14 ユーザー・アカウントおよびアクセス権の管理
ユーザー・アカウントおよびアクセス権を管理するには、コマンドラインとAudit Vault Serverコンソールの両方を使用できます。
14.1 Oracle Audit Vault and Database Firewall管理アカウントについて
Oracle Audit Vault and Database Firewall管理アカウントは、ユーザー・アクセスの管理に役立ちます。
管理者がOracle Audit Vault and Database Firewallにログインすると、管理機能にのみアクセスできるのに対し、監査者は監査機能にのみアクセスできます。
Oracle Audit Vault and Database Firewallには、次の2種類の管理ユーザー・アカウントがあります。
-
Audit Vault Serverスーパー管理者:
-
全システム的な設定を管理します
-
スーパー管理者および管理者のユーザー・アカウントを作成します。
-
すべてのターゲットおよびターゲット・グループにアクセスできます
-
ターゲットまたはターゲット・グループへのアクセス権を管理者に付与します
-
-
Audit Vault Server管理者: スーパー管理者によってアクセス権を付与された特定のターゲットまたはターゲット・グループにアクセスできます。管理者は全システム的な設定を管理できません。
Oracle Audit Vault and Database Firewallのインストール後に、インストール後の構成ページを使用して、Audit Vault Server用に1つのスーパー管理者アカウントおよび1つのスーパー監査者アカウントのパスワードを作成および指定できます。インストール後に作成されるこのスーパー管理者およびスーパー監査者は、Audit Vault Serverデータベース・ユーザーです。スーパー管理者として少なくとも1人、スーパー監査者として1人のAudit Vault Serverデータベース・ユーザーが存在します。
- ローカルAVDF: ローカル・ユーザーの認証は、ローカル・パスワードによって行われます。詳細は、「Oracle Audit Vault Serverの管理アカウントの構成」を参照してください。
- AD/LDAP: ADユーザーとLDAPユーザーの認証は、Microsoft Active Directory(AD)またはOpenLDAPを介して行われます。詳細は、「Oracle Audit Vault and Database FirewallとMicrosoft Active DirectoryまたはOpenLDAPの統合」を参照してください。
- SSO: シングル・サインオン(SSO)は、Oracle AVDF 20.11以降で構成できます。SSOユーザーの認証は、Microsoft Active Directory Federation Service、Microsoft Azure Active DirectoryまたはOracle Access ManagerとのSAML 2.0統合を介して行われます。詳細は、「Audit Vault Serverコンソール・ユーザーのシングル・サインオン(SSO)の構成」を参照してください。
それ以降、サーバーに対して、Audit Vault Serverスーパー管理者は他の管理ユーザーを作成でき、スーパー監査者は他の監査ユーザーを作成できます。
この章では、Oracle Audit Vault and Database Firewall管理者ユーザー・インタフェース用のユーザー・アカウントおよびパスワードの管理について説明します。
関連項目:
-
インストール後の構成の詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
-
監査者アカウントの管理の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
14.2 ユーザー・アカウントに関するセキュリティ技術導入ガイドと実装
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントのSTIGガイドラインに従います。
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントに関してセキュリティ技術導入ガイド(STIG)および実装のルールに従います。
-
デフォルトのOracle Audit Vault and Database Firewallユーザー・アカウントにはカスタム・パスワードが必要です。
-
ログイン試行の連続失敗回数は3です。
-
ユーザーがログイン試行失敗回数の最大値を超えると、スーパー管理者によって解除されるまでアカウントがロックされます。
-
アカウントのロックアウトはスーパー管理者がユーザー・アカウントをリセットするまで続きます。
関連項目:
STIGコンプライアンスの詳細は、セキュリティ技術導入ガイドを参照してください
14.3 Oracle Audit Vault Serverの管理アカウントの構成
Oracle Audit Vault Serverの管理アカウントを構成する方法を学習します。
14.3.1 Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドライン
Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドラインを確認します。
ベスト・プラクティスとして、インストール済のOracle Audit Vault and Database Firewallユーザー・アカウントは、バックアップ・アカウントのみとして使用してください。毎日のOracle Audit Vault and Database Firewall操作を担当するユーザー用に、一意のユーザー名およびパスワードの新しいユーザー・アカウントを追加します。
ノート:
Oracle Audit Vault and Database Firewallでは、引用符付きのユーザー名を使用できません。たとえば、"jsmith"
は、Oracle Audit Vault and Database Firewallユーザー・アカウントでも、Oracle Audit Vault and Database Firewallで使用するターゲットで作成されるアカウントでも有効なユーザー名ではありません。
14.3.2 ローカル管理ユーザーの作成
管理のためのAudit Vault Server管理アカウントを作成できます。
Audit Vault Serverスーパー管理者は、スーパー管理者と管理者の両方のユーザー・アカウントを作成できます。
- Audit Vault Serverコンソールにスーパー管理者としてログインします。
- 「設定」タブをクリックします。
メイン・ページの「管理者の管理」サブタブがデフォルトで選択されています。
- 右上隅にある「追加」をクリックします。
- 「管理者の追加」ダイアログ・ボックスで、「ローカルAVDFユーザー」を選択します。
- 「ローカルAVDFユーザー」では、データベース管理者を作成するための詳細を入力します。
- 新規に作成した管理者名を入力します。
- 管理タイプを選択します。
- 「パスワード」および「パスワードの再入力」に入力します。
Oracle Audit Vault and Database Firewallでは、
"jsmith"
などの引用符付きのユーザー名を使用できません。 - 「保存」をクリックします。
14.3.3 管理者ユーザー・アカウントのステータスの表示
管理者アカウントのステータスを表示する方法を学習します。
スーパー管理者であれば、「設定」タブをクリックして管理者アカウントのステータスを表示できます。「管理者の管理」サブタブには、すべての管理者およびスーパー管理者のアカウントが、ステータス、パスワード有効期限日、アクセス権のあるターゲットおよびターゲット・グループなどとともにリストされます。
14.3.4 Audit Vault Serverのユーザー・アカウント・タイプの変更
Audit Vault Server管理アカウント・タイプを管理者からスーパー管理者に、またはその反対に変更できます。
管理アカウント・タイプは、管理者からスーパー管理者に、またはその反対に変更できます。
ノート:
ユーザーのアカウント・タイプを管理者からスーパー管理者に変更した場合、ユーザーはすべてのターゲットおよびターゲット・グループにアクセスできます。-
Audit Vault Serverにスーパー管理者としてログインします。
-
「設定」タブをクリックします。
「管理者の管理」セクションがデフォルトで表示されます。既存のユーザーと、そのユーザーがアクセスできるターゲットまたはグループが表示されます。
-
変更するユーザー・アカウントの名前をクリックします。
-
「管理者の変更」ダイアログで、「タイプ」フィールドの編集アイコンをクリックします。
-
タイプは、「管理者」から「スーパー管理者」に変更できます。タイプを「スーパー管理者」から「管理者」に変更する必要がある場合。
-
このユーザーの必要に応じて、任意のターゲットやグループへのアクセス権を付与または取り消すこともできます。
リリースOracle AVDF 20.1および20.2 リリースOracle AVDF 20.3以降 -
アクセス権を付与または取り消すターゲットまたはグループを選択します。
-
「権限付与」または「権限取消」ボタンをクリックします。
緑色のチェック・マークは、アクセス権が付与されていることを示します。赤色の十字マーク(X)は、アクセスが取り消されていることを示します。
-
アクセス権を付与または取り消すターゲットまたはグループを選択します。また、「ターゲットとターゲット・グループ」の下のフィールドで、ターゲットやターゲット・グループを検索することもできます。
- 「使用可能」列でアクセス権を選択し、それらを「選択」列に移動して、アクセス権を付与します。「選択」列でアクセス権を選択し、それらを「使用可能」列に移動して、アクセス権を取り消します。
-
-
「保存」をクリックします。
14.3.5 ユーザー・アカウントのロック解除
この手順では、ユーザー・アカウントのロック解除方法について説明します。
14.3.5.1 スーパー管理者またはスーパー監査者ユーザーのロック解除
次のプロセスは、最後のスーパー管理者または最後のスーパー監査者ユーザーのロックを解除するために使用します。また、コンソールを介して他のユーザーのロックを解除するための代替方法として使用できます。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します:
alter user <user name> account unlock;
14.4 ユーザーのsudoアクセスの構成
ユーザーのsudoアクセスの構成について学習します。
14.4.1 sudoアクセスの構成について
sudoアクセスの構成について学習します。
sudo
コマンドは、root
ユーザーのパスワードを使用してログインすることなしに、信頼できるユーザーがシステムへの管理アクセスを行うことを許可します。
sudo
アクセス権を与えられているユーザーの場合、管理コマンドの前にsudo
を入力でき、自分のパスワードを入力するように要求されます。認証の完了後、コマンドが許可されているとすると、コマンドはroot
ユーザーによって実行された場合と同じように処理されます。
14.4.2 ユーザーのsudoアクセスの構成
ユーザーのsudoアクセスの構成について学習します。
ユーザーのsudo
アクセスを構成するには、root
権限が必要です。
-
root
ユーザーとしてシステムにログインします。 -
-G support
オプションを指定したuseradd
コマンドを使用して、新しいユーザー・アカウントを作成します。これにより、新しいユーザーがsupport
グループに追加され、アプライアンスへのSSHアクセス権が付与されます。たとえば、ユーザー
psmith
の通常のユーザー・アカウントを作成するには、次のように入力します。# useradd -G support psmith
-
passwd
コマンドを使用してユーザーのパスワードを設定します。たとえば:
# passwd psmith Changing password for user psmith. New password: new_password Retype new password: new_password passwd: all authentication tokens updated successfully
-
visudo
ユーティリティを実行して、/etc/sudoers
ファイルを編集します。# visudo
sudoers
ファイルは、sudo
コマンドが適用するポリシーを定義します。 -
sudoers
ファイル内で、有効にすることで、wheelグループ内のユーザーにアクセス権限を付与するための行を探します。## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL
-
%wheel
で始まる2番目の行の先頭にあるコメント文字(#
)を削除します。これにより、構成オプションが有効になります。
-
変更を保存して、エディタを終了します。
-
usermod
コマンドを使用して、前に作成したユーザー・アカウントをwheel
グループに追加します。たとえば:
usermod -aG wheel psmith
-
更新した構成が作成したユーザーに対して有効になっていることをテストするため、
sudo
を使用してコマンドを実行します。-
su
コマンドを使用して作成した新しいユーザー・アカウントに切り替えます。# su psmith
-
groups
コマンドを使用してユーザーがwheelグループに属していることを確認します。$ groups psmith wheel
-
sudo
コマンドを使用してwhoami
コマンドを実行します。これが、このユーザー・アカウントから
sudo
を使用してコマンドを実行する最初の機会となるため、バナー・メッセージが表示されます。ユーザー・アカウントのパスワードを入力するように要求されます。$ sudo whoami
次の出力が表示されます。
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
要求されたら、次のようにパスワードを入力します。
[sudo] password for psmith: password root
出力の最後の行は、
whoami
コマンドによって返されるユーザー名です。sudo
アクセスが正しく構成されている場合は、この値はroot
です。
-
14.5 ターゲットおよびグループへのユーザーのアクセス権限の管理
ターゲットおよびグループへのユーザーのアクセス権限の管理について学習します。
14.5.1 ユーザーのアクセス権限の管理について
ユーザーのアクセス権限の管理について学習します。
スーパー管理者は、すべてのターゲットおよびターゲット・グループにアクセスでき、特定のターゲットおよびグループへのアクセス権を管理者に付与できます。
ターゲットまたはグループへのアクセス権は、次の2つの方法で制御できます。
-
ターゲットまたはグループを変更して、1人以上のユーザーに対してアクセス権を付与または取り消します。
-
ユーザー・アカウントを変更して、1つ以上のターゲットまたはグループへのアクセス権を付与または取り消します。
14.6 Oracle Audit Vault and Database Firewallでのユーザー・パスワードの変更
パスワード変更の管理方法を学習します。
14.6.1 パスワードの要件
Oracle Audit Vault and Database Firewallでは、いくつかのパスワード要件を満たす必要があります。
Oracle Audit Vault and Database Firewallユーザー・アカウントには、パスワード変更ポリシーを適用する必要があります。たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。
Unicode文字を含むパスワードの要件
パスワードにUnicode文字(アクセント記号が付いた英語以外の文字など)が含まれる場合、パスワードの要件は次のとおりです。
-
8文字以上30文字以下にします。
英語のみ(ASCII)のパスワードの要件
英語のみのASCII印字可能文字を使用する場合、Oracle AVDFのパスワードの要件は次のとおりです。
-
8文字以上30文字以下にします。
-
次のそれぞれを、少なくとも1つずつ含めます。
-
小文字: a-z。
-
大文字: A-Z。
-
数値: 0-9。
-
区切り記号: コンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)、感嘆符(!)およびアンダースコア(_)
-
-
二重引用符(")、バックスペースまたは制御文字は含めません。
また、パスワードに関する推奨事項は次のとおりです。
-
ユーザー名と同じにならないようにします。
-
Oracleの予約語は使用できません。
-
わかりやすいパスワード(welcome、account、database、userなど)は使用しないでください。
-
連続する文字が含まれないようにします。
14.6.2 Audit Vault Server管理者パスワードの変更
管理者のパスワードを変更する方法を学習します。
管理者は自分のパスワードを変更できます。スーパー管理者は、他の管理者のパスワードを変更することもできます。スーパー管理者が別の管理者のパスワードを変更すると、変更直後にそのパスワードは自動的に期限切れとなります。
14.6.2.1 自分のパスワードの変更
管理者として自分のパスワードを変更する方法を学習します。
- Audit Vault Serverに管理者としてログインします。
- 右上隅にあるログイン名の右のメニュー・アイコンを選択します。
- このメニューから「パスワードの変更」を選択します。
- 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
- 現在のパスワード
- 新規パスワード
- 新規パスワードの再入力
- 「保存」をクリックします。
関連トピック
14.6.2.2 別の管理者のパスワードの変更
スーパー管理者として別の管理者のパスワードを変更する方法を学習します。
スーパー管理者は、他の管理者のパスワードを変更できます。ただし、パスワードは、スーパー管理者が変更した直後に自動的に期限切れになります。管理者は、管理者の期限切れパスワードの変更のトピックの手順に従う必要があります。
- Audit Vault Serverにスーパー管理者としてログインします。
- 「設定」タブをクリックし、必要に応じて、左側のナビゲーション・メニューの「セキュリティ」を選択します。
- 「管理者の管理」で、パスワードを変更する管理者の名前を選択します。
- 「管理者の変更」ウィンドウで、「パスワードの変更」をクリックします。
- 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
- 新規パスワード
- 新規パスワードの再入力
- 「保存」をクリックします。
関連トピック
14.6.2.3 管理者の期限切れパスワードの変更
パスワードは、スーパー管理者がそのパスワードを変更するか、またはパスワードの有効期限が過ぎた場合、期限切れになる可能性があります。
Oracle AVDFリリース20.4以前の場合は、次の手順に従います:
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します:
alter user <user name> account unlock;
-
次のコマンドを実行して、パスワードを変更します。
alter user <user name> identified by <new_password>;
Oracle AVDFリリース20.5以降の場合は、次の手順に従います:
関連トピック
14.7 Oracle Audit Vault and Database FirewallとMicrosoft Active DirectoryまたはOpenLDAPの統合
Microsoft Active DirectoryまたはOpenLDAPを使用して、Oracle Audit Vault and Database Firewallへのアクセス権を制御できます。
14.7.1 Microsoft Active DirectoryまたはOpenLDAPとの統合について
Microsoft Active DirectoryまたはOpenLDAPサーバーを統合して、Audit Vault Serverコンソールに接続するユーザーを認証できます。
ユーザーがAudit Vault Serverコンソールにログインすると、グループのリストからグループを選択するよう要求されます。ユーザーは自分が属していて選択したグループから認可されます。ユーザーが認証されると、そのユーザーが属していて選択したMicrosoft Active DirectoryまたはOpenLDAPグループに基づいてアクセス権が付与されます。
スーパーユーザーは、Oracle Audit Vault Database Firewallのグループにロールを割り当てることができます。たとえば、スーパー管理者、スーパー監査者、管理者、監査者などです。Oracle Audit Vault and Database Firewallリリース20.1以降では、Microsoft Active DirectoryおよびOpenLDAPがサポートされています。
ノート:
- 他のLDAPサーバーは動作しますが、Oracle Audit Vault and Database Firewallリリース20.1ではテストおよび動作保証されていません。
- Oracle AVDFでは、Microsoft Active Directoryのデフォルトのローカル・アカウント(管理者など)をサポートしていません。Active Directoryのデフォルトのローカル・アカウントの詳細は、Microsoftのドキュメントを参照してください。
- Microsoft Active DirectoryおよびOpenLDAPのユーザーおよびグループは、LDAPサーバーの構成のトピックで指定したドメインに属している必要があります。
14.7.2 LDAPサーバーの構成
Microsoft Active DirectoryまたはOpenLDAPを使用してユーザーを認証するようにLDAPサーバーを構成できます。
14.7.3 新規ユーザーの作成
Microsoft Active DirectoryまたはOpenLDAP認証用に新規ユーザーを作成します。
- Audit Vault Serverコンソールにスーパー管理者またはスーパー監査者としてログインします。
- 「設定」タブをクリックします。
メイン・ページの「管理者の管理」または「監査者の管理」サブタブがデフォルトで選択されています。
- 右上隅にある「追加」をクリックします。
- 「管理者の追加」(または「監査者の追加」)ダイアログボックスで、Active Directory/LDAPグループを選択します。
- 「Active Directory/LDAPグループ」では、「インポート・モード」を選択します。
Audit Vault Serverで同様に管理者または監査者を作成する前に、OpenLDAPまたはActive DirectoryのユーザーとグループがLDAPサーバーに存在している必要があります。
- インポート・モードとして「フェッチ」を選択した場合は、LDAPのユーザー名およびパスワードを指定します。または、識別名を指定して、既存のグループに対応するMicrosoft Active DirectoryまたはOpenLDAPグループをOracle Audit Vault Database Firewallに登録できます。LDAPユーザーには、LDAPサーバーに存在するすべてのグループを表示するための適切なアクセス権限が必要です。
ノート:
ユーザー資格証明は格納されません。そのため、「フェッチ」オプションを選択するたびに、資格証明を入力する必要があります。 - 「グループ名が次と相似」フィールドで、類似した名前を持つグループから詳細をフェッチするために検索するキーワードを入力します。ダイアログの下部にある「フェッチ」ボタンをクリックします。たとえば、
admin
キーワードを入力して、グループ名にadmin
文字列を含むADグループまたはOpenLDAPグループをフェッチします。ノート:
ユーザーはグループに追加できます。グループは管理者権限または監査者権限を持つことができますが、両方を持つことはできません。たとえば、AdminAndAuditorという名前のグループには、管理者権限を割り当てることができます。しかしながら、同じグループが監査者権限を持つことはできません。両方の権限を追加しようとすると失敗します。ユーザーSpecialUserは、AdminグループとAuditorグループの両方に含めることができます。このユーザーSpecialUserは、管理者としてAdminグループ、監査者としてAuditorグループと接続することを選択できます。 - 「ドメイン」を選択します。
- ダイアログの下部にある「フェッチ」ボタンをクリックします。「グループ」フィールドと「ユーザー・タイプ」フィールドの値が移入されます。
- ドロップダウン・メニューから適切なグループを選択します。
- ドロップダウン・メニューから「管理者」、「スーパー管理者」、「監査者」、「スーパー監査者」などのユーザー・タイプを選択します。
- インポート・モードとして「手動」を選択した場合は、識別名としてグループ名を入力します。
- 「保存」をクリックします。
14.8 Audit Vault Serverコンソール・ユーザーのシングル・サインオン(SSO)の構成
Oracle AVDF 20.11以降では、Audit Vault Serverコンソールのユーザーに対してSSOを構成できます。
14.8.1 Audit Vault Serverコンソール・ユーザーのSSOについて
Audit Vault Serverは、SAML 2.0統合でアイデンティティ・プロバイダ(IdP)と統合できます。そのIdPによって、シングル・サインオン(SSO)および多要素認証(MFA)のサポートを提供できます。Audit Vault Serverでは、SSOユーザー名以外のSSOユーザー資格証明は格納されません。
通常の管理者および監査者、読取り専用監査者、スーパー管理者およびスーパー監査者など、すべてのタイプのAudit Vault Serverコンソール・ユーザーに対してSSOを構成できます。
SSO構成を管理するには、ローカルAVDFユーザーとして構成されている、super administrator
としてAudit Vault Serverコンソールにログインする必要があります。SSOセッションでSSO構成を作成または変更することはできません。
どのような場合でも、ローカルAVDFユーザーとして構成されている最後のスーパー管理者およびスーパー監査者は削除できません。
14.8.2 SSO構成の追加
シングル・サインオン(SSO)を構成するには、アイデンティティ・プロバイダ(IdP)情報をAudit Vault Serverに追加します。
ノート:
複数のSSO構成を追加できますが、一度に有効にできる構成は1つのみです。- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
-
次の情報を入力します。
フィールド 説明 アイデンティティ・プロバイダ名 Audit Vault ServerでのIdPを特定する名前。 プロバイダ・タイプ 次のような、アイデンティティ・プロバイダ・タイプ。
- Microsoft Active Directory Federation Service
- Microsoft Azure Active Directory
-
Oracle Access Manager(OAM)
ノート:
Oracle AVDF 20.11のみ: OAMは有効なアイデンティティ・プロバイダですが、それを選択するオプションはありません。かわりに、他の任意のアイデンティティ・プロバイダを選択しますが、次のフィールドにOAMの情報を入力します。
ノート:
Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。アイデンティティ・プロバイダ・ドメイン IdPのドメイン名。
例:
login.example.com
プロトコル プロトコルは、常にSAML 2.0です。 SSOサインインURL IdPへのサインインに使用するURL。
例:
https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2
SSOサインアウトURL IdPからサインアウトするために使用するURL。一部のプロバイダでは、これはサインインURLと同じである場合があります。
例:
https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2
アイデンティティ・プロバイダの発行者 IdPのURI。
例:
https://sts.example.net/177306dd-a070-419a-b50f-6f71fc63b993
アイデンティティ・プロバイダの署名証明書 base-64形式の、IdPからの証明書。証明書をコピーして貼り付けるか、ファイルを選択してここにアップロードします。 - 「保存」をクリックします。
- SSO構成の使用を開始するには、それを有効にする必要があります。「SSO構成の有効化」を参照してください。
14.8.3 アイデンティティ・プロバイダへのAudit Vault Server SSO証明書のコピー
一部のアイデンティティ・プロバイダではAudit Vault Serverのシングル・サインオン(SSO)証明書が必要であり、Audit Vault ServerからSSO証明書をコピーする必要がある場合があります。
- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
-
「証明書のコピー」をクリックします。
SSO証明書がクリップボードにコピーされます。
14.8.4 SSO構成の有効化
シングル・サインオン(SSO)構成の使用を開始するには、Audit Vault Serverでそれを有効にする必要があります。
ノート:
複数のSSO構成を追加できますが、一度に有効にできる構成は1つのみです。前提条件
手順
- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
- 有効にするSSO構成を選択します。
-
「有効化」をクリックします。
14.8.5 SSOアイデンティティ・プロバイダとしてOracle Access Managerを有効にした後のORDSの構成
SSOアイデンティティ・プロバイダとしてOracle Access Manager (OAM)を有効にした後は、Oracle Rest Data Services (ORDS)を構成する必要があります。
前提条件
- SSO構成を有効にします。「SSO構成の有効化」を参照してください。
- 次の内容を書き留めてください。
- Audit Vault Serverの完全修飾ホスト名(FQHN)
- OAMサーバーのFQHN
- LDAPサーバーのFQHN
手順
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
- 次のように
JAVA_PATH
変数を設定します。export JAVA_PATH=/usr/java/jdk-11/bin
- 次のように
PATH
変数を設定します。export PATH=$JAVA_PATH:/var/lib/oracle/ords/bin:$PATH
- 次の構成を設定します。
ords --config /var/lib/oracle/ords_conf config set --global security.forceHTTPS true
- 次のどちらかによって、次の構成を設定します。
-
必要に応じて、適切なFQHNを入力してください。
ords --config /var/lib/oracle/ords_conf config set --global security.externalSessionTrustedOrigins “https://<FQHN of AV server>:443, http://<FQHN of OAM server>:<port>, https://<FQHN LDAP server configured on OAM server>:<port>, null”
-
前述のパラメータはオプションであるため、かわりに次を使用できます。
ords --config /var/lib/oracle/ords_conf config set --global security.externalSessionTrustedOrigins “null”
-
root
に戻ります。- ORDSを再起動します。
systemctl restart ords
- 新しいOAMユーザーを作成し、そのOAMユーザーとしてAudit Vault Serverコンソールにログインすることで、接続をテストします。
詳細は、「新規SSOユーザーの作成」および「SSOユーザーとしてのAudit Vault Serverコンソールへのログイン」を参照してください。
- 高可用性で構成されている場合は、スタンバイAudit Vault Serverで前述のステップを繰り返します。
14.8.6 新規SSOユーザーの作成
シングル・サインオン(SSO)認証用の新規ユーザーを作成するには、次のステップに従います。
前提条件
アイデンティティ・プロバイダでユーザーに対してSSOが有効になっていることを確認します。
手順
- 「設定」タブをクリックします。
-
SSOユーザー名を入力します。
使用できる文字としては、大文字と小文字、数字および記号(@.-_!^~+%)があります。SSOユーザー名の合計長は、127文字以内である必要があります。ノート:
AVDFでは、大文字と小文字を使用できますが、ユーザー名は大文字のみで格納されます。アイデンティティ・プロバイダでは、ユーザー名の、大文字と小文字の区別なしでの比較が実行されます。
14.8.7 SSOユーザーとしてのAudit Vault Serverコンソールへのログイン
Audit Vault Serverコンソールにシングル・サインオン(SSO)ユーザーとしてログインすると、有効になっているアイデンティティ・プロバイダ(IdP)のSSOログイン・ページにリダイレクトされます。
- Audit Vault Serverコンソールのログイン・ページで、「シングル・サインオン」を選択します。
- 「ログイン」をクリックします。
-
SSOログイン・ページでSSOユーザー名とパスワードを入力します。
ノート:
ログアウトし、セッションの最後にブラウザを閉じます。そうしないと、ブラウザで、SSOユーザーとしてログインしたままになり、Audit Vault Serverへのアクセスが許可されます。
14.8.9 SSO構成の無効化
変更、削除または別のSSO構成への切替えを実行する必要がある場合は、シングル・サインオン(SSO)構成を無効にする必要があることがあります。
- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
- 無効にするSSO構成を選択します。
-
「無効」をクリックします。
次のメッセージが表示されます。
このアイデンティティ・プロバイダの無効化を続行しますか?
- 「OK」をクリックして構成を無効にします。
14.8.10 SSOアイデンティティ・プロバイダとしてOracle Access Managerを無効にした後のORDSの構成
SSOアイデンティティ・プロバイダとしてOracle Access Manager (OAM)を無効にした後も、Oracle Rest Data Services (ORDS)を構成する必要があります。
前提条件
- SSO構成を無効にします。「SSO構成の無効化」を参照してください。
手順
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
- 次のように
JAVA_PATH
変数を設定します。export JAVA_PATH=/usr/java/jdk-11/bin
- 次のように
PATH
変数を設定します。export PATH=$JAVA_PATH:/var/lib/oracle/ords/bin:$PATH
- 次のコマンドを実行します。
ords --config /var/lib/oracle/ords_conf config delete --global security.forceHTTPS true
- 次のコマンドを実行します。
ords --config /var/lib/oracle/ords_conf config delete --global security.externalSessionTrustedOrigins true
root
に戻ります。- ORDSを再起動します。
systemctl restart ords
- 高可用性で構成されている場合は、オプションで、スタンバイAudit Vault Serverで前述のステップを繰り返します。
14.8.11 SSO構成の変更
Audit Vault Serverでシングル・サインオン(SSO)構成が無効になっている場合は、その構成を変更できます。
ノート:
Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。前提条件
Audit Vault ServerでSSO構成が現在有効になっている場合は、その構成を無効にします。「SSO構成の無効化」を参照してください。
手順
- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
-
次の情報を更新します。
フィールド 説明 アイデンティティ・プロバイダ名 Audit Vault ServerでのIdPを特定する名前。 プロバイダ・タイプ 次のような、アイデンティティ・プロバイダ・タイプ。
- Microsoft Active Directory Federation Service
- Microsoft Azure Active Directory
-
Oracle Access Manager(OAM)
ノート:
Oracle AVDF 20.11のみ: OAMは有効なアイデンティティ・プロバイダですが、それを選択するオプションはありません。かわりに、他の任意のアイデンティティ・プロバイダを選択しますが、次のフィールドにOAMの情報を入力します。
ノート:
Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。アイデンティティ・プロバイダ・ドメイン IdPのドメイン名。
例:
login.example.com
プロトコル プロトコルは、常にSAML 2.0です。 SSOサインインURL IdPへのサインインに使用するURL。
例:
https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2
SSOサインアウトURL IdPからサインアウトするために使用するURL。一部のプロバイダでは、これはサインインURLと同じである場合があります。
例:
https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2
アイデンティティ・プロバイダの発行者 IdPのURI。
例:
https://sts.example.net/177306dd-a070-419a-b50f-6f71fc63b993
アイデンティティ・プロバイダの署名証明書 base-64形式の、IdPからの証明書。証明書をコピーして貼り付けるか、ファイルを選択してここにアップロードします。 - 「保存」をクリックします。
14.8.12 SSO構成の削除
Audit Vault Serverでシングル・サインオン(SSO)構成が無効になっている場合は、その構成を削除できます。
前提条件
Audit Vault ServerでSSO構成が現在有効になっている場合は、その構成を無効にします。「SSO構成の無効化」を参照してください。
手順
- ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
- 「設定」タブをクリックします。
- 「シングル・サインオン(SSO)」サブタブをクリックします。
- 削除するSSO構成を選択します。
-
「削除」をクリックします。
SSO構成を削除すると、ログアウト時に、既存のセッションで次のメッセージが表示されます。
パラメータの値が無効です: SAML_SIGN_IN_URL
14.9 AVSYSユーザーのロック解除およびロック
Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールまたは管理するときには、AVSYS
ユーザーのロックを解除して再度ロックする必要がある場合があります。
14.9.1 AVSYSユーザーのロック解除
インストールまたは管理のタスクを実施するには、次の手順を使用してAVSYS
ユーザーのロックを一時的に解除します。
手順
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
次のコマンドを実行して
avsys
のロックを解除します:alter user avsys identified by <password> account unlock;
-
SQL*Plusを終了します。
exit
14.10 AGENTUSR#
アカウントとAVSRCUSR#
アカウントのパスワードの更新
AGENTUSR#
またはAVSRCUSR#
データベース・アカウントのパスワードの更新はお薦めしませんが、まれにそれが必要になる場合があります。
AGENTUSR#
パスワードを更新するには
- パスワードを更新する必要があるAudit Vault Agentを非アクティブ化します。「Audit Vault Agentの非アクティブ化と削除」を参照してください。
- 非アクティブ化されているすべてのAudit Vault Agentをアクティブ化します。「Audit Vault Agentのアクティブ化および起動」を参照してください。
必ず、Audit Vault Serverコンソールに表示される新しいアクティブ化キーを使用して、Audit Vault Agentを再デプロイしてください。
AVSRCUSR#
パスワードを更新するには
- すべての監査証跡を停止します。「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください。
-
avsys
ユーザーのロックを解除します。AVSYSユーザーのロック解除を参照してください。
ノート:
このタスクが完了したら、必ずavsys
アカウントを再ロックしてください。 - パスワードを更新する必要があるすべてのアカウントについて、次を実行します。
alter user <user_name> identified by <password>;
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
- すべての監査証跡を開始します。「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください
14.11 AVREPORTUSERパスワードのローテーション
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
avsys
およびavreportuser
アカウントをロック解除します。-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
次のコマンドを実行して
avsys
およびavreportuser
をロック解除し、パスワードを変更します。alter user avsys identified by <avsys_password> account unlock; alter user avreportuser identified by <avreportuser_new_password> account unlock;
-
SQL*Plusを終了します。
exit
ノート:
このタスクが完了したら、必ずavsys
およびavreportuser
アカウントを再ロックしてください。-
-
oracle
ユーザーに切り替えます。su - oracle
avreportuser
アカウントの新しいパスワードを指定して、次のコマンドを実行します。/var/lib/oracle/dbfw/bin/avca create_credential -wrl $ORACLE_HOME/network/admin/avwallet -dbalias AV_AUDITOR_USER
- プロンプトに従って、
source user name
にavreportuser
と入力します。 - 新しい
avreportuser
パスワードの<avreportuser_new_password>
を2回指定します。
- プロンプトに従って、
- SQL*Plusを使用して、既存のデータベース・リンク
avrptusr_link.dbfwdb
をoracle
ユーザーとして削除します。sqlplus avsys/<avsys_password> drop database link avrptusr_link.dbfwdb; exit
avrptusr_link.dbfwdb
データベース・リンクをoracle
ユーザーとして再作成します。/var/lib/oracle/dbfw/bin/avca create_report_user_dblink
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
- 次のコマンドを実行します。
/usr/local/dbfw/bin/javafwk restart
14.12 ORDS_PUBLIC_USER
ユーザー・パスワードのローテーション
ORDS_PUBLIC_USER
データベース・ユーザーのパスワードを、期限切れになる前にローテーションする方法を学習します。
ORDS_PUBLIC_USER
ユーザーをロック解除します。-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
次のコマンドを実行して
ORDS_PUBLIC_USER
のロックを解除します:alter user ORDS_PUBLIC_USER identified by new_password account unlock;
-
SQL*Plusを終了します。
exit
-
apex.xml
ファイルを新しいORDS_PUBLIC_USER
パスワードで更新します。apex.xml
ファイルがあるディレクトリに移動します。cd var/lib/oracle/ords/conf/ords/conf
- 編集のために
apex.xml
ファイルを開きます。vi apex.xml
- パスワードを更新します。パスワードの前に必ず
!
を入れてください。<entry key="db.password">!new_password</entry>
- 変更を保存して編集を終了します。
:wq!
- ORDSを再起動します
-
root
ユーザーに切り替えます。su - root
ノート:
OCIマーケットプレイス・イメージを使用している場合は、sudo su -
コマンドを使用します。 - 次のコマンドを実行します。
systemctl stop ords
- 次のコマンドを実行します。
systemctl start ords
-
ORDS_PUBLIC_USER
ユーザーをロック解除します。-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
次のコマンドを実行して
ORDS_PUBLIC_USER
のロックを解除します:alter user ORDS_PUBLIC_USER identified by new_password account unlock;
-
SQL*Plusを終了します。
exit
-
- ウォレット・ファイル内のパスワードを更新します。
-
root
ユーザーに切り替えます。su - root
ノート:
OCIマーケットプレイス・イメージを使用している場合は、sudo su -
コマンドを使用します。 -
oracle
ユーザーに切り替えます。su - oracle
JAVA_PATH
およびPATH
変数を設定します。JAVA_PATH=/usr/java/jdk-11/bin export PATH=/var/lib/oracle/ords/bin:$PATH export PATH=$JAVA_PATH:$PATH
- ウォレット・ファイルを開き、プロンプトが表示されたらパスワードを更新します。
ords --config /var/lib/oracle/ords_conf config secret db.password
-
- ORDSを再起動します
-
root
ユーザーに切り替えます。su - root
ノート:
OCIマーケットプレイス・イメージを使用している場合は、sudo su -
コマンドを使用します。 - 次のコマンドを実行します。
systemctl stop ords
- 次のコマンドを実行します。
systemctl start ords
-