2 クラウド管理インフラストラクチャの設定

この章では、Enterprise Managerクラウド管理ソリューションの使用開始前に必要な初期設定について説明します。

この章の内容は以下のとおりです。

• 自己更新の設定

• 必要なプラグインのデプロイ

• ロールの定義およびユーザーの割当て

• LDAP認証の構成

• 権限委任設定の構成

• セルフ・サービス・ログイン・ページのカスタマイズ

ノート:

Enterprise Manager 12.1.0.4リリース以上では、Enterprise Managerのインストール中にソフトウェア・ライブラリが構成されます。別途構成する必要はありません。

自己更新の設定

自己更新機能では、公式なリリースの間に新規および更新機能が使用可能になると、すぐにEnterprise Managerコンポーネントが更新されるため、Enterprise Managerの機能を強化できます。オラクル社では、リリース間の機能的な更新をEnterprise Managerストアに公開することでその入手を可能にし、この外部サイトは、利用可能な更新についての情報を得るためにEnterprise Managerによって定期的にチェックされます。

Oracle Cloudプラットフォームの更新可能なエンティティには、次のものがあります。

• クラウド・プラグイン。「必要なプラグインのデプロイ」を参照してください

• Oracle VMテンプレートおよびアセンブリ。「自己更新を使用したOracle VM TemplatesおよびOracle Virtual Assembliesのダウンロード」を参照してください。

• データベース・プロビジョニング・プロファイル。「データベース・テンプレートを使用したコンテナ・データベース・プロビジョニング・プロファイルの作成」を参照してください。

自己更新機能を使用する前に、次の前提条件を満たしている必要があります。

• 更新をオンライン・モードで適用している場合、My Oracle Supportの資格証明はSYSMANユーザーを使用して設定されていることを確認してください。これは、My Oracle Supportサイトからのエンティティのダウンロードに必要です。

• ソフトウェア・ライブラリ(ローカル・ストアとも呼ばれています)が構成されていること。更新は、Enterprise Managerにデプロイされる前に、このローカル・ストアにダウンロードされます。

自己更新の設定手順は、次の各項を参照してください。

• Enterprise Manager自己更新モードの設定

• ユーザーへの自己更新権限の割当て

• EM CLIユーティリティの設定(オプション)

Enterprise Manager自己更新モードの設定

Enterprise Managerの自己更新機能を設定または変更するためには、Enterprise Managerスーパー管理者権限を持っている必要があります。

1. スーパー管理者権限のある管理者としてEnterprise Managerにログインします。
2. 「設定」メニューで、「拡張性」、「自己更新」の順に選択します。自己更新コンソールがデフォルト設定で表示されます。
3. 「一般」ステータス領域から、「接続モード」ステータスをクリックして、オフライン・モードまたはオンライン・モードのいずれかを設定します。パッチ適用設定ページに移動したら、オンラインおよびオフライン設定を指定します。
4. 必要な接続モードを設定したら、自己更新コンソールに戻ります。

   ここから、エンティティ・タイプを選択し、Enterprise Manager Updateストアからの更新をスケジュールすることができます。

ユーザーへの自己更新権限の割当て

Enterprise Manager管理者は、自己更新機能を使用するのに必要な権限を持っている必要があります。Enterprise Managerスーパー管理者が、自己更新に関する次のロールを管理者に割り当てる必要があります。

• VIEW_SELF_UPDATE: 自己更新コンソールを表示し、ダウンロードと適用ジョブのステータスをモニターできます。

• MANAGE_SELF_UPDATE: ダウンロードと適用ジョブをスケジュールできます。更新の抑止と抑止解除も可能です。この権限には、暗黙的にVIEW_SELF_UPDATEが含まれます。

• EM_INFRASTRUCTURE_ADMIN: すべての自己更新操作を実行できます。この権限には、暗黙的にMANAGE_SELF_UPDATEが含まれます。

デフォルトでは、スーパー管理者にはEM_INFRASTRUCTURE_ADMIN権限が付与されます。

自己更新の権限を通常のEnterprise Manager管理者に割り当てるには:

1. 「設定」メニューから、「セキュリティ」,、「管理者」の順に選択します
2. 管理者を選択し、「編集」をクリックします。
3. ロール・ページから、適切な自己更新ロールを割り当てます。

EM CLIユーティリティの設定(オプション)

ソフトウェア更新をオフライン・モードで適用する場合、Enterprise Managerコマンドライン・ユーティリティ、つまりEM CLIを使用して、デプロイ用のエンティティ・アーカイブをEnterprise Managerにインポートする必要があります。

EMCLIの設定手順を示すページがEnterprise Manager Cloud Controlコンソールに表示されます。Cloud Controlコンソールへのアクセスに使用するURLに/console/emcli/downloadを追加して、ページにアクセスします。

https://emcc_host:emcc_port/em

たとえば:

https://emcc_host:emcc_port/em/console/emcli/download

必要なプラグインのデプロイ

Enterprise Manager Cloud Controlで使用可能な機能の多くは、プラグインを介して使用可能になります。その名前が示すように、プラグインは、管理およびモニタリング機能を拡張するために、既存のEnterprise Managerインストールに連結できるコンポーネントまたはモジュールです。

Oracle Cloud Managementソリューションを集合的に構成する機能は、Oracle Management Service (OMS)にデプロイする必要のあるいくつかのプラグインにより提供されます。各クラウド・モデルを有効にするためにデプロイする必要のあるプラグインは、次に示すとおりです。

クラウドを有効にするために必要なプラグインは、次の2つの方法でデプロイできます。

• まだEnterprise Manager Cloud Controlをインストールしていない場合、またはEnterprise Managerの最新リリースにアップグレードしていない場合、インストールまたはアップグレードのプロセスの一部として、プラグインをデプロイできます。「拡張インストール」モードを選択して、「プラグインの選択」画面でインストールするプラグインを選択します。
• Enterprise Manager Cloud Control 13cのインストールが済んでいる場合は、必要なプラグインをソフトウェア・ライブラリにダウンロードする必要があります。それにより、Oracle Management Service (OMS)にプラグインをデプロイできます。

  プラグインをダウンロードしてデプロイする手順は、 『Enterprise Manager Cloud Control管理者ガイド』 を参照してください。

デフォルトのプラグインは次に使用できます。

• Oracle Database
• Oracle Fusion Middleware
• Oracle Cloud Framework

ノート:

Oracle Consolidation Planning and Chargebackプラグインは、すべてのサービス・ファミリ用のオプションのプラグインであり、Chargebackの機能を使用している場合にのみ必要です。

すべてのクラウド・プラグインとそのバージョン番号の完全なリストは、「サポートされているプラグイン」を参照してください。使用可能なプラグインの更新をすべてチェックし、最新のバージョンがダウンロードされていることを確認してください。

Infrastructure as a Service (IaaS)の有効化に必要なプラグイン

• Oracle Cloud Application in Self Update
• Oracle Virtualization in Self Update
• Oracle Virtual Infrastructure in Self Update
• Oracle Cloud Framework in Self Update
• Oracle Consolidation Planning and Chargeback

Database as a Service (DBaaS)の有効化に必要なプラグイン

• Oracle Cloud Application
• Oracle Virtualization
• Oracle Consolidation Planning and Chargeback
• Oracle Database
• Oracleストレージ管理フレームワーク
• Oracle Cloud Framework in Self Update

ノート:

プラグイン・バージョンのアップグレード時には、次の順序でアップグレードします。

1. Oracle Cloud Application
2. Oracle Database
3. Oracle Fusion Middleware (Middlewareの操作を実行しない場合も必須です)
4. Oracle Virtualization
5. Oracle Cloud Framework (このプラグインは、Oracle Fusion Middlewareプラグインがアップグレードされている場合にのみアップグレードできます)
6. Oracle Storage Management

Xenベース・システムの直接モニタリングに必要なプラグイン

• Oracle Virtual Infrastructure

ロールの定義およびユーザーの割当て

ロールは、関連するシステムおよびオブジェクト権限の名前付きグループです。ロールを作成し、ユーザーおよび他のロールに割り当てることができます。任意の既存のロールを、新規ロールおよび関連する権限に割り当てることができます。Enterprise Managerには、クラウド・セルフ・サービス・ポータル用に、即時利用可能な次の4つのロールがあります。

• EM_CLOUD_ADMINISTRATOR: このロールを持つユーザーは、クラウド・インフラストラクチャの設定と管理ができます。このロールは、クラウド・インフラストラクチャ(サーバー、ゾーン、ストレージおよびネットワーク)のデプロイ、およびインフラストラクチャ・クラウドのパフォーマンスおよび構成管理のための操作を担当します。このユーザーには次の権限があります。

  • すべてのサービスおよびサービス・ファミリへのアクセス権。

  • 任意のサービスまたはサービス・ファミリを管理する権限。

  • 任意のターゲットを表示する権限。

• EM_SSA_ADMINISTRATOR: このロールを持つユーザーはセルフ・サービス・ユーザーの割当て制限と制約を定義し、アクセス権限を付与できます。このロールを持つユーザーはまた、プロビジョニングおよびパッチ・デザイナの権限を持ち、デプロイメント・プロシージャの作成および保存を行い、パッチ計画を作成および表示し、管理エージェント上のプラグインのライフサイクルをサポートします。これらの権限は、インフラストラクチャの初期設定および進行中のメンテナンスに必要です。このユーザーには次の権限があります。

  • すべてのサービスおよびサービス・ファミリへのアクセス権。

  • 任意のサービスまたはサービス・ファミリを管理する権限。

  • 任意のターゲットを表示する権限。

  このデフォルト・ロールとは別に、特定のサービス・ファミリおよび特定のサービスへのアクセス権を持つカスタム・セルフ・サービス管理者ロールを作成できます。

• EM_SSA_ADMINISTRATOR_BASE: このロールを持つユーザーは、どのサービスまたはサービス・ファミリにもアクセスできません。このユーザーには「任意のターゲットの表示」権限のみあります。

• EM_SSA_USER: このロールを持つユーザーは、デフォルトで、セルフ・サービス・ポータルおよびすべてのサービス・ファミリにのみアクセスできます。EM_SSA_ADMINISTRATORロールを持つ管理者は、EM_SSA_USERロールを持つユーザーに対して、Enterprise Managerのその他の機能にアクセスする追加の権限を付与できます。

• EM_SSA_USER_BASE: このロールを持つユーザーは、セルフ・サービス・ポータルにアクセスできますが、どのサービス・ファミリにもアクセスできません。このロールを持つユーザーには、特定のサービス・ファミリ(DBaaSなど)に対するアクセス権を明示的に付与する必要があります。このユーザーには次の権限があります。

  • サービス・リクエストを発行できます。

  • PaaSインフラストラクチャ・ゾーン・ターゲットを表示できます。

次の表に、それぞれのユーザーに関連するロールを示します。

ユーザー・プロファイル	EM_CLOUD_ADMINISTRATOR	EM_SSA_ADMINISTRATOR	EM_SSA_USER	EM_SSA_USER_BASE
ユーザーの作成に必要な最低限のロール	EM_CLOUD_ADMINISTRATOR PUBLIC EM_USER	EM_SSA_ADMINISTRATOR PUBLIC EM_USER	EM_SSA_USER EM_SSA_USER_BASE	EM_SSA_USER_BASE
ユーザーの作成時に削除されるロール	なし	なし	PUBLIC EM_USER	なし
なし	必要に応じて特別なロールを追加できます		なし	なし

Oracle Cloudセルフ・サービス・ポータルは、エンドユーザーが独自のクラウド・サービスをプロビジョニングおよび管理できるようにするためのものです。EM_CLOUD_ADMINISTRATORおよびEM_SSA_ADMINISTRATORロールを持つユーザーにより実行される機能は、Enterprise Manager全体で一貫性があるため、これらの即時利用可能なロールはそのままで使用できます。EM_CLOUD_ADMINISTRATORおよびEM_SSA_ADMINISTRATORロールを持つユーザーさえ作成すればよいのです。

特定のサービス・ファミリおよび特定のサービス・タイプへのアクセスを制限する場合は、即時利用可能なEM_SSA_ADMINISTRATORロールに基づくカスタム・セルフ・サービス管理者ロールを作成できます。

しかし、EM_SSA_USERロールとEM_SSA_USER_BASEロールは、割当て制限の割当て、およびPaaSインフラストラクチャ・ゾーンおよびサービス・テンプレートへのアクセス制限に使用されます。この場合、事前定義のこのロールは、定義どおりに使用できません。「セルフ・サービス・アプリケーション管理者およびユーザーのカスタム・ロールの作成」で説明するとおり、標準のEM_SSA_ROLEロールとEM_SSA_USER_BASEロールに基づいてカスタム・セルフ・サービス・ユーザー・ロールを作成する必要があります。カスタム・ロールの作成後、ユーザーをこのロールに割り当てる必要があります。

たとえば、DBaaSクラウド設定では、次のユーザーを作成できます。

• CLOUD_ADMIN: このユーザーは、EM_CLOUD_ADMINISTRATORロールを持ち、ネットワーク・システム、ストレージおよび管理アクティビティを担当します。

• SSA_ADMIN_DBAAS: このユーザーにはEM_SSA_ADMINISTRATORロールがありますが、データベース・サービス・ファミリにのみアクセスできます。このロールを持つユーザーは、すべてのデータベース管理アクティビティを担当します。データベース・サービス・ファミリ内の特定のサービス・タイプへのアクセス権のみ付与することで、アクセスをさらに制限できます。

• SSA_USER_DBAAS: この場合、デフォルトのEM_SSA_USERロールはカスタマイズが必要で、カスタム・ロールを作成する必要があります。このロールのユーザーは、通常、下級のデータベース管理者、開発者またはテスト実施者です。

• SSA_USER_BASE_DBAAS: この場合、EM_SSA_USER_BASEロールのコピーを作成し、データベース・サービス・ファミリへのアクセス権をこのロールに付与する必要があります。その後に、データベース・クラウド・セルフ・サービス・ポータルにアクセス可能なSSA_USER_BASEユーザーを作成できます。

ユーザーおよびロールの詳細は、『Oracle Enterprise Manager Cloud Controlセキュリティ・ガイド』を参照してください。

セルフ・サービス・アプリケーション管理者およびユーザーのカスタム・ロールの作成

ここでは、以下の項目について説明します。

• EM_SSA_ADMINISTRATORロールに基づくカスタム・ロールの作成

• EM_SSA_USERロールに基づくカスタム・ロールの作成

• EM_SSA_USER_BASEロールに基づくカスタム・ロールの作成

EM_SSA_ADMINISTRATORロールに基づくカスタム・ロールの作成

カスタム・セルフ・サービス管理者ロールを作成し、データベース・サービス・ファミリへのアクセス権を付与できます。このロールを持つユーザーに、すべてのサービス・タイプまたは特定のサービス・タイプへのアクセスおよびサービスの表示または管理の権限を付与できます。カスタム・ロールを作成するには、次のステップに従います。

1. スーパー管理者ユーザーとしてEnterprise Managerにログインします。
2. 「設定」メニューから、「セキュリティ」、「ロール」の順に選択します。
3. ロール・ページで「作成」をクリックし、ロールの作成ウィザードを起動します。
4. ロールの名前(SSA_ADMIN_DBAAS)と説明を入力し、「次へ」をクリックします。
5. 「使用可能なロール」の一覧からEM_SSA_ADMINISTRATORロールを選択し、「選択したロール」の表に移します。「次へ」をクリックします。
6. デフォルトのターゲット権限を承認して「次へ」をクリックします。
7. リソース権限ページで、クラウド・サービス・ファミリの「編集」アイコンをクリックします。リソース権限ページで、「追加」をクリックして「DBAAS」を選択し、「続行」をクリックして権限の管理ページに戻ります。

   ノート:

   このロールを持つユーザーがすべてのDBaaSサービス・タイプを表示および管理できるようにする場合は、「リソース権限付与の管理」アイコンをクリックし、次の権限を選択します。

   • サービス・ファミリの表示

   • サービス・ファミリの管理

8. 「続行」をクリックして「リソース権限」ページに戻ります。クラウド・サービス・タイプの「編集」アイコンをクリックします。「追加」をクリックし、権限を付与するデータベース・サービス・タイプを選択します。次のいずれかを選択できます。

   • DB

   • PDB

   • スキーマ

9. 「クラウド・サービス・タイプ」リソース・タイプの「リソース権限付与の管理」をクリックします。次の権限を選択します。

   • サービス・タイプの管理

   • サービス・タイプの表示

10. 「続行」をクリックして「リソース権限」ページに戻ります。
11. 変更を確認して「終了」をクリックし、カスタムのSSAユーザー・ロール(SSA_ADMIN_DBAAS)を作成します。

EM_SSA_USERロールに基づくカスタム・ロールの作成

一般的には、開発者、テスト実施者、本番DBAといった異なる機能グループ用、またはSiebel DBAチーム、BRM DBAチーム、カスタムJavaアプリケーションをホストするためのオペレーション・チームといった異なるカスタマ・チーム用のどちらかのために、新規のSSAユーザー・ロールを作成する必要があります。データベース・サービス・ファミリへのアクセス権のみ持ち、リクエストを発行できるカスタムSSAユーザー・ロールを作成するには、次のステップに従います。

1. スーパー管理者ユーザーとしてEnterprise Managerにログインします。
2. 「設定」メニューから、「セキュリティ」、「ロール」の順に選択します。
3. ロール・ページで「作成」をクリックし、ロールの作成ウィザードを起動します。
4. ロールの名前と説明(SSA_USER_DBAAS)を指定します。
   「プライベート・ロール」を選択することもできます。このロールは、デフォルトでは付与されない安全な権限(FULL_CREDENTIALやFULL_JOBなど)をスーパー管理者に付与します。プライベート・ロールをシステム・ロールに変換することはできません。プライベート・ロールの作成者は、そのライフ・サイクルを管理します。

   「次へ」をクリックします。

5. 「使用可能なロール」のリストからEM_SSA_USERロールを選択して、「選択したロール」の表に「移動」します。「次」をクリックします。
6. デフォルトのターゲット権限を承認して「次へ」をクリックします。
7. 「リソース権限」ページで、次のリソース・タイプが選択されていないことを確認します。
   • JVM診断のクラウド・セルフ・サービス・ポータル
   • テスト向けクラウド・セルフ・サービス・ポータル
   • インフラストラクチャ・セルフ・サービス・ポータル
8. 「クラウド・サービス・ファミリ」リソース・タイプの「権限付与の管理」で鉛筆のアイコンをクリックします。「リソース・タイプ権限」リージョンで、「任意のサービス・ファミリの表示」チェック・ボックスを選択します。
9. 「リソース権限」で「追加」をクリックし、DBAASサービス・ファミリを選択して「続行」をクリックします。
10. 「ロールの作成: 管理者」のステップをスキップし、「次」をクリックします。
11. 変更を確認して「終了」をクリックし、カスタムのSSAユーザー・ロール(SSA_USER_DBAAS)を作成します。

EM_SSA_USER_BASEロールに基づくカスタム・ロールの作成

一部のセルフ・サービス・ユーザーを制限してすべてのサービス・ファミリを使用できないようにし、その必要に応じて特定のサービス・タイプにのみアクセスを許可できます。この場合、EM_SSA_USER_BASEロールに基づいてカスタム・ロールを作成し、それらに特定のサービス・タイプのみに対するアクセス権を付与できます。

カスタムのSSAユーザー・ロールを作成するステップ:

1. スーパー管理者ユーザーとしてEnterprise Managerにログインします。
2. 「設定」メニューから、「セキュリティ」、「ロール」の順に選択します。
3. ロール・ページで「作成」をクリックし、ロールの作成ウィザードを起動します。
4. ロールの名前(SSA_USER_BASE_DBAAS)と説明を入力し、「次へ」をクリックします。
5. 「使用可能なロール」の一覧からEM_SSA_USER_BASEロールを選択し、「選択したロール」の表に移します。「次へ」をクリックします。
6. デフォルトのターゲット権限を選択し、「次へ」をクリックします。
7. リソース権限ページで、「クラウド・リクエスト」リソース・タイプの「権限付与の管理」アイコンをクリックします。
8. リソース権限ページで、「任意のクラウド・リクエストの作成」チェック・ボックスの選択を解除し、「続行」をクリックします。
9. 「クラウド・サービス・ファミリ」および「クラウド・サービス・タイプ」リソース・タイプの横の「権限付与の管理」アイコンをクリックし、アクセスする必要のあるサービス・ファミリおよびサービス・タイプを選択します。
10. 「ロールの作成: 管理者」のステップをスキップし、「次へ」をクリックします。
11. 変更を確認して「終了」をクリックし、カスタムのSSAユーザー・ロール(SSA_USER_BASE_DBAAS)を作成します。このユーザーは、データベース・クラウド・セルフ・サービス・ポータルにのみアクセスできます。

ユーザーの作成およびロールの割当て

SSA_USER1と呼ばれるユーザーを作成し、前のステップで作成したカスタム・ロール権限(SSA_USER_DBAAS)を付与するには、次のステップに従います。

1. スーパー管理者ユーザーとしてEnterprise Managerにログインします。
2. 「設定」メニューから、「セキュリティ」,、「管理者」の順に選択します
3. 管理者ページで、「作成」をクリックし、管理者の作成ウィザードを起動します。
4. ユーザー(SSA_USER1)の名前とパスワードを入力して、パスワードを確認します。これらは必須のフィールドです。
   次のオプションの情報も入力できます。

   • パスワード・プロファイル: プロファイルのリストから選択します。
   • パスワード変更の回避: 管理者は自身のパスワードを変更できません。
   • パスワード即期限切れ: 管理者アカウントは、次回ログイン時にパスワードの変更を強制するために期限切れとして作成されます。
   • 電子メール・アドレス: 通知用に1つ以上の電子メール・アドレスを設定します。
   • 連絡先: 連絡先の名前。
   • 場所: データベースの場所。
   • 部門: データベースに関連付けられた部門。
   • コスト・センター: データベースに関連付けられたコスト・センター。
   • ライン・オブ・ビジネス: データベースに関連付けられたビジネス・ライン。
   • 説明: データベースの説明。
   • スーパー管理者: スーパー管理者としてユーザーを有効にするには、このチェック・ボックスを選択します。

   完了したら、「次」をクリックします。
5. 「管理者Test_Adminの作成: ロールページで、「使用可能なロール」のリストからSSA_USER_DBAASロールを選択し、「選択したロール」表に「移動」します。「選択したロール」表からEM_USERロールとPUBLICロールを「削除」します。
   「次へ」をクリックします。
6. デフォルトのターゲット権限を承認して「次へ」をクリックします。
7. デフォルトのリソース権限を承認して「次へ」をクリックします。
8. 変更を確認して「終了」をクリックし、SSA_USER1ユーザーを作成します。

   ヒント:

   同じロールを持つ複数のユーザーを作成する場合は、ユーザーを選択して「類似作成」をクリックします。これにより、同じソース・プロパティで新しいユーザーが作成されます。新しいユーザーに応じて名前、説明およびオプションのフィールドを更新します。

ノート:

EM_CLOUD_ADMINISTRATORおよびEM_SSA_ADMINISTRATORロールを持つユーザーの場合、追加機能へのアクセスが必要なので、EM_USERおよびPUBLICロールを保持する必要があります。

スナップ・クローンのストレージ・サーバーを管理するためのロールおよび権限の付与

様々なストレージ・サーバー・アクティビティを実行するには、次のロールおよび権限を付与する必要があります。

• 一般的な権限の付与

• ターゲット権限の付与

• ロールの付与

• プロビジョニング用の権限の付与

一般的な権限の付与

表2-1に、ストレージ・サーバーを登録する前に設定する必要がある一般的な権限を示します。

表2-1 ストレージ・サーバーの登録および管理の一般的な権限

権限	説明	有効範囲	概念	含まれる権限
VIEW_ANY_STORAGE	ストレージを表示する機能。	クラス	VIEW	nil
REGISTER_STORAGE	ストレージを登録する機能。	クラス	CREATE	nil
VIEW_STORAGE	ストレージ詳細を表示する機能。	オブジェクト	VIEW	nil
MANAGE_STORAGE	ストレージを同期する機能。	オブジェクト	EDIT	VIEW_STORAGE CREATE_JOB
MANAGE_ANY_STORAGE	登録されたストレージ・サーバーを管理する機能。	オブジェクト	EDIT	VIEW_ANY_STORAGE CREATE_JOB
FULL_STORAGE	ストレージを変更または削除する機能。	オブジェクト	FULL	MANAGE_STORAGE

ターゲット権限の付与

表2-2に、ターゲットのスナップ・クローンを有効化または無効化するために設定する必要があるターゲット権限を示します。

表2-2 スナップ・クローンを有効化または無効化するターゲット権限

ターゲット権限	有効範囲	概念	含まれる権限	含まれる権限	適用可能なターゲット・タイプ
SNAP_CLONE_TARGET	オブジェクト	管理	FULL_TARGET	VIEW_TARGET	oracle_database rac_database

ロールの付与

表2-3には、ストレージ・サーバーを登録し、登録されたストレージ・サーバーで様々なアクティビティを実行できるようにするために付与する必要があるロールが表示されます。

表2-3 ストレージ・サーバーを登録および管理するロール

ロール	説明	セキュリティ・クラス	権限	付与対象のロール
EM_STORAGE_ADMINISTRATOR	ロールは、ストレージ・ハードウェアをスナップ・クローン用に登録する権限を持ちます。	STORAGE STORAGE TARGET TARGET NAMED_CREDENTIALS JOB SWLIB_ENTITY_MGMT	MANAGE_ANY_STORAGE REGISTER_STORAGE VIEW_ANY_TARGET PERFORM_OPERATION_ANYWHERE CREATE_CREDENTIAL CREATE_JOB SWLIB_CREATE_ANY_ENTITY SWLIB_VIEW_ANY_ENTITY	EM_ALL_ADMINISTRATOR
EM_STORAGE_OPERATOR	ロールは、ストレージ・ハードウェアをスナップ・クローン用に管理する権限を持ちます。	STORAGE TARGET TARGET JOB SWLIB_VIEW_ANY_ENTITY	MANAGE_ANY_STORAGE VIEW_ANY_TARGET PERFORM_OPERATION_ANYWHERE CREATE_JOB SWLIB_VIEW_ANY_ENTITY	EM_ALL_OPERATOR

プロビジョニング用の権限の付与

プロビジョニング用にストレージ・サーバーを使用できるようにするには、次の権限が必要です。

• ストレージ・サーバーにVIEW_STORAGE
• ストレージ・サーバーにGET_CREDENTIAL
• ストレージ・サーバーのすべての管理エージェント資格証明にGET_CREDENTIAL
• ストレージ・サーバー管理エージェントにPERFORM_OPERATION

LDAP認証の構成

Oracle Enterprise ManagerにはOracle環境の安全な管理に役立つツールと手順が用意されています。Enterprise Managerの認証フレームワークは、環境に最も適した認証プロトコルを使用可能にするプラガブルな認証スキームで構成されています。次の認証スキームがあります。

• Oracle Access Manager(OAM) SSO

• リポジトリベースの認証

• SSOベースの認証

• エンタープライズ・ユーザー・セキュリティベースの認証

• Oracle Internet Directory(OID)ベースの認証

• Microsoft Active Directoryベースの認証

エンタープライズ・ユーザー・セキュリティ(Enterprise User Security: EUS)により、LDAP準拠のディレクトリ・サーバーからのユーザーとロールの自動認証が可能となります。

エンタープライズ・ユーザー・セキュリティの詳細は、『Enterprise Manager Cloud Controlセキュリティ・ガイド』を参照してください。

権限委任設定の構成

権限委任により、別のユーザーの権限を使用したアクティビティの実行をログイン・ユーザーに許可します。sudoおよびPowerbrokerは、ログイン・ユーザーにこれらの権限を割当てできる権限委任ツールです。これらの権限委任設定は、ホスト上のすべてのプロビジョニングおよびパッチ・アクティビティに使用されます。

権限委任設定構成の詳細は、『Oracle Enterprise Manager Cloud Controlセキュリティ・ガイド』を参照してください。

セルフ・サービス・ログイン・ページのカスタマイズ

Enterprise Managerを構成して、SSAユーザーに特定のアクセスを提供できます。SSAユーザー用にEnterprise Managerを構成するには、OMSにいくつかのプロパティを設定し、必要なイメージを特定のディレクトリにコピーします。ここでは、以下の項目について説明します。

• セルフ・サービス・ログイン・ページの構成

• Enterprise Managerのログイン・ページへの切替え

• 特定のOMSプールへのSSAリクエストのルーティング

セルフ・サービス・ログイン・ページの構成

すべてのSSAユーザーに個別にSSAログイン・ページを起動するには、次の操作を行う必要があります。

• すべてのOMSで、次の必須プロパティを設定します。

  $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.ssa_oms -value true

  このプロパティがtrueに設定されていない場合、標準のEnterprise Managerのログイン・ページが表示されます。

• 次のオプションのOMSプロパティを設定します。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.show_cloud_provider_brand -value true

    このプロパティがtrueに設定されていない場合、デフォルトのOracle Enterprise Manager 12cのロゴが表示されます。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.show_cloud_tenant_brand -value true

    このプロパティがtrueに設定されていない場合、テナントのロゴは表示されません。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.cloud_provider_alt_text -value "Cloud Provider"

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.cloud_tenant_alt_text -value "Cloud Tenant"

    これらのプロパティはオプションで、設定されていない場合、「クラウド・プロバイダ」および「クラウド・テナント」のデフォルト値が表示されます。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.show_disclaimer_text -value true

    このプロパティがtrueに設定されていない場合、デフォルトのOracleコピーライト・メッセージが表示されます。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.disclaimer_text -value "Customer specified Disclaimer text"

    このプロパティがtrueに設定されていない場合、デフォルトのOracleコピーライト・メッセージのかわりに、指定した免責条項のテキストが表示されます。

  • $ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.show_em_branding_text -value true

    このプロパティがfalseに設定されていない場合、「Powered by Oracle Enterprise Manager」のテキストが、「セルフ・サービス・ログイン」ページに表示されます。

• 次のイメージを$ORACLE_HOME/sysman/config/ディレクトリにコピーします。

  • cloud_provider_small_brand.png

  • cloud_tenant_small_brand.png

    1つのイメージを使用する場合は、推奨最大サイズは500*20ピクセルです。2つのイメージを使用する場合は、推奨最大サイズは1イメージ当たり200 * 20ピクセルです。OMSのプロパティoracle.sysman.ssa.logon.show_cloud_provider_brandおよびoracle.sysman.ssa.logon.show_cloud_tenant_brandが設定されている場合は、ログイン後、Oracleのロゴにかわり、これらのイメージが表示されます。OMSのプロパティoracle.sysman.ssa.logon.show_cloud_provider_brandがtrueに設定されていない場合は、テナントのロゴとともに、デフォルトのOracleロゴが表示されます。

  • cloud_provider_large_brand.png

  • cloud_tenant_large_brand.png

    1つのイメージを使用する場合は、推奨最大サイズは525*60ピクセルです。2つのイメージを使用する場合、推奨最大サイズは1イメージ当たり250 * 50ピクセルです。OMSプロパティのoracle.sysman.ssa.logon.show_cloud_provider_brandおよびoracle.sysman.ssa.logon.show_cloud_tenant_brandが設定されている場合は、これらのイメージがログイン・ページに表示されます。

Enterprise Managerのログイン・ページへの切替え

デフォルトのEnterprise Managerログイン・ページに戻すには、次のプロパティを設定します。

$ORACLE_HOME/bin/emctl set property -name oracle.sysman.ssa.logon.ssa_oms -value false

特定のOMSプールへのSSAリクエストのルーティング

Oracle Management Service (OMS)は、Oracle Management Agent (管理エージェント)およびプラグインとともに機能するEnterprise Manager Cloud Controlのコア・コンポーネントの1つで、ターゲットを検出してモニターおよび管理を行い、今後の参照および分析のために、収集された情報をリポジトリ内に格納します。

初めてEnterprise Managerをインストールすると、デフォルトで、1つのOMSが1つの管理エージェントとともにインストールされます。このデフォルトの構成は、小規模な環境に適しています。複数のSSAユーザーがいるより大規模な本番環境では、単一のOMSの負荷を軽減し、データ・フローの効率を向上させるため、追加のOMSインスタンスをインストールする必要があります。その後、サーバー・ロード・バランサ(SLB)を構成して、すべてのSSAリクエストを特定のOMSプールにリダイレクトすることができます。その結果、他のOMSプールを管理用に使用することができます。複数のOMSインスタンスおよびSLBの設定についてさらに学習するには、『Oracle Enterprise Manager Cloud Control基本インストレーション・ガイド』のOracle Management Serviceの追加に関する項を参照してください。

SSAリクエストをリダイレクトするには、次のSLB構成を指定する必要があります。

https://<slb_host_name>:<slb_em_port>/em redirecting to oms for em

https://<slb_host_name>:<slb_ssa_port>/em redirecting to oms for ssa

SSAおよび非SSA OMSプールは、ポート番号で区別されます。特定のポート番号のリクエストはすべて特定のOMSプール(SSA OMSプール)にリダイレクトされ、他のリクエストはすべて他のプールにリダイレクトされます。