7 Oracle Key Vaultユーザーの管理

Oracle Key Vaultユーザーは、システムの管理、エンドポイントのエンロール、ユーザーおよびエンドポイントの管理、セキュリティ・オブジェクトへのアクセス権の制御、およびその他のユーザーへの管理ロールの付与を行います。

• ユーザー・アカウントの管理
  Oracle Key Vaultユーザー・アカウントを作成し、これらのユーザーにKey Vault管理ロールを付与し、ユーザーをユーザー・グループに追加できます。
• 管理ロールおよび権限の管理
  Oracle Key Vaultには、ユーザーに付与(または変更)したり、ユーザーから取り消すことができる事前定義済のロールがあります。
• ユーザー・パスワードの管理
  管理者またはユーザーは、ユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。
• ユーザーの電子メールの管理
  Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。
• ユーザー・グループの管理
  共通の目的を持つユーザーを、指定されたユーザー・グループに編成できます。

7.1 ユーザー・アカウントの管理

Oracle Key Vaultユーザー・アカウントを作成し、これらのユーザーにKey Vault管理ロールを付与し、ユーザーをユーザー・グループに追加できます。

• Oracle Key Vaultユーザー・アカウントについて
  Oracle Key Vaultユーザーは複数の機能を果たします。
• ユーザー・アカウントに対するマルチマスター・クラスタの影響
  Oracle Key Vaultマルチマスター・クラスタ環境は、様々な形でユーザーに影響を与えます。
• Oracle Key Vaultユーザー・アカウントの作成
  システム管理者ロールを持つユーザーが、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。
• ユーザー・アカウントの詳細の表示
  すべての管理ユーザーが、Oracle Key Vaultユーザー・アカウントとその詳細のリストを表示できます。
• Oracle Key Vaultユーザー・アカウントの削除
  Oracle Key Vaultユーザーを削除すると、そのユーザーがOracle Key Vaultに含まれていたユーザー・グループからユーザーが削除されます。

7.1.1 Oracle Key Vaultユーザー・アカウントについて

Oracle Key Vaultユーザーは複数の役割を担当します。

ユーザーの重要な役割は、Oracle Key Vaultエンドポイントを登録およびエンロールし、ユーザーがOracle Key Vaultを使用して自分のセキュリティ・オブジェクトを管理できるようにすることです。

Oracle Key Vaultユーザーには、次の2つのタイプがあります。

• システム管理者、キー管理者または監査マネージャという3つの管理ロールのうち、1つ以上を持っている管理ユーザー

• 管理ロールは持っていないが、セキュリティ・オブジェクトへのアクセス権を持っている通常のユーザー

Oracle Key Vaultでの義務の分離とは、管理ロールを持っているユーザーはそれらのロールに関連する機能へのアクセス権を持っているが、他のロールに関連する機能へのアクセス権は持っていないことを意味します。たとえば、「System」タブにフルアクセスが許可されるのはシステム管理者ロールのユーザーのみで、キー管理者ロールや監査マネージャ・ロールのユーザーには許可されません。同様に、システム管理者はエンドポイントを追加できますが、エンドポイント・グループを作成することはできません。エンドポイント・グループの作成に必要なユーザー・インタフェース要素は、キー管理者にのみ表示されます。

管理ロールを持たないユーザーには、その役割に固有のセキュリティ・オブジェクトへのアクセス権を付与できます。たとえば、特定の仮想ウォレットへのユーザー・アクセス権を付与できます。このユーザーは、Oracle Key Vault管理コンソールにログインして、自分のセキュリティ・オブジェクトを追加、管理および削除できますが、システム・メニュー、他のユーザーおよびエンドポイントの詳細、それらのウォレットまたは監査レポートは確認できません。

ユーザー義務の分離をお薦めしますが、1人のユーザーにすべての管理ロールを付与して、すべての管理機能を実行させることができます。

Oracle Key Vaultでは、ユーザー名を別のユーザーまたはエンドポイントと同じ名前にすることはできません。マルチマスター・クラスタ環境でユーザーを作成する場合、同じ名前のユーザーが同時に別のノードで作成される可能性があります。この場合、Oracle Key Vaultではネーミングの競合がチェックされ、その名前の最初のユーザー・アカウントより後に作成されたユーザー・アカウントの名前が自動的に変更されます。2番目のユーザーを削除してから、別の名前で再作成する必要があります。

7.1.2 ユーザー・アカウントに対するマルチマスター・クラスタの影響

Oracle Key Vaultマルチマスター・クラスタ環境は、様々な形でユーザーに影響します。

これらには、実行できるアクティビティを拡張し、それらの名前がクラスタ環境内の他のオブジェクトと競合しないようにすることが含まれます。

• システム管理者ユーザーに対するマルチマスター・クラスタの影響
  システム管理者ロールが付与されているユーザーは、クラスタ構成の管理を担当します。
• キー管理者ユーザーに対するマルチマスター・クラスタの影響
  キー管理者ロールを付与されたユーザーは、エンドポイント・グループ、ユーザー・グループ、ウォレットおよびオブジェクトを管理します。
• 監査マネージャ・ユーザーに対するマルチマスター・クラスタの影響
  監査マネージャ・ロールを付与されているユーザーは、監査設定の構成を担当します。
• 管理ユーザーへのマルチマスター・クラスタの影響
  管理ユーザーは、システム管理者、キー管理者、監査マネージャのロールなど、管理ロールを任意に組み合せて使用できます。
• システム・ユーザーに対するマルチマスター・クラスタの影響
  システム・ユーザーは、各Oracle Key Vaultアプライアンス、サーバーおよびノードのオペレーティング・システムを担当します。

7.1.2.1 システム管理者ユーザーに対するマルチマスター・クラスタの影響

システム管理者ロールを付与されているユーザーは、クラスタ構成の管理を担当します。

マルチマスター・クラスタのシステム管理者ロールには、次の職責があります。

• 単一のOracle Key Vaultサーバーのすべてのシステム管理者職責
• クラスタの初期化、最初のOracle Key Vaultサーバーの初期ノードへの変換
• クラスタへのノードの追加および削除
• クラスタ内のノードの無効化および有効化
• クラスタ全体のシステム設定の管理
• クラスタ操作およびクラスタのヘルス・インジケータの監視
• ノード間のレプリケーションの有効化および無効化
• データおよびネーミングの競合の監視と解決
• クラスタ・アラートの監視および対応
• クラスタ設定の管理

7.1.2.2 キー管理者ユーザーに対するマルチマスター・クラスタの影響

キー管理者ロールを付与されたユーザーは、エンドポイント・グループ、ユーザー・グループ、ウォレットおよびオブジェクトを管理します。

マルチマスター・クラスタでは、これらのアイテムが別々のノードおよび別々のデータ・センターにアップロードされると、名前の競合が発生する可能性があります。キー管理者は、ウォレット、KMIPオブジェクト、エンドポイント・グループおよびユーザー・グループのこれらの競合を解決するための情報をシステム管理者に提供します。

7.1.2.3 監査マネージャ・ユーザーに対するマルチマスター・クラスタの影響

監査マネージャ・ロールを付与されているユーザーは、監査設定の構成を担当します。

マルチマスター・クラスタ環境では、このユーザーはクラスタ全体および個々のノードの監査設定を構成できます。監査マネージャ・ユーザーは、必要に応じて個々のノードに異なる設定を使用できます。ただし、このユーザーはクラスタ全体の監査設定を統一することもできます。

監査マネージャは、必要に応じてノード間で監査証跡をレプリケートできます。ただし、これによりノード間のトラフィックが大量になるため、監査マネージャは監査証跡レプリケーションを有効または無効にできます。デフォルトでは、監査証跡のレプリケーションはオフになっています。

7.1.2.4 管理ユーザーに対するマルチマスター・クラスタの影響

管理ユーザーは、システム管理者、キー管理者および監査マネージャの各ロールを含む管理ロールの任意の組合せを持つことができます。

初期ノードとして使用されるOracle Key Vaultサーバーで作成された管理ユーザー情報では、クラスタがシードされます。

クラスタに追加された新しいサーバーは、クラスタから管理ユーザー情報を取得します。サーバーをクラスタにインダクションするためにサーバーに作成された管理者情報は削除されます。

ノードがOracle Key Vaultクラスタに参加した後にノードで作成された管理ユーザーは、クラスタ全体で認識されます。個々のOracle Key VaultノードでOracle Key Vaultクラスタに追加される新しい管理ユーザーの名前は競合することがあります。ユーザー・アカウントが作成されるときに、Oracle Key Vaultによって管理ユーザー名の競合が自動的に解決されます。ユーザーおよびエンドポイントの競合が「Conflicts Resolution」ページに表示され、管理者は競合するエンドポイントの名前を変更できます。ユーザー名の競合がある場合は、自動的に生成されたユーザー名を受け入れるか、ユーザーを削除して再作成する必要があります。ユーザー・アカウントは使用できず、名前解決が完了するまでPENDING状態になります。

7.1.2.5 システム・ユーザーに対するマルチマスター・クラスタの影響

システム・ユーザーは、各Oracle Key Vaultアプライアンス、サーバーおよびノードのオペレーティング・システムを担当します。

最初にOracle Key Vaultサーバーをインストールし、後でOracle Key Vaultクラスタのノードになるように構成します。サーバー構成の一部として、オペレーティング・システム・ユーザー(supportおよびroot)が作成されます。これらのユーザーは、サーバーがクラスタに参加した後も変更されません。

すべてのOracle Key Vaultノードに同じsupportおよびrootのパスワードを使用する必要があります。レプリケートされるOracle Key Vaultの管理アカウントとは異なり、supportおよびrootアカウントはオペレーティング・システム・ユーザーであり、それらのパスワードはクラスタ間で自動的に同期されません。このため、各ノードでsupportまたはrootのユーザー・パスワードが異なる可能性があり、クラスタの複数ノードの管理が困難になります。

7.1.3 Oracle Key Vaultユーザー・アカウントの作成

システム管理者ロールを持っているユーザーは、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブをクリックします。

   既存のユーザーのリストが表示された「Manage Users」ページが表示されます。

3. 「Create」をクリックします。

   「Create User」ページが表示されます。

   
   図create-user-screenshot.pngの説明

4. 「User Name」にユーザー名を入力します。
   ユーザー名として最大30文字を入力します。マルチマスター・クラスタ環境の場合は、最大24文字を使用します。ユーザー名がOracle Key Vaultエンドポイント名と同じでないことを確認してください。
5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
   Make Uniqueは、マルチマスター・クラスタ環境でのユーザー名のネーミングの競合を制御するために役立ちます。サーバーがクラスタ・ノードに変換されると、ユーザー名の文字制限が30文字から24文字に減少し、競合があった場合に自動的に名前を変更できるようになります。クラスタ・ノードへのOracle Key Vault変換の前に作成されたユーザーは、ネーミングの競合による影響を受けません。

   • 「Make Unique」を選択すると、ユーザー・アカウントは即時にアクティブになり、このユーザーは操作を実行できます。
   • 「Make Unique」を選択しない場合、ユーザー・アカウントはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始し、ユーザー・アカウントがクラスタ全体で一意の名前に変更されることがあります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ユーザー・アカウントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたユーザー・アカウント名を受け入れるか、ユーザー・アカウント名を変更する必要があります。ユーザー・アカウント名を変更すると、名前解決操作が再起動され、ユーザー・アカウントがPENDING状態に戻ります。PENDING状態のユーザー・アカウントは、ほとんどの操作の実行に使用できません。
6. オプションで、「Full Name」にユーザーのフルネームを追加します。
7. パスワードは、次のいずれかを選択します。

   • Auto Generate Password: このオプションを選択すると、パスワードが自動的に生成されてユーザーに送信されます。ユーザーは、Oracle Key Vault: System Generated User Passwordという件名のメッセージを受信します。ユーザーがOracle Key Vault管理コンソールに初めてログインすると、パスワードの変更を求められます。

     このオプションを使用するには、SMTPサーバー構成を設定する必要があります。

   • PasswordおよびRe-type password: 有効なパスワードを入力します。パスワードは8文字以上で、英大文字、英小文字、数字および特殊文字をそれぞれ1つ以上含む必要があります。使用できる特殊文字は、ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)およびスペースです。

8. 「Save」をクリックします。

   「Manage Users」ページが表示され、新しいユーザーがリストされます。ユーザーがPENDING状態の場合は、次の例のように、ACTIVE状態に遷移するまで「Users being created」セクションに残ります。

   
   

   
   図pending_user_with_okvadmin.pngの説明

   
   

7.1.4 ユーザー・アカウントの詳細の表示

すべての管理ユーザーは、Oracle Key Vaultユーザー・アカウントとその詳細のリストを表示できます。

3つの管理ロールのいずれも持っていないユーザーは、自分のユーザー詳細のみを確認できます。「User Details」ページに、Oracle Key Vaultユーザーの統合ビューが表示されます。このページで、すべてのユーザー管理タスクが実行されます。

1. Oracle Key Vault管理コンソールにログインします。
2. 「Users」を選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。列(ユーザー名、フルネームまたはロール)でリストをソートおよび検索できます。

3. ユーザー名をクリックして、「User Details」ページを表示します。

7.1.5 Oracle Key Vaultユーザー・アカウントの削除

Oracle Key Vaultユーザーを削除すると、そのユーザーがOracle Key Vaultに含まれていたユーザー・グループからユーザーが削除されます。

この操作によって、このユーザーが管理するセキュリティ・オブジェクトが削除されることはありません。

管理者はPENDING状態でないユーザーのみを削除できます。

1. システム管理者ロールおよびそのユーザーと同じロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. 削除するユーザーの横にあるボックスを選択します。
4. 「Delete」をクリックします。
5. 確認のダイアログ・ボックスで、「OK」をクリックします。
6. 「Save」をクリックします。

7.2 管理ロールおよび権限の管理

Oracle Key Vaultには、ユーザーに付与(または変更)したり、取り消したりできる事前定義済のロールがあります。

• 管理ロールの管理について
  追加したユーザー・アカウントの管理ロールを付与または変更できます。
• ユーザーの管理ロールの付与または変更
  「Manage Users」ページを使用して、ユーザー管理ロールを付与または変更できます。
• 仮想ウォレットへのユーザー・アクセス権の付与
  キー管理者ロールを持つユーザーが、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。
• ユーザーからの管理ロールの取消し
  「Manage User」ページを使用して、ユーザーからロールを取り消すことができます。

7.2.1 管理ロールの管理について

追加したユーザー・アカウントに管理ロールを付与したり、変更することができます。

他のユーザーに管理ロールを付与するには、その管理ロールを持っているユーザーである必要があります。また、必要でなくなった管理ロールを取り消すこともできます。これらのロールを追加、変更または削除することはできません。

マルチマスター・クラスタ環境を使用している場合は、PENDING状態のユーザーに対して管理ロールの付与、変更および削除を行うことはできません。

7.2.2 ユーザーの管理ロールの付与または変更

「Manage Users」ページを使用して、ユーザー管理ロールを付与または変更できます。

1. 付与するロールと同じロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   たとえば、ユーザーがシステム管理者ロールを必要とする場合は、システム管理者ロールを付与されたユーザーとしてログインします。
2. 「Users」タブをクリックします。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

   
   図manage-users-screenshot.pngの説明

3. 「User Name」列のユーザーの名前をクリックします。

   「User Details」ページが表示されます。「User Details」ページに、Oracle Key Vaultユーザーの統合ビューが表示されます。ユーザー情報として、ユーザー名、電子メール、管理ロール、ユーザー・グループ内のメンバーシップ、およびセキュリティ・オブジェクトへのアクセス権が表示されます。

   
   図screenshot-7.1.2.1-step-3.pngの説明

4. ロールを付与するには、付与するロールの「Roles」ボックスを選択します。

   ロールを変更するには、以前のロールのボックスの選択を解除して、新しいロールの横にあるボックスを選択します。付与する必要があるロールがリストに表示されない場合は、そのロールがないユーザーとしてログインしているため、そのロールを付与する権限がありません。

5. 「Save」をクリックします。

7.2.3 仮想ウォレットへのユーザー・アクセス権の付与

キー管理者ロールを持っているユーザーは、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。

すべてのユーザーに、組織におけるその機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

ウォレットがPENDING状態の場合、仮想ウォレットへのアクセス権限を付与できません。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、「Manage Users」を選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. アクセス権を付与するユーザーの名前をクリックします。

   「User Details」ページが表示されます。

4. 「Access to Wallets」セクションの「Add」をクリックします。

   「Add Access to User」ページが表示されます。

5. 「Select Wallet」の下で、ウォレットを選択します。
6. 「Select Access Level」で、選択したウォレットへのアクセス・レベル(「Read Only」、「Read and Modify」または「Manage Wallet」)を設定します。

   付与するレベルがわかっている場合は、ウォレットへのアクセス権を付与するときにアクセス・レベルを設定します。ウォレット・メニューからアクセス・レベルを設定または変更することもできます。

7. 「Save」をクリックします。

7.2.4 ユーザーからの管理ロールの取消し

「Manage User」ページを使用すると、ユーザーからロールを取り消すことができます。

1. 取り消すロールと同じロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   付与および取消しできるのは、自分が管理者であるロールのみです。
2. 「Users」タブをクリックします。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

   
   図manage-users-screenshot.pngの説明

3. ロールを取り消すユーザーの名前をクリックします。

   「User Details」ページが表示されます。

4. 取り消すロールのボックスの選択を解除します。
5. 「Save」をクリックします。

7.3 ユーザー・パスワードの管理

管理者またはユーザーはユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。

• ユーザー・パスワードの変更について
  有効なOracle Key Vaultユーザーは誰でも自分のパスワードを変更できます。
• 自分のパスワードの変更
  ユーザーは誰でも自分のOracle Key Vaultアカウント・パスワードを変更できます。
• 別のユーザーのパスワードの変更
  システム管理者ロールを持つユーザーが、別のユーザーのパスワードを変更できます。

7.3.1 ユーザー・パスワードの変更について

有効なOracle Key Vaultユーザーなら誰でも、自分のパスワードを変更できます。

システム管理者ロールを持っている場合は、別のユーザーのパスワードを変更できます。また、別のユーザーと同じかそれ以上の管理ロールを持っている場合も、そのユーザーのパスワードをリセットできます。たとえば、監査マネージャ・ロールを持っているユーザーのパスワードを変更する場合、パスワードを変更するには、あらかじめ監査マネージャ・ロールを持っている必要があります。

次のユーザーとロールについて見てみましょう。

ユーザー	システム管理者	キー管理者	監査マネージャ
OKV_ALL_JANE	あり	あり	あり
OKV_SYS_KEYS_JOE	あり	あり	-
OKV_SYS_SEAN	あり	-	-
OKV_KEYS_KATE	-	あり	-
OKV_AUD_AUDREY	-	-	あり
OKV_OLIVER	-	-	-

システム管理者とキー管理者のロールを持っているユーザーOKV_SYS_KEYS_JOEがログインして、他のユーザーのパスワードを変更するとします。次のような結果になります。

• OKV_KEYS_KATE: OKV_SYS_KEYS_JOEは共通のキー管理者ロールを持っているため、OKV_KEYS_KATEのパスワードを変更できます。

• OKV_AUD_AUDREY: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、OKV_SYS_KEYS_JOEはOKV_AUD_AUDREYのパスワードを変更できません。

• OKV_ALL_JANE: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、ユーザーOKV_ALL_JANEのパスワードを変更できません。

• OKV_OLIVER: OKV_SYS_KEYS_JOEは、ロールがないユーザーOKV_OLIVERのパスワードを変更できます。

7.3.2 自分のパスワードの変更

すべてのユーザーが、自分のOracle Key Vaultアカウント・パスワードを変更できます。

1. Oracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. 左のサイドバーから「Change Password」を選択します。

   「Change Password for <your user name>」ページが表示されます。

   
   図okv_45.pngの説明

4. 「Current Password」に現在のパスワードを入力します。
5. 「New Password」と「Re-enter New Password」に新しいパスワードを入力します。
6. 「Save」をクリックします。

7.3.3 別のユーザーのパスワードの変更

システム管理者ロールを持つユーザーが、別のユーザーのパスワードを変更できます。

パスワードをリセットするユーザーと同じかそれ以上の管理ロールを持つユーザーである場合は、別のユーザーのパスワードを変更することもできます。

• 手動でのパスワードの変更
  
• パスワードの自動変更
  
• オペレーティング・システム・ユーザー・アカウントのパスワードの変更
  

7.3.3.1 手動でのパスワードの変更

ユーザーのパスワードを手動で変更した後、バンド外の方式を使用して、ユーザーに新しいパスワードを通知できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   「Manage Users」ページにユーザーのリストが表示されます。

3. パスワードを変更するユーザーの名前をクリックします。

   「User Details」ページが表示されます。

4. 「Reset Password」をクリックします。

   「Reset User Password」ページが表示されます。

   
   図reset_user_password.pngの説明

5. 「New Password」と「Re-type New Password」に新しいパスワードを入力します。
6. 「Save」をクリックします。

7.3.3.2 パスワードの自動変更

ユーザーのパスワードは、Oracle Key Vaultが自動的に生成することで変更できます。このパスワードは、Oracle Key Vaultからユーザーに直接送信できます。この機能を使用するには、電子メール設定でSMTPを構成する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. パスワードを変更するユーザーの名前をクリックします。

   「User Details」ページが表示されます。

4. 「Reset Password」をクリックします。

   「Reset User Password」ページが表示されます。

   
   図auto_generate_pwd.pngの説明

5. 「Auto Generate Password」の横にあるボックスを選択します。

   電子メール・アドレス・フィールドが表示されます。

6. ユーザーの電子メール・アドレスを入力します。
7. 「Save」をクリックします。

SMTPを構成せずに「Auto Generate Password」を選択すると、「Email Settings」へのリンクが表示されます。リンクをクリックして電子メール設定を構成し、このトピックのステップを繰り返します。

7.3.3.3 オペレーティング・システム・ユーザー・アカウントのパスワードの変更

Oracle Key Vault管理コンソールへの最初のログイン操作を実行する前に、サーバー・コンソールでオペレーティング・システム・ユーザー・アカウントrootおよびsupportのパスワードを変更できます。その後、SSHを使用してrootおよびsupportのパスワードを変更できます。

1. サーバー・コンソールに接続します。

   Oracle Key Vault Server release_numberの画面が表示されます。

   
   図installation_02_18100.pngの説明

2. 「Set User Passwords」を選択して、rootとsupportのユーザー・パスワードを設定します。[Enter]を押します。

   「Set User Passwords」画面が表示されます。

   
   図reset_os_user_password_01_18100.pngの説明

3. 「Set root password」または「Set support password」を選択し、[Enter]を押します。

   「Set Password」画面が表示されます。

   
   図reset_os_user_password_02_18100.pngの説明

4. 「Password」フィールドおよび「Confirm」フィールドに新しいパスワードを入力し、「OK」を選択して[Enter]を押します。

   「Installation Passphrase」画面が表示されます。

   
   図reset_os_user_password_03_18100.pngの説明

5. インストール・パスフレーズを入力し、[Enter]を押します。

7.4 ユーザーの電子メールの管理

Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。

• ユーザーの電子メール・アドレスの変更
  ユーザー・アカウントの作成後、ユーザーの電子メール・アドレスを追加または変更できます。
• ユーザーに対する電子メール通知の無効化
  「User Details」ページでユーザーの電子メール通知を無効化できます。

7.4.1 ユーザーの電子メール・アドレスの変更

ユーザー・アカウントを作成した後、ユーザーの電子メール・アドレスを追加または変更できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. 「User Name」列のユーザーの名前をクリックします。

   「User Details」ページが表示されます。

4. 「Email」に電子メール・アドレスを入力します。
5. 「Save」をクリックします。

7.4.2 ユーザーに対する電子メール通知の無効化

「User Details」ページでユーザーの電子メール通知を無効化できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。
   ユーザーのリストが表示された「Manage Users」ページが表示されます。
3. 「User Name」列のユーザーの名前をクリックします。

   「User Details」ページが表示されます。

   
   図screenshot-7.4.1-step-3.pngの説明

4. 「Do not receive email alerts」オプションを選択します。
5. 「Save」をクリックします。

7.5 ユーザー・グループの管理

共通の目的を持つユーザーは、指定したユーザー・グループに整理できます。

• ユーザー・グループの管理について
  キー管理者ロールを持つユーザーは、ユーザー・グループを作成、変更および削除できます。
• ユーザー・グループに対するマルチマスター・クラスタの影響
  ユーザー・グループは、ユーザー・ロールおよび権限をグループ化するためにOracle Key Vaultサーバーおよびクラスタ・レベルで使用されます。
• ユーザー・グループの作成
  一連のユーザーが共通セキュリティ・オブジェクトを管理する必要がある場合に、ユーザー・グループを作成できます。
• ユーザー・グループへのユーザーの追加
  既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。
• 仮想ウォレットへのユーザー・グループ・アクセス権の付与
  機能の必要性に応じて、ユーザー・グループの仮想ウォレットへのアクセス・レベルを変更できます。
• ユーザー・グループの名前の変更
  ステータスに応じてユーザー・グループの名前を変更できます。
• ユーザー・グループの説明の変更
  グループの説明は、グループの目的を識別するために役立ちます。
• ユーザー・グループからのユーザーの削除
  状況に応じて、ユーザー・グループからユーザーを削除できます。
• ユーザー・グループの削除
  グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がない場合は、ユーザー・グループを削除できます。

7.5.1 ユーザー・グループの管理について

キー管理者ロールを持つユーザーは、ユーザー・グループを作成、変更および削除できます。

これにより、仮想ウォレットへのアクセスを管理できます。ユーザー・グループの作成後、その詳細を変更できます。

ユーザー・グループの主な目的は、セキュリティ・オブジェクトへのアクセス制御を簡素化することです。一連のユーザーが、セキュリティ・オブジェクトの共通セットにアクセスする必要がある場合、ユーザーごとまたは各セキュリティ・オブジェクトに基づいてアクセス権を付与するのではなく、これらのユーザーをグループに割り当ててグループ・アクセス権を付与できます。特定のユーザーがセキュリティ・オブジェクトにアクセスする必要がなくなった場合は、グループからユーザーを削除できます。新しいユーザーをグループに追加できます。セキュリティ・オブジェクトへのグループのアクセス・レベルはいつでも変更できます。

7.5.2 ユーザー・グループに対するマルチマスター・クラスタの影響

ユーザー・グループは、ユーザー・ロールおよび権限をグループ化するためにOracle Key Vaultサーバーおよびクラスタ・レベルで使用されます。

新しいサーバーがクラスタに追加されると、クラスタ内にあるユーザー・グループ情報がOracle Key Vaultによって置き換えられます。新しいユーザー・グループは読取り/書込みペアからクラスタに作成できます。

ノードがOracle Key Vaultクラスタに追加された後にノードで作成されたユーザー・グループは、クラスタ全体で認識されます。2つの異なるノードで作成されたユーザー・グループには、名前の競合がある場合があります。ユーザー・グループ名の競合は自動的に解決されます。これらの競合は「Conflicts Resolution」ページに表示され、管理者は名前の変更を選択できます。

次の点に注意してください。

• ユーザー・グループがPENDING状態の場合、ユーザーを追加または削除してメンバーシップを変更することはできません。同様に、保留中状態のユーザーは、ACTIVE状態のユーザー・グループに追加したり、ユーザー・グループから削除することはできません。
• ウォレットがPENDING状態の場合、ユーザーおよびユーザー・グループのアクセス・マッピングを変更できません。同様に、保留中状態のユーザーおよびユーザー・グループは、ウォレットがACTIVE状態であっても、ウォレット・アクセス・マッピングに追加したり、ウォレット・アクセス・マッピングから削除したりできません。

7.5.3 ユーザー・グループの作成

一連のユーザーが、セキュリティ・オブジェクトの共通セットを管理する必要がある場合は、ユーザー・グループを作成できます。

グループの作成時またはグループの作成後に、ユーザーをグループに追加できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   ユーザーのリストが表示された「Manage Users」ページが表示されます。

3. 左のサイドバーから「Manage Access」を選択します。

   既存のユーザー・グループが表示された「User Groups」ページが表示されます。

   
   図user-groups-screenshot.pngの説明

4. 「Create User Group」をクリックします。

   「Create User Group」ページが表示されます。

   
   図create-user-group.pngの説明

5. 「Name」フィールドに新しいグループの名前を入力し、「Description」フィールドに簡単な説明を入力します。
6. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
   「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。Oracle Key Vaultをクラスタ・ノードに変換する前に作成されたユーザー・グループは、名前の競合による影響を受けません。

   • 「Make Unique」を選択すると、グループ名が即時にアクティブになり、このユーザー・グループはユーザー操作で使用できます。「Make Unique」をクリックすると、グループに追加できるユーザーのリストが表示されます。
   • 「Make Unique」を選択しない場合、ユーザー・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にユーザー・グループ名が変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ユーザー・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたユーザー・グループ名を受け入れるか、ユーザー・グループ名を変更する必要があります。ユーザー・グループ名を変更すると、名前解決操作が再起動され、ユーザー・グループはPENDING状態に戻ります。PENDING状態のユーザー・グループは、ほとんどの操作の実行に使用できません。
7. 「Description」に、必要に応じてユーザー・グループの説明を入力します。
8. 「Save」をクリックします。

7.5.4 ユーザー・グループへのユーザーの追加

既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。

ユーザーとユーザー・グループの両方がACTIVE状態の場合、グループの作成時またはグループを作成した後に、ユーザーをグループに追加できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブをクリックして、「Manage Access」をクリックします。

   既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

3. ユーザー・グループの「Details」の鉛筆アイコンをクリックします。

   既存のユーザー・グループのリストが表示された「User Group Details」ページが表示されます。

4. 「User Group Members」ペインの「Add」をクリックします。
   ユーザー・グループのメンバーではない既存のユーザーのリストが表示された「Add User Group Members」ページが表示されます。
5. 追加するユーザーのボックスを選択します。
6. 「Save」をクリックします。

7.5.5 仮想ウォレットへのユーザー・グループ・アクセス権の付与

機能のニーズの変化に応じて、ユーザー・グループの仮想ウォレットへのアクセス・レベルを変更できます。

ただし、ユーザー・グループとウォレットがACTIVE状態の場合は、アクセス・レベルのみを変更できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、「Manage Access」を選択します。

   既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

3. 変更するユーザー・グループの「Details」列の鉛筆アイコンをクリックします。

   「User Group Details」ページが表示されます。

4. 「Access to Wallets」セクションの「Add」をクリックします。

   「Add Access to User Group」ページが表示されます。

5. 「Select Wallet」で、ウォレットを選択します。
6. 「Select Access Level」で、選択したウォレットへのアクセス・レベルを設定します。
   「Read Only」、「Read and Modify」、または「Manage Wallet」を選択します。
7. 「Save」をクリックします。

7.5.6 ユーザー・グループの名前の変更

そのステータスに応じて、ユーザー・グループの名前を変更できます。

マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者ユーザーのみがユーザー・グループの名前を変更できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、「Manage Access」を選択します。
   「User Groups」ページが表示されます。
3. 「User Groups」ページで、変更するユーザー・グループの「Details」列の鉛筆アイコンを選択します。
   「User Group Details」ページが表示されます。
4. 「Name」フィールドに新しい名前を入力します。
   このノードがマルチマスター・クラスタの一部で、「Make Unique」を選択しない場合、ユーザー・グループは名前変更後にPENDING状態になります。
5. 「Save」をクリックします。

7.5.7 ユーザー・グループの説明の変更

グループの説明は、グループの目的を識別するために役立ちます。

この説明は、グループの目的にあわせていつでも変更できます。マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者のみがユーザー・グループの説明を変更できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、「Manage Access」を選択します。
   「User Groups」ページが表示されます。
3. 「User Groups」ページで、変更するユーザー・グループの「Details」列の鉛筆アイコンを選択します。
   「User Group Details」ページが表示されます。
4. 「Description」フィールドに新しい説明を入力します。
5. 「Save」をクリックします。

7.5.8 ユーザー・グループからのユーザーの削除

状況に応じて、ユーザーをユーザー・グループから削除できます。

マルチマスター・クラスタでは、ユーザーとユーザー・グループの両方がACTIVE状態の場合は、ユーザー・グループからユーザーを削除できます。組織内での機能が変化して、グループと同じセキュリティ・オブジェクトを管理する必要がなくなったユーザーは削除できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブをクリックして、「Manage Access」をクリックします。

   既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

3. ユーザー・グループの「Details」の鉛筆アイコンをクリックします。

   「User Group Details」ページが表示されます。

4. 「User Group Members」リージョンで、削除するユーザーのボックスを選択します。
5. 「Remove」をクリックします。
6. 「OK」をクリックして確定します。

7.5.9 ユーザー・グループの削除

グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がなくなった場合、ユーザー・グループを削除できます。

ユーザー・グループを削除すると、グループのウォレットおよびセキュリティ・オブジェクトへのアクセス権が自動的に削除されます。マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者のみが削除できます。

1. キー管理者ロールを付与されたユーザーとして、Oracle Key VaultのOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、「Manage Access」を選択します。

   「User Groups」ページが表示されます。

3. 削除するユーザー・グループのボックスを選択します。
4. 「Delete」をクリックします。
5. 「OK」をクリックして確定します。