータベース・ログイン・ページと呼ばれます。「データベース」フィールドは現在のデータベースを示します。PDBを選択した場合、PDBの名前がこのフィールドに表示されます。

    em_login.gifの説明が続きます
    図em_login.gifの説明
  5. 適切な資格証明を使用してログインします。

    共通ユーザーのみがルートにログインでき、共通ユーザーの名前はC##またはc##で始まることに注意してください。PDBには、共通ユーザーとローカル・ユーザーの両方がそれぞれの権限に応じてログインできます。

親トピック: Enterprise Managerによるマルチテナント環境へのログイン

8.2.2 別のPDBへの、またはルートへの切替え

Oracle Enterprise Managerで、PDBから別のPDBまたはルートに切り替えることができます。

  1. ページの左上に「データベース」リンクがあります。

    「データベース」リンクに、現在のコンテナ名が表示されます。次に示す例では、現在のデータベースは、口語的にルートと呼ばれるCDB自体(CDB$ROOT)です。

    em_database_breadcrumb.gifの説明が続きます
    図em_database_breadcrumb.gifの説明
  2. コンテナの右にあるメニュー・アイコンを選択し、このメニューから、アクセスするデータベースを選択します。

    メニュー項目が表示されない場合は、データベースのホームページなど、メニュー項目が表示されるページに移動します。

  3. 実行するアクティビティ(ユーザーの作成など)を決定する際は、適切な権限でログインします。

    あらかじめ適切な権限で認証を行わずにアクティビティを実行しようとすると、適切な権限でログインするよう要求されます。

親トピック: Enterprise Managerによるマルチテナント環境へのログイン

8.3 Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

マルチテナント環境では、Oracle Enterprise Managerを使用すると、共通ユーザーとローカル・ユーザーを作成、編集および削除できます。

この項では、次の項目について説明します。

親トピック: Enterprise Managerによるマルチテナント環境のセキュリティの管理

8.3.1 Enterprise Managerの共通ユーザー・アカウントの作成

共通ユーザーは、ルートに存在し、CDBのPDBにアクセスできるユーザーです。

  1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。

  3. 「作成」をクリックします。

    「ユーザーの作成」ページが表示されます。

    em_com_user_create2.gifの説明が続きます
    図em_com_user_create2.gifの説明
  4. 共通ユーザーを作成するオプションを選択して、このユーザーに権限を付与します。

    ユーザー名の前にC##またはc##を付けてください。

  5. 「OK」または「適用」をクリックします。

    共通ユーザーは、ルートで作成され、関連付けられているPDBの「ユーザー」ページに表示されます。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.3.2 Enterprise Managerの共通ユーザー・アカウントの編集

共通ユーザー・アカウントは、ルートから編集できます。

  1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
    • ルートにログインする場合は、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーである必要があります。
    • PDBにログインする場合は、そのPDBのCREATE USER権限を持っていることを確認してください。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。ルートでは、共通ユーザーのみが表示されます。PDBでは、共通ユーザーとローカル・ユーザーの両方がリストされます。

  3. 編集する共通ユーザーを選択して、「編集」をクリックします。

    ユーザーの編集ページが表示されます。ルートの共通ユーザーについては、その共通ユーザーのすべての設定を変更できます。PDBの共通ユーザーについては、ユーザー・パスワード、デフォルト表領域、一時表領域は変更できません。設定の変更は、現在のPDBにのみ適用されます。次の画面に、PDBでの共通ユーザーの「ユーザーの編集」ページを示します。

    em_com_user_edit.gifの説明が続きます
    図em_com_user_edit.gifの説明
  4. 必要に応じて、共通ユーザーを変更します。
  5. 「適用」をクリックします。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.3.3 Enterprise Managerの共通ユーザー・アカウントの削除

共通ユーザーは、CDBルートから削除できます。

  1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
    PDBから共通ユーザーを削除することはできません。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、共通ユーザーのみをリストする「ユーザー」が表示されます。

  3. 削除する共通ユーザーを選択して、「削除」をクリックします。
  4. 共通ユーザーの削除を確定します。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.3.4 Enterprise Managerのローカル・ユーザー・アカウントの作成

ローカル・ユーザーは、特定のPDBにのみ存在し、マルチテナント環境の他のPDBにアクセスできないユーザーです。

  1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてルートにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーのみを示す「ユーザー」ページが表示されます。

  3. 「作成」をクリックします。

    「ユーザーの作成」ページが表示されます。

  4. ローカル・ユーザーを作成するオプションを選択して、このユーザーに権限を付与します。

    ユーザー名の前にC##またはc##を付けないでください。

  5. 「OK」をクリックします。

    現在のPDBでローカル・ユーザーが作成されます。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.3.5 Enterprise Managerのローカル・ユーザー・アカウントの編集

ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから編集できます。

  1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーおよび共通ユーザーのみを示す「ユーザー」ページが表示されます。

  3. 編集するローカル・ユーザーを選択して、「編集」をクリックします。

    ユーザーの編集ページが表示されます。

  4. 必要に応じて、ローカル・ユーザーを変更します。
  5. 「適用」をクリックします。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.3.6 Enterprise Managerのローカル・ユーザー・アカウントの削除

ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから削除できます。

  1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーおよび共通ユーザーのみを示す「ユーザー」ページが表示されます。(PDBから共通ユーザーを削除することはできません。)

  3. 削除するローカル・ユーザーを選択して、「削除」をクリックします。

    ユーザーを削除してよいかどうか、確認を求められます。

  4. ローカル・ユーザーの削除を確定します。

関連トピック

親トピック: Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

8.4 Enterprise Managerの共通およびローカル・ロールおよび権限の管理

マルチテナント環境では、Oracle Enterprise Managerを使用して、共通ロールとローカル・ロールの作成、編集、削除および取消しを行うことができます。

この項では、次の項目について説明します。

親トピック: Enterprise Managerによるマルチテナント環境のセキュリティの管理

8.4.1 Enterprise Managerの共通ロールの作成

共通ロールを使用して、共通権限を共通ユーザーに割り当てることができます。

これらのロールは、マルチテナント環境のすべてのコンテナで有効です。
  1. Enterprise Managerデータベースのホームページで、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    要求された場合は、ログイン情報を入力します。その後、「ロールの作成」ページが表示されます。

  3. 「作成」をクリックします。

    「ロールの作成」ページが表示されます。

    em_com_role_create.gifの説明が続きます
    図em_com_role_create.gifの説明
  4. 共通ロールを作成するオプションを選択して、このロールに権限を付与します。

    ロール名の前にC##またはc##を付けてください。

  5. 「OK」をクリックします。

    共通ロールがルートに作成されます。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.2 Enterprise Managerの共通ロールの編集

共通ロールは、ルートから編集できます。

  1. Enterprise Managerデータベースのホームページで、ルートまたはPDBにログインします。ルートにログインする場合は、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーである必要があります。PDBにログインする場合は、そのPDBのCREATE ROLE権限を持っていることを確認してください。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    要求された場合は、ログイン情報を入力します。その後、「ロール」ページが表示されます。ルートでは、共通ロールのみが表示されます。PDBでは、共通ロールとローカル・ロールの両方が表示されます。

  3. 編集する共通ロールを選択して、「編集」をクリックします。

    ロールの編集ページが表示されます。ルートの共通ユーザーについては、その共通ユーザーのすべての設定を変更できます。

    PDBの共通ロールについては、ロールの認証のみ変更可能で、このユーザーに別のロール、システム権限、オブジェクト権限およびコンシューマ・グループ権限を付与します。これらの設定は現在のPDBにのみ適用されます。

  4. 必要に応じて、共通ユーザーを変更します。
  5. 「適用」をクリックします。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.3 Enterprise Managerの共通ロールの削除

共通ロールは、ルートから削除できます。

  1. Enterprise Managerデータベースのホームページで、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
    PDBから共通ロールを削除することはできません。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    要求された場合は、ログイン情報を入力します。その後、共通ロールのみを示す「ロール」ページが表示されます。

  3. 削除する共通ロールを選択して、「削除」をクリックします。
  4. 共通ロールの削除を確定します。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.4 Enterprise Managerの共通権限付与の取消し

共通権限付与は、ルートから取り消すことができます。

  1. Enterprise Managerデータベースのホームページで、共通CREATE USERCREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    「ユーザー」ページに、共通ユーザーが表示されます。

  3. 権限を取り消すユーザーを選択して、「編集」をクリックします。

    ユーザーの編集ページが表示されます。

  4. 「ロール」または該当する「権限」タブを選択します。

    このユーザーに割り当てられているロールと権限のリストが表示されます。

  5. 「リストの編集」を選択し、必要に応じてロールまたは権限を削除します。
  6. OK」ボタンをクリックします。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.5 Enterprise Managerのローカル・ロールの作成

共通ロールを使用して、後でローカル・ユーザーに権限のローカル・セットを割り当てることができます。

これらのロールは、定義対象のPDBコンテナ全体で有効になります。
  1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    ロール・ページが表示されます。

  3. 「作成」をクリックします。

    要求された場合は、ログイン情報を入力します。その後、「ロールの作成」ページが表示されます。

  4. ローカル・ロールを作成するオプションを選択して、このロールに権限を付与します。

    ロール名の前にC##またはc##を付けないでください。

  5. 「OK」をクリックします。

    現在のPDBでローカル・ロールが作成されます。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.6 Enterprise Managerのローカル・ロールの編集

ローカル・ロールは、そのローカル・ロールが存在するPDBで編集できます。

  1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ロールおよび共通ロールのみを示す「ロール」ページが表示されます。

  3. 編集するローカル・ロールを選択して、「編集」をクリックします。

    ユーザーの編集ページが表示されます。

  4. 必要に応じて、ローカル・ユーザーを変更します。
  5. 「適用」をクリックします。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.7 Enterprise Managerのローカル・ロールの削除

ローカル・ロールは、そのローカル・ロールが存在するPDBから削除できます。

  1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

    要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ロールおよび共通ロールのみを示す「ロール」ページが表示されます。(PDBから共通ロールを削除することはできません。)

  3. 削除するローカル・ロールを選択して、「削除」をクリックします。

    ロールを削除してよいかどうか、確認を求められます。

  4. ローカル・ロールの削除を確定します。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理

8.4.8 Enterprise Managerのローカル権限付与の取消し

ローカル権限は、その権限が使用されるPDBで取り消すことができます。

  1. Enterprise Managerデータベースのホームページで、CREATE USERおよびCREATE ROLE権限を持つ共通ユーザーまたはローカル・ユーザーとしてPDBにログインします。
  2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

    要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。PDBでは、共通ユーザーとローカル・ユーザーの両方がリストされます。

  3. 権限を取り消すユーザーを選択して、「編集」をクリックします。

    ユーザーの編集ページが表示されます。

  4. 「ロール」または該当する「権限」タブを選択します。

    このユーザーに割り当てられているロールと権限のリストが表示されます。

  5. 「リストの編集」を選択し、必要に応じて権限を削除します。
  6. OK」ボタンをクリックします。

関連トピック

親トピック: Enterprise Managerの共通およびローカル・ロールおよび権限の管理