目次

• タイトルおよび著作権情報
• はじめに
  • 対象読者
  • ドキュメントのアクセシビリティについて
  • 関連ドキュメント
  • 表記規則
• 1 セキュリティの概要
  • セキュリティの脅威
  • セキュリティの原則
    • 職務の分離と最低限の権限の原則
    • 暗号化
    • 疑わしいアクティビティのモニタリング(監査)
    • 否認防止
• 2 セキュリティ機能
  • 認証の構成
    • サポートされている認証スキーム
    • 新規管理者の作成
      • リポジトリ・ベースの認証
        • 新規ユーザーの作成(コマンドライン)
      • デフォルトの認証方法への復元
        • シングル・サインオン・ログオン・ページの省略
        • デフォルトの認証方法の復元
    • 管理者の削除
    • エンタープライズ・ユーザー・セキュリティベースの認証
      • エンタープライズ・ユーザー(EUSユーザー)のEnterprise Managerユーザーとしての登録
        • Enterprise Managerコンソールを使用したエンタープライズ・ユーザーの登録
        • コマンドライン・インタフェースを使用したエンタープライズ・ユーザーの登録
    • Oracle Internet Directory(OID)
      • 前提条件
      • OID構成のテスト
    • Microsoft Active Directoryベースの認証
      • Microsoft Active Directoryの構成テスト
    • 外部ロールを使用した外部認可
      • 自動プロビジョニング
      • 外部ユーザー表示名での異なる名前の使用
        • Oracle Virtual Directoryでのユーザー名の変更の更新
    • LDAPユーザー属性のEnterprise Managerユーザー属性へのマッピング
    • Enterprise Managerでのユーザー表示名の変更
    • 他のLDAP/SSOプロバイダの構成
      • シングル・サインオン・ベースの認証の構成
        • Oracle Access Manager 10gを使用したシングル・サインオンの構成
        • Oracle AS SSO 10gを使用したシングル・サインオンの構成
          • Enterprise Managerのパートナ・アプリケーションとしての登録
          • シングル・サインオン構成の削除
          • シングル・サインオン・ユーザーのEnterprise Manager管理者としての登録
          • シングル・サインオン・ログオン・ページの省略
          • デフォルトの認証方法の復元
    • エンタープライズ・ユーザー・セキュリティベースの認証の構成
    • デフォルトの認証方法への復元
      • シングル・サインオン・ログオン・ページの省略
      • デフォルトの認証方法の復元
  • 権限とロール認可の構成
    • ユーザー、権限、ロールについて
      • ユーザーのクラス
      • オブジェクトの再割当て
      • 集計ターゲット権限
    • 権限およびロール
      • 管理者権限およびデータベース権限
      • 権限の付与
      • ファイングレイン・アクセス制御
      • ロールの作成
      • プライベート・ロール
      • ロールを使用した権限の管理
    • 権限伝播グループを使用した権限の管理
      • 例1: 様々なチームにターゲット・グループへの異なるレベルのアクセス権を付与
      • 例2: 開発者に、ターゲット・データベース・インスタンスへの表示アクセス権を付与します。
      • 権限のサマリー
  • セキュアな通信の構成
    • セキュアな通信について
    • Oracle Management Serviceのセキュリティの有効化
      • サーバー・ロード・バランサを使用するOMSの構成
        • サーバー・ロード・バランサの構成の削除
      • 新しい認証局の作成
        • 管理資格証明ウォレット
      • セキュリティ・ステータスとOMSポート情報の表示
      • Transport Layer Securityの構成
    • Oracle Management Agentの保護
    • エージェント登録パスワードの管理
      • Cloud Controlコンソールを使用したエージェント登録パスワードの管理
      • emctlを使用した新しいエージェント登録パスワードの追加
    • 管理サービスへのHTTPアクセスの制限
    • 管理リポジトリ・データベースのセキュリティの有効化
      • Oracle Advanced Securityとsqlnet.ora構成ファイルについて
      • セキュアな管理リポジトリ・データベースへ接続するための管理サービスの構成
      • 管理リポジトリに対するOracle Advanced Securityの有効化
      • セキュアな管理リポジトリまたはデータベースをモニタリングしている管理エージェントのセキュリティの有効化
    • カスタム構成
      • WebLogic Server用のカスタム証明書の構成
        • 各OMS用Javaキーストアまたはウォレットの作成
        • カスタムCA証明書の、エージェントのモニタリング・トラスト・ストアへのインポート
        • 各WLS用カスタム証明書の構成
        • WebLogic Serverからデモ証明書へのロールバック
      • OMSコンソール・アクセス用のカスタム証明書の構成
      • OMSアップロード・アクセス用のカスタム証明書の構成
    • セキュアな通信設定ツール
      • emctl secure oms
      • emctl secure agent
      • emctl secure wls
      • emctl status oms -details
    • サード・パーティの証明書の構成
      • HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成
      • HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成
  • ターゲット資格証明の構成と使用
    • 資格証明サブシステム
      • 名前付き資格証明
        • 名前付き資格証明を使用した典型的なシナリオ
        • アクセス制御
        • 名前付き資格証明の作成
        • 名前付き資格証明のアクセス制御
        • 認証スキーム
      • 特権資格証明
        • 特権資格証明の作成
      • モニタリング資格証明
      • 優先資格証明
        • グローバル優先資格証明
          • 必要な権限
          • 資格証明プリファレンスの階層
      • ホストおよびOracleホーム用の優先資格証明の保存
      • My Oracle Supportへのアクセス用の優先資格証明の保存
      • EM CLIを使用した資格証明の管理
      • ホスト認証機能
        • SSHキー・ベースのホスト認証の設定
        • 設定サンプル・セッション
        • SSHキー資格証明を使用したホスト優先資格証明の設定
        • SSHキー資格証明を使用したホスト優先資格証明の設定(12.1.0.4より前)
        • ホスト資格証明の認証
        • PAM「emagent」サービスの構成
        • sudoおよびPowerBrokerのサポート
          • 認証ユーティリティ・ツールの構成
          • Sudo構成
          • Powerbroker構成
          • 権限委任設定の作成に必要な権限
          • 権限委任の作成
          • Cloud Controlからの権限委任テンプレートの設定
          • EM CLIを介した権限委任の設定
          • 権限委任設定のテスト
          • PowerBrokerのエージェント・サポート
          • SudoまたはPowerBroker資格証明を使用したエージェントの起動
        • 権限委任設定の作成
  • 暗号化キーの構成と使用
    • emkeyの構成
    • emctlコマンド
      • emctl status emkey
      • emctl config emkey -copy_to_credstore
      • emctl config emkey -copy_to_file_from_credstore
      • emctl config emkey -copy_to_file_from_repos
      • emctl config emkey -copy_to_credstore_from_file
      • emctl config emkey -copy_to_repos_from_file
      • emctl config emkey -remove_from_repos
    • シナリオのインストールおよびアップグレード
      • 管理リポジトリのインストール
      • 最初のOracle Management Serviceのインストール
      • 10.2または11.1から12.1へのアップグレード
      • 管理リポジトリの再作成
  • 監査の構成と管理
    • 資格証明の監査
    • デフォルト監査アクション
    • Enterprise Manager監査システムの構成
    • 監査データ・エクスポート・サービスの構成
    • 監査設定のアップグレード
    • 監査データの検索
    • 監査対象操作のリスト
    • インフラストラクチャの監査
      • WebLogic Serverの監査可能イベント
  • セキュリティのその他の考慮事項
    • Oracleアカウントのパスワードの変更
      • SYSMANユーザー・パスワードの変更
        • 現在のSYSMANパスワードがわかっている場合。
        • 現在のSYSMANパスワードが不明な場合
      • MGMT_VIEWユーザー・パスワードの変更
      • EUS_ENGINE_USERユーザー・パスワードの変更
    • ブラウザ固有のセキュリティ証明書アラートへの対応
      • サード・パーティの証明書のワークフロー
      • Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応
      • Mozilla Firefoxの新しいサイトの証明書ダイアログ・ボックスへの対応
      • Google Chromeのセキュリティ・アラート・ダイアログ・ボックスへの対応
      • Safariのセキュリティ・ダイアログ・ボックスへの対応
• 3 Enterprise Managerの保護
  • セキュアなインフラストラクチャおよびインストールのガイドライン
    • インフラストラクチャおよびオペレーティング・システムの保護
      • インフラストラクチャおよびオペレーティング・システムを保護するためのベスト・プラクティス
    • Oracle Management Repositoryの保護
      • 高度なセキュリティ・オプションの有効化
        • ネットワーク・アクセスの制限
        • SYSアクションの監査
        • ユーザー・アカウントの保護
        • 暗号化キーの保護とバックアップ
          • Oracle Management Repositoryを保護するためのベスト・プラクティス
    • Oracle Management Agentの保護
    • セキュアな通信
      • Oracle Management Agentを保護するためのベスト・プラクティス
      • ICMPの有効化
      • Oracle Management Agentのファイアウォール用の構成
      • Oracle Management Serviceのファイアウォール用の構成
    • セキュリティ・コンソール
      • 概要
      • プラガブル認証
        • プラガブル認証の概要
        • プラガブル認証の構成
      • ファイングレイン・アクセス制御
        • 概要
        • ユーザーのクラス
        • ファイングレイン・アクセス・コントロール管理者
        • ファイングレイン・アクセス・コントロール権限
        • ファイングレイン・アクセス制御
        • ファイングレイン・アクセス制御権限の集計への伝播
      • セキュアな通信
        • セキュアな通信の概要
          • Oracle Management Serviceのセキュリティの有効化
          • Oracle Management Agentの保護
          • 管理サービスへのHTTPアクセスの制限
          • エージェント登録パスワードの管理
          • セキュアな通信の現在の構成
        • データベースの暗号化構成
      • 資格証明管理
      • 包括的な監査
      • アクティブ・ユーザー・セッション数
      • ベスト・プラクティス分析
  • SSL通信のガイドライン
    • TLSv1.2プロトコルの有効化
    • 通信のセキュアロック・モード
      • OMSとエージェントの保護およびロック
    • 暗号構成の変更(必要な場合)
      • サード・パーティの証明書
      • Oracleウォレット
        • Oracle Walletの作成
    • 通信を保護するためのベスト・プラクティス
  • 認証のガイドライン
    • 外部認証の有効化
      • 認証のベスト・プラクティス
  • 認可のガイドライン
    • 権限およびロールの管理のベスト・プラクティス
    • 最低限の権限の原則を使用したロール/権限の定義
    • 権限伝播グループの使用
      • グループおよびシステムのベスト・プラクティス
  • 監査のガイドライン
    • 監査のベスト・プラクティス
  • ターゲット資格証明の管理のガイドライン
    • 資格証明のベスト・プラクティス
• 4 Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス
  • 柔軟なデータベース・アクセス制御
    • データベース管理ロールおよび責任
    • アプリケーションDBAアクセス
      • アプリケーションDBAアカウントの作成
      • 名前付き資格証明の作成
    • アプリケーション開発者アクセス
      • データベースに対するアプリケーション開発者アクセスの付与
      • データベース名前付き資格証明に対するアプリケーション開発者アクセスの付与
    • データベース・モニタリング・ユーザー・アクセス
      • データベースに対する「データベース・パフォーマンスの表示」アクセスの付与
      • データベース・モニタリング・ユーザーとの資格証明の共有
    • データベース管理者アクセス
      • データベース管理者アカウントの作成
      • 名前付き資格証明の作成
      • ロールおよび権限伝播グループによる権限の付与
    • プラガブル・データベース管理者アクセス
      • プラガブル・データベース管理者アカウントの作成
      • プラガブル・データベース管理者のデータベース権限の付与
      • 名前付き資格証明の作成
    • 権限グループ
      • データベース・アプリケーションDBA
      • データベース・アプリケーション開発者
      • 「データベース高可用性の管理」権限グループ
      • 「データベース高可用性の表示」権限グループ
      • データベース・パフォーマンス権限グループの管理
      • データベース・パフォーマンス権限グループの表示
      • データベース・スキーマ権限グループの管理
      • データベース・スキーマ権限グループの表示
      • 「データベース・セキュリティの管理」権限グループ
      • 「データベース・セキュリティの表示」権限グループ
      • 「データベース記憶域の管理」権限グループ
      • データベース記憶域権限グループの表示
  • データベースへのセキュアな通信(TCPS)アクセス
    • TCPSの構成
    • ターゲット・データベースとの通信用のサード・パーティCA証明書の構成
  • アカウント管理
  • TDE対応Oracle DatabasesのOracle Enterprise Managerサポート
• 5 トラブルシューティング
  • Enterprise Managerでの認証問題のトラブルシューティング
    • WebLogicデバッグ・フラグの有効化
    • ldap_trace.logATNファイルでのエラーのデバッグ
    • 無効な資格証明
    • LDAPサーバーでのタイムアウト
    • ldap_trace.logATN以外でのエラー
• 6 参照
• A あらかじめ用意されているロール
  • EM_ALL_ADMINISTRATOR
  • EM_ALL_DESIGNER
  • EM_ALL_OPERATOR
  • EM_ALL_VIEWER
  • EM_ALL_VIEWER
  • EM_CLOUD_ADMINISTRATOR
  • EM_COMPLIANCE_DESIGNER
  • EM_COMPLIANCE_OFFICER
  • EM_CPA_ADMIN
  • EM_HOST_DISCOVERY_OPERATOR
  • EM_INFRASTRUCTURE_ADMIN
  • EM_PATCH_ADMINISTRATOR
  • EM_PATCH_DESIGNER
  • EM_PATCH_OPERATOR
  • EM_PLUGIN_AGENT_ADMIN
  • EM_PLUGIN_OMS_ADMIN
  • EM_PLUGIN_OMS_ADMIN
  • EM_PROVISIONING_DESIGNER
  • EM_PROVISIONING_OPERATOR
  • EM_SSA_ADMINISTRATOR
  • EM_SSA_USER
  • EM_TARGET_DISCOVERY_OPERATOR
  • EM_TC_DESIGNER
  • EM_USER
  • PUBLIC
• B SYSDBA権限がない場合のデータベース・ターゲットへのユーザー・アクセス
  • 管理者の作成
  • データベース・パフォーマンス・ページへのアクセスを必要とするユーザー
  • AWRまたはADDMへのアクセスを必要とするユーザー
  • SQLアクセス・アドバイザへのアクセスを必要とするユーザー
  • SQLチューニング・アドバイザへのアクセスを必要とするユーザー
• C 権限
• D 監査操作
• E Enterprise Managerリポジトリとの通信用のTLSv1.2の構成
• F 新しいセキュリティ証明書の追加
• 索引