25 健全性チェック
トピック:
Oracle Access Managementの健全性チェック
この項では、Oracle Access Management (OAM)の健全性チェックをリストします。
トピック:
- 有効なユーザーに対するOAMエージェント保護アプリケーションのLDAP認証の検証
- 無効なパスワードに対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証
- 無効なユーザー名に対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証
- OAMエージェントで保護される使用不可リソースに対するアクセスの検証
- ポリシーから最近削除または置換されたリソースに対するアクセスの検証
親トピック: 健全性チェック
有効なユーザーに対するOAMエージェント保護アプリケーションのLDAP認証の検証
有効なユーザーに対するOAMエージェント保護アプリケーションのLDAP認証を検証する手順は、次のとおりです。
- OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
- 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
- OUD認証フォームから有効なユーザー名とパスワードを指定し、「ログイン」をクリックします。
- ブラウザに作成されているCookieを確認します。
予想される結果:
-
指定した有効な資格証明でOAMエージェント保護アプリケーションにアクセスできます。
-
ObSSOcookieおよびOAM_ID Cookieがブラウザ・セッションに作成されます。
無効なパスワードに対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証
無効なパスワードに対してOAMエージェント保護アプリケーションのLDAP認証が失敗することを検証する手順は、次のとおりです。
- OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
- 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
- 認証フォームに有効なユーザー名と無効なパスワードを指定します。
予想される結果:
-
ユーザー認証が失敗します。
-
適切なエラー・メッセージが表示されます。
-
ユーザーはリソースにアクセスできません。
無効なユーザー名に対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証
無効なユーザー名に対してOAMエージェント保護アプリケーションのLDAP認証が失敗することを検証する手順は、次のとおりです。
- OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
- 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
- 認証フォームに無効なユーザー名と任意のパスワードを指定します。
予想される結果:
-
ユーザー認証が失敗します。
-
適切なエラー・メッセージが表示されます。
-
ユーザーはリソースにアクセスできません。
OAMエージェントで保護される使用不可リソースに対するアクセスの検証
OAMエージェントで保護される使用不可リソースにアクセスすると、指定した資格証明が有効な場合も適切なエラー・メッセージが表示されます。検証する手順は、次のとおりです。
- OAMサーバーに構成されたOAM Webゲートで保護されているリソースが使用不可になっているときにそのリソースのURLにアクセスします。
- 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
- 認証フォームに有効なユーザー名とパスワードを指定します。
- ブラウザに作成されているCookieを確認します。
予想される結果:
OAM Webゲート保護アプリケーションにアクセスできない状態で、適切なエラー・メッセージが表示されます。
ポリシーから最近削除または置換されたリソースに対するアクセスの検証
ポリシーから最近削除または置換されたリソースにアクセスする場合は、認証不要でアクセス権が付与されます。検証する手順は、次のとおりです。
policy.xml
またはUIでリソースを削除し、新しいリソースで置換します。- 前のステップで削除または置換したアプリケーションまたはリソースにアクセスします。このアプリケーションは、OAMサーバーに構成されたOAM Webゲートによって保護されている必要があります。
- OAM 11g ServerまたはWebLogic Serverを再起動しなくてもユーザーが認証を求められないかどうかを確認します。
- ユーザーがリソースにアクセスできるかどうかを確認します。
予想される結果:
ユーザー認証せずに、OAM 11g ServerまたはWebLogic Serverを再起動しないで、リソースまたはアプリケーションにアクセスできます。
Oracle Identity Governanceの健全性チェック
この項では、Oracle Identity Governanceの健全性チェックをリストします。
トピック:
- 組織の作成
- ユーザーの作成
- ロールの作成
- サンドボックスの管理
- サンドボックスの公開
- ユーザーのユーザー定義フィールド(UDF)の追加
- 切断アプリケーションの作成およびプロビジョニング
- DBユーザー管理のインポートおよび構成
- アクセス・ポリシーの作成およびプロビジョニング
- アカウント、権限およびロールに対するエンド・ユーザー・リクエストの作成
- アカウント・パスワードのリセット
- 証明の作成および承認
- アイデンティティ監査スキャン定義の作成およびその結果の表示
- アイデンティティ監査のテスト
親トピック: 健全性チェック
サンドボックスの管理
次の操作の多くには、サンドボックスの作成が必要です。サンドボックスとは、実際に使用する前に作成したものを試せる非アクティブな領域です。
サンドボックスの作成
sysadminコンソールまたはidentityコンソールのいずれかからサンドボックスを作成できます。ステップは同じです。次にサンドボックスをsysadminコンソールで作成する例を示します。サンドボックスを作成するには、次のステップを実行します。
切断アプリケーションの作成およびプロビジョニング
切断アプリケーションを作成してプロビジョニングする手順は、次のとおりです。
-
次のステップを完了して参照を作成します。
-
次のURLを使用して、システム管理コンソールに
xelsysadm
としてログインします。http://
igdadmin.example.com
/sysadmin
-
「システム構成」タブに移動し、「参照」をクリックします。
-
「アクション」ドロップダウン・リストの「作成」をクリックします。
-
「意味」に
Lookup.Disc
、「コード」にLookup.Disc
を入力します。 -
「アクション」ドロップダウン・リストの「リンクの作成」をクリックします。
-
「意味」に値
HDD
、「コード」にHDD
を入力します。 -
「保存」をクリックします。
-
「意味」に
Lookup.Disc
、「コード」にLookup.Disc
の値を入力し、「検索」をクリックします。 -
HDDおよびCDの値が表示されます。「OK」をクリックします。
-
-
次のステップを完了して切断アプリケーション・インスタンスを作成します。
-
次のURLを使用して、システム管理コンソールに
xelsysadm
としてログインします。http://
igadmin.example.com
/sysadmin
-
「サンドボックス」リンク、「サンドボックスの作成」の順にクリックします。
-
「名前」にDiscを入力し、「保存」、「閉じる」の順にクリックします。「OK」をクリックして続行します。サンドボックスがアクティブ化されます。
-
「プロビジョニング構成」に移動し、「アプリケーション・インスタンス」をクリックします。
-
「作成」をクリックします。「属性」タブを有効にすることで、「アプリケーション・インスタンスの作成」ページが表示されます。
-
「名前」にDisc、「説明」にDiscを入力し、「切断」チェック・ボックスを選択します。「保存」をクリックします。「OK」をクリックして確定します。Discというアプリケーション・インスタンスが正常に作成されたことを確認するフィードバック・メッセージが表示されます。
-
同じページで「属性」タブに移動します。Discという名前でフォーム・フィールドが追加されます。フォーム・フィールドの横にある「編集」をクリックします。
-
「フィールド」タブを使用可能にし、「Discの管理」ページを開きます。「フィールド」タブの横にある「子オブジェクト」をクリックします。
-
「追加」をクリックして、「名前」にchdisc、「説明」にchdiscを入力し、「OK」をクリックします。
-
chdiscをクリックします。これによって、「フィールド」タブを有効にして、別のページが開きます。
-
「アクション」ドロップダウン・リストの「リンクの作成」をクリックし、フィールドタイプに「参照」を選択し、「OK」をクリックします。
-
表示ラベルと名前に
Disc
を入力して、「検索可能」を選択します。「参照タイプ」をクリックし、「検索」または参照アイコン(拡大鏡アイコン)をクリックします。「意味」にLookup.Disc
を入力します。 -
「検索」をクリックします。HDDおよびCDの値が表示されます。「OK」をクリックします。「参照」が選択されている必要があります。単一のデフォルト値ラベル・ドロップダウンが追加されます。クリックすると、「HDD」および「CD」の値が表示されます。
「権限」を有効にした場合は、「検索可能」および「「検索可能」ピックリスト」も選択されていることを確認します。残りはデフォルト値のままにします。
-
「保存」、「閉じる」の順にクリックします。
-
「親オブジェクトに戻る」、「ビューの再生成」の順にクリックします。
-
「親フォーム + 子表(マスター/詳細)」を有効にし、デフォルトの設定を保持します。「OK」をクリックします。
-
「アプリケーション・インスタンス」タブに移動します。アプリケーション・インスタンスDiscを検索します。
-
「リフレッシュ」をクリックし、Discフォームで「適用」をクリックします。
-
「システム構成」タブに移動し、「スケジューラ」をクリックします。
-
「スケジュール済ジョブの検索」フィールドにEnt*の値を入力し、「検索」または「移動」ボタンをクリックします。
-
結果が表示されます。権限リスト・ジョブ名をクリックします。
-
「即時実行」をクリックします。ジョブが実行されていることを示す確認メッセージが表示されます。
-
「リフレッシュ」をクリックします。実行ステータスが「成功」であることを確認します。ウィンドウを閉じます。
-
アプリケーション・インスタンスの「権限」タブに移動します。「HDD」および「CD」の2つの権限が表示されます。
-
「Top」の値を入力して「検索」をクリックし、組織名を検索します。
-
「Top」組織が表示されます。該当する行/組織を選択し、「選択した項目の追加」をクリックします。選択した組織が正常に追加されます。
-
「権限に適用」を選択し、「選択」をクリックします。選択した組織が正常に追加されます。
-
「割当て」をクリックします。
-
組織名TestOrgを検索し、「検索」をクリックします。
-
TestOrg組織が表示されます。該当する行/組織を選択し、「選択した項目の追加」をクリックします。
-
選択した組織が正常に追加されます。「権限に適用」を選択し、「選択」をクリックします。選択した組織が正常に追加されます。
-
アプリケーション・インスタンスの「属性」タブに移動します。「適用」をクリックします。アプリケーション・インスタンス「disc」が正常に変更されたことを示すメッセージが表示されます。
-
「サンドボックス」をクリックします。
-
同じサンドボックスDiscを選択します。「サンドボックスのエクスポート」ボタンをクリックします。サンドボックスをエクスポートすると、
sandbox_disc.zip
という.zipファイルが生成されます。「OK」ボタンをクリックします。Zipファイルが保存および生成されます。 -
エクスポートが正常に完了した後、「サンドボックスの公開」ボタンをクリックします。「はい」をクリックして確定します。
-
公開すると、「サンドボックスの公開」リンクにそのサンドボックスがリストされます。
-
-
次のステップを完了して、切断アプリケーション・インスタンスおよび権限をユーザーにプロビジョニングします。
-
次のURLを使用して、アイデンティティ・コンソールに
xelsysadm
としてログインします。https://
prov.example.com
/identity
-
「管理」、「ユーザー」の順にクリックします。
-
ユーザー名
Rahul Dravid
を検索し、「検索」をクリックします。 -
ユーザー「Rahul Dravid」が表示されます。そのユーザー・リンクをクリックします。ユーザーの詳細が表示されます。
-
「アカウント」タブ、「アカウントのリクエスト」タブの順に移動します。アカウントのアクセス・リクエスト・ページが表示されます。有効な追加アクセスを選択し、「カタログ」タブに移動します。使用可能なアプリケーション・インスタンスがすべて表示されます。
-
Disc切断アプリケーション・インスタンスの「カートに追加」をクリックし、「次へ」をクリックします。カートの詳細ページが表示されます。
-
リクエストの詳細ペインでペン・アイコンをクリックします。
-
アカウントのロギング名に
Rahul Dravid_123
、パスワードに<password>
を入力します。「更新」をクリックします。 -
「送信」をクリックします。リクエストおよび
「アクセスのリクエストが正常に完了しました」
メッセージが生成されます。 -
「セルフ・サービス」タブに移動します。「プロビジョニング・タスク」をクリックし、「手動履行」タブに移動します。「手動履行」ページが表示されます。
-
該当するリクエストをクリックします。リクエストの詳細が表示されます。データを確認します。「完了」、「リフレッシュ」の順にクリックします。
-
「管理」タブ、「ユーザー」タブの順に移動します。同じユーザー「Rahul Dravid」を開きます。
-
「アカウント」タブに移動します。「リフレッシュ」をクリックします。アカウント・ステータスが
「プロビジョニング済」
であることを確認します。 -
同じアカウント名「Rahul Dravid_123」を選択し、「権限のリクエスト」ボタンをクリックします。「権限アクセス・リクエスト」ページが表示されます。「アクセス権限の追加」を使用可能にし、「カタログ」タブに移動します。
-
権限
HDD
に対応する「カートに追加」をクリックします。「次へ」をクリックします。 -
「送信」をクリックします。リクエストおよび「アクセスのリクエストが正常に完了しました」メッセージが生成されます。
-
「セルフ・サービス」タブに移動します。「プロビジョニング・タスク」をクリックし、「手動履行」タブに移動します。「手動履行」ページが表示されます。
-
該当するリクエストをクリックします。リクエストの詳細が表示されます。データを確認します。「完了」、「リフレッシュ」の順にクリックします。
-
「管理」タブ、「ユーザー」タブの順に移動します。同じユーザー「Rahul Dravid」を開きます。
-
「権限」タブに移動します。「リフレッシュ」ボタンをクリックします。権限ステータスが
「プロビジョニング済」
であることを確認します。
-
アクセス・ポリシーの作成およびプロビジョニング
アクセス・ポリシーを作成してプロビジョニングする手順は、次のとおりです。
- 次のURL https://prov.example.com/identity.を使用して、アイデンティティ・コンソールに
xelsysadm
としてログインします。 - 「管理」をクリックします。
- 「ロールとアクセス・ポリシー」 -> 「ロール」をクリックします。
DBUMRole
という名前のロールを作成します。- 「ホーム」タブをクリックして、メイン管理オプションを選択します。
- 「ユーザー」をクリックします。
- 「作成」をクリックします。
Jean Wilson
という名前のユーザーを作成します。- 「ホーム」タブをクリックします。
- 「ロールとアクセス・ポリシー」 -> 「ロール」をクリックします。
- ロール
DBUMRole
を選択します。 - ロール・ページが表示されます。「メンバー」をクリックします。
- 「追加」をクリックします。
- 「メンバーの追加」ダイアログ・ボックスで、ユーザーJean Wilsonを検索します。
- ユーザーJean Wilsonをクリックします。
- 「選択した項目の追加」をクリックします。
- 「適用」をクリックします。
Patrick Morgan
という名前の別のユーザーを作成し、ユーザー・ロールDBUMRole
を割り当てます。- 「管理」をクリックして、「ホーム」タブをクリックします。
- Jean Wilsonユーザーの詳細ページを開き、「アカウント」タブをクリックします。DBUMアカウントはプロビジョニング済の状態になっています。
- 「権限」タブに移動し、追加した子データすべてが表示されていることを確認します。
- ユーザーPatrick Morganに対して前の2つのステップを繰り返します。
アカウント、権限およびロールに対するエンド・ユーザー・リクエストの作成
ロールについてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。
-
ユーザー
Arthur Hill
を作成します。 -
Arthur Hill
としてログインし、「マイ・アクセス」ページ、「ロール」の順に開きます。 -
カタログで「リクエスト」をクリックし、DBUMRoleをカートに追加します。
-
リクエストを送信します。
-
管理者としてログインし、「保留中の承認」を開きます。
-
リクエストを開いて承認します。
-
Arthur Hill
として、ロールが正常に割り当てられていることを確認します。
アカウントについてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。
-
ユーザー
Bruce Parker
を作成します。 -
Bruce Parker
としてログインし、「マイ・アクセス」ページ、「ロール」の順に開きます。 -
「リクエスト」をクリックします。
-
カタログからDBUM Appを選択し、カートに追加します。
-
「次へ」をクリックして、「送信」をクリックしてリクエストを送信します。
-
管理者としてログインし、受信ボックスを開きます。
-
リクエストを開いて詳細を確認し、リクエストを承認します。
-
Bruce Parker
として、アカウントが正常にプロビジョニングされていることを確認します。
権限についてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。
Jean Wilson
としてログインします。- 「マイ・アクセス」ページを開き、「アカウント」タブに移動します。
- DBUM appを選択し、「アクション」の下の「権限のリクエスト」をクリックします。
- 権限をカートに追加してリクエストを送信します。
- 管理者としてログインし、受信ボックスを開きます。
- リクエストを開いて承認します。
- Jean Wilsonとして、権限が正常にプロビジョニングされていることを確認します。
アカウント・パスワードのリセット
アカウント・パスワードをリセットする手順は、次のとおりです。
- アイデンティティ・コンソールに
Jean Wilson
としてログインします。 - 「マイ・アクセス」をクリックし、「アカウント」タブに移動します。
- SSOTargetを選択して、「アクション」の「パスワードのリセット」をクリックします。
- 新しいパスワードを指定し、発行します。
- ログアウトした後、
xelsysadm
として再度ログインします。 - 「管理」、「ユーザー」の順にクリックします。
- 「Jean Wilson」を検索し、ユーザーの詳細ページを開きます。
- 「アカウント」タブに移動し、DBUM Appを選択します。
- 「アクション」の下の「リソース履歴」をクリックし、更新されたパスワード・タスクがトリガーされて「完了」ステータスになっているかどうかを確認します。
証明の作成および承認
証明の作成および承認を実行するには、次の前提条件を満たす必要があります。
-
アイデンティティ・コンソールに
xelsysadm
でログインします。 -
システム管理コンソールを起動します。
-
「システム構成」タブに移動し、「構成プロパティ」をクリックします。
-
次のシステム・プロパティを探します。
Property name = Identity Auditor Feature Set Availability
Keyword = OIG.IsIdentityAuditorEnabled
Value = TRUE
-
設定を保存します。
-
OIMサーバーを再起動し、アイデンティティ・コンソールに「コンプライアンス」タブを表示します。
証明を作成して承認する手順は、次のとおりです。
アイデンティティ監査スキャン定義の作成およびその結果の表示
アイデンティティ監査スキャン定義を作成するには、次の前提条件を完了します。
-
アイデンティティ・コンソールに
xelsysadm
としてログインします。 -
システム管理コンソールを起動します。
-
「システム構成」タブに移動し、「構成プロパティ」をクリックします。
-
次のシステム・プロパティを探します。
Property name = Identity Auditor Feature Set Availability
Keyword = OIG.IsIdentityAuditorEnabled
Value = TRUE
-
設定を保存します。
-
OIMサーバーを再起動し、アイデンティティ・コンソールに「コンプライアンス」タブを表示します。
ルールを作成する手順は、次のとおりです。
-
アイデンティティ・コンソールに
xelsysadm
としてログインします。 -
「コンプライアンス」、「アイデンティティ監査」の順にクリックします。
-
「ルール」を選択し、「作成」をクリックします。
-
次の条件ビルダーで、アイデンティティ・ルール
Identity Rule 1
を作成します。user.Display Name; Equals ; Rahul Dravid
-
「作成」をクリックします。ルールが作成されます。
ポリシーを作成する手順は、次のとおりです。
-
アイデンティティ・コンソールに
xelsysadm
としてログインします。 -
「コンプライアンス」、「アイデンティティ監査」の順にクリックします。
-
「ポリシー」、「作成」の順にクリックします。
-
ルール
Identity Rule 1
を追加することで、ポリシーIdentity Policy 1
を作成します。 -
「作成」をクリックします。
スキャン定義を作成する手順は、次のとおりです。
-
次のURLを使用して、アイデンティティ・コンソールに
xelsysadm
としてログインします。https://
prov.example.com
/identity
-
「コンプライアンス」、「アイデンティティ監査」の順にクリックします。
-
「スキャン定義」、「作成」の順にクリックします。
-
ポリシー
Identity Policy 1
を追加することで、スキャン定義Identity Scan 1
を作成します。 -
「基本選択」ページで、すべてのユーザーを選択します。
-
「構成」ページは、デフォルト値のままにします。
-
「サマリー」ページで「終了」をクリックします。スキャン定義が正常に追加されます。
-
Identity Scan 1を選択して「即時実行」をクリックし、スキャン定義を実行します。スキャン定義が正常に実行されたことを確認します。
-
次の手順を実行してスキャン定義の結果をプレビューします。
-
スキャン定義を実行した後、スキャン定義の行またはレコードIdentity Scan 1を選択します。
-
「スキャンの表示」をクリックします。スキャン定義の結果が表示されます。
-