1. 管理者ガイドforリリース3.0.2
  2. 管理者アカウント管理
機械翻訳について

3 管理者アカウント管理

この章では、デフォルト管理者が追加の管理者アカウントを作成する方法と、「サービス・エンクレーブ」が管理者アカウントの権限、プリファレンス、パスワードを制御する方法を説明します。

技術的なバックグラウンド情報は、「Oracle Private Cloud Appliance概要ガイド」にあります。 アプライアンス管理の概要の章の「アクセスの管理」の項を参照してください。

新しい管理者アカウントの作成

システムの初期化中に、デフォルトの管理者アカウントが設定されます。 このデフォルト・アカウントは削除できません。 これにより、追加の管理者アカウントを作成および管理できる「サービス・エンクレーブ」へのアクセスが提供されます。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、ユーザーをクリックします。

  2. ユーザーの作成をクリックして、ユーザーの作成ウィンドウを開きます。

  3. 次の詳細を入力します。

    • 名前: この管理者アカウントの名前を入力します。 これはログインに使用される名前です。

    • 承認グループ: 新しい管理者を追加する承認グループを選択します。 この選択によって、管理者アカウントのアクセス権と権限が決まります。

    • パスワード: 新しい管理者アカウントのパスワードを設定します。 確認のために2回入力します。

  4. 「ユーザーの作成」をクリックします。 新しい管理者アカウントがユーザー表に表示されます。

「サービスCLI」の使用

  1. 承認グループのリストを表示します。 新しい管理者アカウントを作成する承認グループのIDをコピーします。 

    PCA-ADMIN> list AuthorizationGroup
Command: list AuthorizationGroup
Status: Success
Time: 2021-08-25 08:38:58,632 UTC
Data:
  id                                     name
  --                                     ----
  587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
  c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
  8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
  5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
  365ece7b-0a09-4a04-853c-7a0f6c4789f0   InternalGroup
  7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

  2. createUserInGroupコマンドを使用して、新しい管理者アカウントを作成します。

    必須パラメータは、ユーザー名、パスワードおよび認可グループです。

    PCA-ADMIN> createUserInGroup name=testadmin password=************ confirmPassword=************ authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
Command: createUserInGroup name=testadmin password=***** confirmPassword=***** authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
Status: Success
Time: 2021-08-25 08:48:53,138 UTC
JobId: 6dd5a542-4399-4414-ac3b-636968744f79

  3. 新しい管理者アカウントが正しく作成されたことを確認します。 listおよびshowコマンドを使用して、アカウント情報を表示します。 

    PCA-ADMIN> list User
Command: list User
Status: Success
Time: 2021-08-25 08:49:01,064 UTC
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> show user name=testadmin
Command: show User name=testadmin
Status: Success
Time: 2021-08-25 08:50:04,245 UTC
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

管理者資格証明の変更

管理者パスワードは、アカウントの作成時に設定されます。 自分のアカウントのパスワードは、いつでも変更できます。 権限によっては、別の管理者のパスワードを変更する権限もあります。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、ユーザーをクリックします。

  2. パスワードを変更する管理者アカウントをクリックします。 ユーザーの詳細ページが表示されます。

    または、ユーザーの詳細ページを表示するには、ページの右上隅にある自分の名前をクリックし、My Profile(自分のプロファイル)を選択します。

  3. 「パスワードの変更」をクリックすると、「パスワードの変更」ウィンドウがオープンします。

  4. 新しいアカウントのパスワードを入力します。 確認のために2回入力します。 Save Changesをクリックして新しいパスワードを適用します。

「サービスCLI」の使用

  1. 管理者アカウントのリストを表示します。 パスワードを変更するアカウントのIDをコピーします。 

    PCA-ADMIN> list User
Command: list User
Status: Success
Time: 2021-08-25 09:22:01,064 UTC
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. changePasswordコマンドを使用して、選択した管理者アカウントの新しいパスワードを設定します。 

    PCA-ADMIN> changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=************ confirmPassword=************
Command: changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=***** confirmPassword=*****
Status: Success
Time: 2021-08-25 09:22:55,188 UTC
JobId: 35710cd9-26ac-4be9-8b73-c4cf634cc121

管理者権限の管理

管理者は、許可グループまたはグループのメンバーシップを通じて権限を付与されます。 管理者アカウントを作成するときは、新しい管理者を追加する承認グループを選択します。 ただし、管理者が属している承認グループはいつでも変更できます。

詳細は、「Oracle Private Cloud Appliance概要ガイド」「アプライアンス管理の概要」セクションの「アクセスの管理」を参照してください。

「サービスWeb UI」の使用

追加の認可グループに管理者を追加するには:

  1. ナビゲーション・メニューを開き、認可グループをクリックします。

  2. 管理者を追加する承認グループをクリックします。

  3. Resourcesの下のUsersをクリックし、Add User to Groupをクリックします。

  4. ユーザーをグループに追加フォームから管理者を選択し、OKをクリックします。

承認グループから管理者を削除する前に、その管理者が他の少なくとも1つのグループに属していることを確認する必要があります。 承認グループから管理者を削除するには:

  1. 管理者を削除する認可グループにのみ属している場合は、その管理者を別の認可グループに追加

    .

  2. ナビゲーション・メニューを開き、認可グループをクリックします。

  3. 管理者を削除する承認グループをクリックします。

  4. Resourcesの下のUsersをクリックします。 承認グループ内のユーザーのリストが表示されます。

  5. リストから、削除するユーザーのアクション・メニューをクリックし、グループからユーザーを削除をクリックします。

「サービスCLI」の使用

  1. 変更する管理者アカウントのIDと、構成の変更に関与する承認グループを収集します。

    PCA-ADMIN> list User
Command: list User
Status: Success
Time: 2021-08-25 09:22:01,064 UTC
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> list AuthorizationGroup
Command: list AuthorizationGroup
Status: Success
Time: 2021-08-25 08:38:58,632 UTC
Data:
  id                                     name
  --                                     ----
  587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
  c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
  8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
  5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
  365ece7b-0a09-4a04-853c-7a0f6c4789f0   InitialGroup
  7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

  2. 管理者を認可グループに追加するには、add Userコマンドを使用します。 

    PCA-ADMIN> add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
Command: add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
Status: Success
Time: 2021-08-25 08:49:54,062 UTC
JobId: 3facde6d-acb6-4fc4-84dc-93de88eea25c

  3. 管理者アカウント詳細を表示して、行った変更を確認します。

    PCA-ADMIN> show User name=testadmin
Command: show User name=testadmin
Status: Success
Time: 2021-08-25 08:50:04,245 UTC
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  AuthGroupIds 2 = id:587fc90d-3312-41d9-8be3-1ce21b8d9b41  type:AuthorizationGroup  name:MonitorGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

  4. 認可グループから管理者を削除するには、remove Userコマンドを使用します。 

    PCA-ADMIN> remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
Command: remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
Status: Success
Time: 2021-08-25 09:10:39,249 UTC
JobId: 44110d28-70af-4a42-8eb7-7d59a3bc8295

認可グループの使用

管理者として実行できる特定の機能は、ユーザーが属する「承認グループ」によって異なります。 各認可グループには、このグループに属するユーザーがリソースにアクセスできるようにするポリシー・ステートメントが少なくとも1つアタッチされている必要があります。 ポリシー・ステートメントのない認可グループは有効ですが、そのユーザーはどのリソースにもアクセスできません。

認可グループの作成直後にポリシー・ステートメントを作成することも、後でポリシー・ステートメントを追加することもできます。 「サービスWeb UI」「サービスCLI」の両方を使用して、ポリシー・ステートメントをリストまたは削除することもできます。 また、「サービスCLI」を使用してポリシー・ステートメントを非アクティブ化できます。

ノート:

ポリシー・ステートメントは変更できません。 ポリシー・ステートメントを変更する必要がある場合は、ポリシー・ステートメントを削除してから再作成する必要があります。

詳細は、「Oracle Private Cloud Appliance概要ガイド」「アプライアンス管理の概要」セクションの「アクセスの管理」を参照してください。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、認可グループをクリックします。

  2. 「グループの作成」をクリックします。

  3. 1から255文字を使用して名前を入力し、認可グループの作成をクリックします。

    新しい承認グループの詳細ページが表示されます。

  4. Add Policy Statementをクリックします。 認可ポリシー・ステートメント・フォーム・ウィンドウが表示されます。
  5. 1文字から255文字で名前を入力します。
  6. アクションの選択: 検査、読取り、使用または管理します。
  7. ポリシー・アプリケーションを選択します:
    • リソース - ポリシーを適用するリソースを入力します。
    • 機能ファミリ - ドロップダウンから1つを選択します。
    • リソース・ファミリ - ドロップダウンから1つを選択します。

    ノート:

    リソースおよびファンクション・オプションの検索方法の詳細は、「サービスCLI」の使用の項を参照してください。
  8. Create Policy Statementをクリックします。

    新しいポリシー・ステートメントが詳細ページに表示されます。 最大100の追加ポリシー・ステートメント。

「サービスCLI」の使用

  1. 新しい承認グループを作成します。

    PCA-ADMIN> create AuthorizationGroup name=authors
Status: Success
Time: 2022-05-22 13:10:12,463 UTC
JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671
Data:
id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors
  2. create authpolicyStatementコマンドのヘルプを表示します。
    PCA-ADMIN> create authpolicyStatement ?
*action
activeState
functionFamily
resourceFamily
resources
*on
  3. リソースのオプションを表示するにはshowcustomcmds ?と入力し、関数のオプションを表示するにはshowallcustomcmdsと入力します。次に例を示します:
    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

    ノート:

    リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。

  4. resourcesfunctionFamilyまたはresourceFamilyを使用してポリシー・ステートメントを作成します。 

    PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
  5. 承認グループの詳細を表示します。
    PCA-ADMIN> show authorizationGroup name=authors
Command: show authorizationGroup name=authors
Status: Success
Time: 2022-05-23 11:32:42,335 UTC
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

ポリシー・ステートメントを非アクティブ化するには:

  1. edit authpolicyStatementコマンドのヘルプを表示します。
    PCA-ADMIN> edit authpolicyStatement ?
id=<object identifier>
  2. show authorizationGroup name=group-nameコマンドを使用して、ポリシー・ステートメントIDを検索します。
    PCA-ADMIN> show authorizationGroup name=authors
Command: show authorizationGroup name=authors
[…]
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
  3. ポリシー・ステートメントのID (AuthPolicyStatementIds Number = id:unique-identifier)を使用して、ポリシー・ステートメントをアクティブ化または非アクティブ化するコマンドを表示します。
    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ?
activeState
  4. ポリシー・ステートメントを非アクティブ化します。
    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
Command: edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
Status: Success
Time: 2022-05-23 11:42:11,446 UTC
JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3
  5. ポリシー・ステートメントが非アクティブであることを確認します。
    PCA-ADMIN> show authorizationGroup name=authors
Command: show authorizationGroup name=authors
Status: Success
Time: 2022-05-23 11:42:26,995 UTC
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode
Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

認可ファミリの操作

認可ファミリを使用すると、アプライアンスの管理において論理的に意味のあるリソースと機能をグループ化できます。 ポリシー・ステートメントで使用できる認可ファミリには2つのタイプがあります: 機能ファミリおよびリソース・ファミリ。

リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。

認可グループ、ポリシーおよびファミリの概念情報は、「Oracle Private Cloud Appliance概要ガイド」「アクセスの管理」を参照してください。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、認可ファミリをクリックします。

  2. 認可ファミリの作成をクリックします。

  3. いずれかの認可ファミリ・タイプを選択: 機能ファミリまたはリソース・ファミリ。

  4. 名前を入力します。

  5. ファミリに含めるリソースを入力します。

    ノート:

    リソースおよびファンクション・オプションの検索方法の詳細は、「サービスCLI」の使用の項を参照してください。

  6. ファミリの作成をクリックします。

「サービスCLI」の使用

認可ファンクション・ファミリを作成します。

  1. create authfunctionFamilyコマンドのオプションを表示します。 

    PCA-ADMIN> create authfunctionFamily ?
*name
*resources
  2. 関数のオプションを表示するには、showallcustomcmdsと入力します。次に例を示します:
    PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]
  3. 認可ファンクション・ファミリを作成します。
    PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Status: Success
Time: 2022-05-23 12:29:40,651 UTC
JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f
Data:
id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops
  4. 認可ファンクション・ファミリをリストします。
    PCA-ADMIN> list authfunctionFamily
Command: list authfunctionFamily
Status: Success
Time: 2022-05-23 12:29:57,164 UTC
Data:
id name
-- ----
7f1ac922-571a-4253-a120-e5d15a877a1e Initial
2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin
7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0
ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops

認可リソース・ファミリを作成します。

  1. create authresourceFamilyコマンドのオプションを表示します。 

    PCA-ADMIN> create authresourceFamily ?
*name
*resources
  2. リソースのオプションを表示するには、showcustomcmds ?と入力します。次に例を示します:
    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

    ノート:

    リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。
  3. 認可リソース・ファミリを作成します。
    PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit
Command: create authresourceFamily name=rackops resources=ComputeNode,RackUnit
Status: Success
Time: 2022-05-23 11:52:37,751 UTC
JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788
Data:
id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops
  4. 認可リソース・ファミリをリストします。
    PCA-ADMIN> list authresourceFamily
Command: list authresourceFamily
Status: Success
Time: 2022-05-23 11:57:37,464 UTC
Data:
id name
-- ----
9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin
b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0
87633db2-d724-45b6-97a5-30babb6c4869 cnops
b54e4413-15bd-440e-b399-e2ab75f17c35 rackops
a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial

管理者アカウント・プリファレンスの変更

「サービスCLI」にログインすると、自分の管理者アカウントの特定の設定を変更できます。 これらの変更はすぐに有効になり、将来のすべてのCLI接続に対して維持されます。

ただし、現在のCLIセッションだけの設定を一時的に変更することもできます。 これを行うには、次のコマンド例でオブジェクトUserPreferenceCliSessionに置き換えます。

設定 オプション 説明

alphabetizeMode

はい、いいえ

すべての管理対象オブジェクト属性をアルファベット順に表示するには、この設定を有効にします。 デフォルト設定はいいえです。

attributeDisplay

表示名、属性名

この設定を使用して、各オブジェクト属性の名前を表示するかどうかを制御します。 デフォルト設定は"displayName"です。

endLineCharsDisplayValue

CRLF, CR, LF

CLI出力が複数の行で構成されている場合に使用される行の終わり文字を指定します。 デフォルト設定は「CRLF」です。

outputMode

VERBOSE, SPARSE, XML

CLI出力形式を指定します。 デフォルト設定は「疎」です。

wsCallMode

SYNCHRONOUS, ASYNCHRONOUS

この設定を使用して、コマンドからのCLI出力を同期的に呼び出すか、非同期で呼び出すかを決定します。 デフォルト設定は「非同期」です。

wsTimeoutInSeconds

<value>

CLIが「同期」コール・モードに設定されている場合、この設定を使用して、操作によって返されたジョブが完了するまでCLIが待機する秒数を決定します。

「サービスCLI」の使用

  1. 現在のアカウント・プリファレンスを表示します。

    PCA-ADMIN> show UserPreference
Command: show UserPreference
Status: Success
Time: 2021-08-25 12:23:41,265 UTC
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Verbose
  Command Wait Timeout In Seconds = 240
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

  2. edit userPreferenceコマンドを使用して、選択した設定を変更します。 

    PCA-ADMIN> edit UserPreference outputMode=XML
Command: edit UserPreference outputMode=XML
Status: Success
Time: 2021-08-25 12:32:02,102 UTC
JobId: 9d312d9b-6169-47cb-97d4-6a8984237fa0

  3. 変更する他の設定に対して同じコマンドを実行します。

  4. 現在のアカウント・プリファレンスを再度表示して、行った変更を確認します。

    PCA-ADMIN> show UserPreference
Command: show UserPreference
Status: Success
Time: 2021-08-25 12:32:40,664 UTC
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Xml
  Command Wait Timeout In Seconds = 180
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

管理者アカウントの削除

このセクションでは、管理者アカウントを削除する方法について説明します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、ユーザーをクリックします。

  2. 削除する管理者アカウントをクリックします。 ユーザーの詳細ページが表示されます。

  3. 「削除」をクリックします。 プロンプトが表示されたら、操作を確認します。

「サービスCLI」の使用

  1. 削除する管理者アカウントの名前およびIDを検索します。

    PCA-ADMIN> list User
Command: list User
Status: Success
Time: 2021-08-25 08:49:01,064 UTC
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. 管理者アカウントを削除するには、delete Userコマンドに続けてアカウント名またはIDを指定します。 

    PCA-ADMIN> delete User name=testadmin
Command: delete user name=testadmin
Status: Success
Time: 2021-08-25 09:20:09,249 UTC
JobId: 56e9dfcb-6b64-4f9d-b137-171f538029d3

  3. 削除されたアカウントがユーザー・リストに表示されなくなったことを確認します。

    PCA-ADMIN> list User
Command: list User
Status: Success
Time: 2021-08-25 09:22:07,743 UTC
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin

Microsoft Active Directoryによるフェデレート

多くの企業は、アイデンティティ・プロバイダを使用してユーザー・ログインとパスワードを管理し、セキュアなwebサイト、サービスおよびリソースへのアクセスについてユーザーを認証します。 Oracle Private Cloud Appliance 「サービスWeb UI」にアクセスするには、ユーザーはユーザー名とパスワードを使用してサインインする必要もあります。 管理者は、クラウド・リソースにアクセスして使用するための新しい資格証明を作成するのではなく、各ユーザーが既存のログインとパスワードを使用できるように、サポートされているアイデンティティ・プロバイダで「連邦」できます。

フェデレーションには、アイデンティティ・プロバイダとPrivate Cloud Applianceの間の信頼関係の設定が含まれます。 管理者がこの関係を確立すると、「サービスWeb UI」にアクセスするときに、フェデレーテッド・ユーザーに「シングル・サインオン」のプロンプトが表示されます。

詳細は、「Oracle Private Cloud Appliance概要ガイド」の章「Identity and Access Management概要」「アイデンティティ・プロバイダによるフェデレート」を参照してください。

複数のActive Directory (AD)アカウントをPrivate Cloud Appliance (たとえば、組織の部門ごとに1つ)とフェデレートできますが、設定する各フェデレーション信頼は「全部」 ADアカウント用である必要があります。 信頼を設定するには、Private Cloud Appliance 「サービスWeb UI」でいくつかのタスクを実行し、Active Directory Federation Services (ADFS)でいくつかのタスクを実行します。

連邦政府を始める前に、次の情報がすでにあることを確認してください:

  • 組織のMicrosoft Active Directory Federation Servicesをインストールして構成します。

  • Private Cloud ApplianceのグループにマップするグループをActive Directoryに設定します。

  • Private Cloud Appliance 「サービスWeb UI」にサインインするユーザーをActive Directoryに作成します。

ノート:

フィルタ・ルール(PCA_Administrators、PCA_NetworkAdmins、PCA_InstanceLaunchersなど)を簡単に適用できるように、共通のプレフィクスを使用してPrivate Cloud ApplianceグループにマップするActive Directoryグループの名前を指定することを検討してください。

ADFSからの必須情報の収集

Oracle Private Cloud Applianceとフェデレートするには、SAMLメタデータ・ドキュメントと、Private Cloud ApplianceグループにマップするActive Directory (AD)グループの名前が必要です。

  1. ADFSのSAMLメタデータ・ドキュメントを検索してダウンロードします。デフォルトでは、次の場所にあります:

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

    これは、アイデンティティ・プロバイダの作成時にアップロードするドキュメントです。

  2. Private Cloud ApplianceグループにマップするすべてのADグループをノートにとります。

    注意:

    ADをアイデンティティ・プロバイダとして追加する前に、すべてのPrivate Cloud Applianceグループが構成されていることを確認します。

アイデンティティ・プロバイダの自己署名証明書の検証

注意:

ADFS証明書が既知の認証局によって署名されている場合、Private Cloud Appliance証明書バンドルにすでに存在するため、この項をスキップできます。

Oracle Private Cloud Appliance認証局(CA)は、自己署名OpenSSLによって生成されたルートおよび中間x.509証明書です。 これらのCA証明書は、x.509サーバー/クライアント証明書を発行するために使用され、外部の認証局(CA)信頼情報をラックに追加できます。 ADFSに自己署名証明書を使用する場合は、ADFSの外部CA信頼情報をラックの管理ノードに追加する必要があります。

ノート:

metadataUrlプロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、アイデンティティ・プロバイダwebサーバー証明書チェーンをCAバンドル外のPrivate Cloud Applianceに追加する必要があります。 webサーバー証明書チェーンの検索方法については、アイデンティティ・プロバイダのドキュメントを参照してください。その後、ステップ3-8に従ってください。

外部CA信頼情報を追加するには、次のステップを実行します:

  1. ブラウザから、次のURLを入力し、ADFSのSAMLメタデータ・ドキュメントをダウンロードします(デフォルトは次のとおりです):

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

  2. テキスト・エディタまたはXMLエディタでファイルを開き、次のように署名証明書セクションを見つけます:

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. デフォルト名がpcamn01の管理ノード1にログオンします。

  4. /etc/pca3.0/vaultに移動し、customer_caという名前の新しいディレクトリを作成します。

    ノート:

    このディレクトリは、複数のファイルに使用できます。 たとえば、アイデンティティ・プロバイダ証明書用のファイルと、webサーバー証明書チェーン用のファイルを作成できます。

  5. customer_caディレクトリで、PEM形式で新しいファイルを作成します。

  6. <X509Certificate>タグ内にあるFederationMetadata.xmlファイルから証明書をコピーし、新しいPEMファイルに貼り付けます。 -----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を必ず含めてください。次に例を示します: 

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. ファイルを保存して閉じます。

  8. 次のコマンドを実行して、すべての管理ノードでca_outside_bundle.crtを更新します: 

    python3 /usr/lib/python3.6/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

アイデンティティ・プロバイダの管理

Oracle Private Cloud Applianceでアイデンティティ・プロバイダとフェデレートするには、「サービスWeb UI」または「サービスCLI」でアイデンティティ・プロバイダを作成し、アカウント・グループをマップします。

アイデンティティ・プロバイダを作成した後、更新が必要な場合があります。 たとえば、メタデータXMLファイルは期限切れになったときに更新する必要があります。 また、すべてのアイデンティティ・プロバイダを表示したり、アイデンティティ・プロバイダの詳細を表示したり、アイデンティティ・プロバイダを削除することもできます。

アイデンティティ・プロバイダとしてのActive Directoryの追加

Oracle Private Cloud ApplianceでActive Directory (AD)とフェデレートするには、アイデンティティ・プロバイダとして追加する必要があります。 同時に、グループ・マッピングを設定することも、後で設定することもできます。

ADをアイデンティティ・プロバイダとして追加するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. Private Cloud Applianceログインとパスワードを使用してサインインします。

  2. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

  3. 「アイデンティティ・プロバイダ」ページで、アイデンティティ・プロバイダの作成をクリックします。

  4. 「アイデンティティ・プロバイダ」の作成ページで、次の情報を指定します:

    1. 表示名

      「サービスWeb UI」へのサインインに使用するアイデンティティ・プロバイダを選択するときに、フェデレーテッド・ユーザーに表示される名前。 この名前は、すべてのアイデンティティ・プロバイダで一意である必要があり、変更できません。

    2. 説明

      アイデンティティ・プロバイダのわかりやすい説明。

    3. 認証コンテキスト

      クラス参照の追加をクリックし、リストから認証コンテキストを選択します。

      1つ以上の値を指定した場合、Private Cloud Appliance (リライイング・パーティ)は、ユーザーの認証時に、指定した認証メカニズムのいずれかをアイデンティティ・プロバイダが使用することを想定します。 アイデンティティ・プロバイダから返されたSAMLレスポンスには、その認証コンテキスト・クラス参照を持つ認証文が含まれている必要があります。 SAMLレスポンス認証コンテキストがここで指定したものと一致しない場合、Private Cloud Appliance認証サービスは400でSAMLレスポンスを拒否します。

    4. 「アサーションの暗号化」 (Optional)

      有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。 アサーションを復号化できるのは、認可サービスのみです。 有効にしない場合、認可サービスは、SAMLトークンが暗号化されていないがSSLで保護されていることを想定しています。

    5. 「強制認証」 (Optional)

      有効にすると、ユーザーは、認可サービスによってリダイレクトされたときに、常にアイデンティティ・プロバイダで認証するよう求められます。 有効にしないと、アイデンティティ・プロバイダとのアクティブなログイン・セッションがすでにあるユーザーは再認証を求められません。

    6. メタデータURL

      アイデンティティ・プロバイダからFederationMetadata.xmlドキュメントのURLを入力します。

      デフォルトでは、ADFSのmetadatファイルは次の場所にあります

      https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

  5. Create Identity Providerをクリックします。

    新しいアイデンティティ・プロバイダにはOCIDが割り当てられ、「アイデンティティ・プロバイダ」ページに表示されます

アイデンティティ・プロバイダを追加したら、Private Cloud ApplianceとActive Directoryの間のグループ・マッピングを設定する必要があります。

グループ・マッピングを設定するには、「グループ・マッピングの作成」を参照してください。

アイデンティティ・プロバイダの更新

アイデンティティ・プロバイダを更新するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 更新するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

  3. 次の情報のいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

    1. 説明

    2. 認証コンテキスト

      クラス参照を追加または削除します。

    3. アサーションの暗号化

      アイデンティティ・プロバイダから暗号化されたアサーションを有効または無効にします。

    4. 強制認証

      アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。

    5. メタデータURL

      アイデンティティ・プロバイダの新しいFederationMetadata.xmlドキュメントのURLを入力します。

    詳細は、「アイデンティティ・プロバイダとしてのActive Directoryの追加」のステップ4を参照してください。

  4. アイデンティティ・プロバイダの更新をクリックします。

アイデンティティ・プロバイダの詳細の表示

アイデンティティ・プロバイダの詳細ページには、認証コンテキストなどの一般情報が表示されます。 また、リダイレクトURLを含むアイデンティティ・プロバイダ設定も提供します。

このページから、アイデンティティ・プロバイダを編集し、グループ・マッピングを管理することもできます。

アイデンティティ・プロバイダの詳細を表示するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 詳細を表示するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、詳細の表示をクリックします。

    アイデンティティ・プロバイダの詳細ページが表示されます。

アイデンティティ・プロバイダのリスト

アイデンティティ・プロバイダをリストするには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

アイデンティティ・プロバイダの削除

フェデレーテッド・ユーザーがPrivate Cloud Applianceにログインするオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。これによって、関連付けられたグループ・マッピングもすべて削除されます。

アイデンティティ・プロバイダを削除するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 削除するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

  3. Delete Identity Providerプロンプトで、Confirmをクリックします。

アイデンティティ・プロバイダのグループ・マッピングの操作

グループ・マッピングを使用する場合は、次の点に注意してください:

  • 特定のActive Directoryグループが単一のOracle Private Cloud Applianceグループにマップされます。

  • Private Cloud Applianceグループ名にはスペースを含めることはできず、後で変更できません。 使用できる文字は、文字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)です。

  • グループ・マッピングを更新できませんが、マッピングを削除して新しいマッピングを追加できます。

グループ・マッピングの作成

アイデンティティ・プロバイダを作成したら、ADFSグループからPrivate Cloud Applianceグループへのマッピングを作成する必要があります。

グループ・マッピングを作成するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 マップする各アイデンティティ・プロバイダ・グループに対してステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. グループ・マッピングの作成をクリックします。

    IDPグループ・マッピング・フォームが表示されます

  3. 名前フィールドに、IDPグループ・マッピングの名前を入力します。

  4. 「IDPグループ名」フィールドに、アイデンティティ・プロバイダ・グループの「正確な」名を入力します。

  5. 管理グループ名リストから、アイデンティティ・プロバイダ・グループにマップするPrivate Cloud Applianceグループを選択します。

  6. オプションで、グループの説明を入力します。

  7. Create IDP Group Mappingをクリックします。

    新しいグループ・マッピングがリストに表示されます。

グループ・マッピングの更新

グループ・マッピングを更新するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 マッピングする各グループ・マッピングに対してステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. 更新するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

    IDPグループ・マッピング・フォームが表示されます。

  3. 次のフィールドのいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

    1. 名前

    2. IDPグループ名

    3. 管理グループ名

    4. 説明

  4. IDPグループ・マッピングの変更をクリックします。

    更新されたグループ・マッピングがリストに表示されます。

グループ・マッピングの表示

グループ・マッピングの詳細を表示するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

グループ・マッピングの削除

グループ・マッピングを削除するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 削除するアイデンティティ・プロバイダ・グループごとにステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. 削除するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

  3. IDPグループ・マッピングの削除プロンプトで、確認をクリックします。

ADFSでの信頼できるリライイング・パーティとしてのPrivate Cloud Applianceの追加

注意:

ADFSがPrivate Cloud Appliance証明書を信頼できるように、Oracle Private Cloud Appliance証明書バンドルをActive Directoryに追加する必要があります。 これを行わない場合、ユーザー・ログインは失敗します。 Private Cloud Appliance証明書バンドルの詳細は、「Oracle Private Cloud Applianceユーザー・ガイド」の章「コンピュート・エンクレーブでの操作」「認証局のバンドルの取得」を参照してください。

フェデレーション・プロセスを完了するには、ADFSで信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加し、関連するリライイング・パーティ要求ルールを追加する必要があります。

ADFSでのリライイング・パーティの追加

  1. 「アイデンティティ・プロバイダ」ページの「サービスWeb UI」で、次のテキスト・ブロックを表示します:

    Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、Private Cloud ApplianceフェデレーションMetadataドキュメントが必要です。 これは、Private Cloud Applianceエンドポイントおよび証明書情報を説明するXMLドキュメントです。 ここをクリック

  2. 「ここをクリック」をクリックします。

    ブラウザでメタデータXMLファイルが開き、次のようなURLが表示されます:

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. メタデータXMLファイルURLをコピーします。

  4. ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。

  5. .xml拡張子(例: my-sp-metadata.xml)を使用してファイルを保存します。

  6. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

  7. 信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加します。

    1. AD FSで、リライイング・パーティ信頼を右クリックし、リライイング・パーティ信頼の追加を選択します。

    2. 「リライイング・パーティ信頼の追加ウィザードのようこそ」ページで、請求認識を選択し、開始をクリックします。

    3. 「データ・ソースの選択」ページで、「リライイング・パーティに関するデータをファイルからインポート」を選択します。

    4. 参照をクリックしてmy-sp-metadata.xmlにナビゲートし、オープンをクリックします。

    5. 「表示名」の指定ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加し、次をクリックします。

    6. 「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、次へをクリックします。

    7. 追加準備完了「信託」ページで設定を確認し、次をクリックしてリライイング・パーティの信頼情報を保存します。

    8. 「終了」ページで、「このアプリケーションの要求発行ポリシーの構成」を選択し、「閉じる」をクリックします。

      「請求発行ポリシーの編集」ダイアログが表示され、次のセクションで開いたままにできます。

リライイング・パーティ要求ルールの追加

信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加した後、必要な要素(Name IDおよびグループ)がSAML認証レスポンスに追加されるように要求ルールを追加する必要があります。

名前IDルールを追加するには:

  1. 「請求発行ポリシー」の編集ダイアログで、ルールの追加をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 請求ルール・テンプレートの場合、受信請求の変換を選択し、次へをクリックします。

  3. 次のように入力します。

    • 要求ルール名: このルールの名前を入力します(例: nameid)。

    • 受信要求タイプ: Microsoft Windowsアカウント名を選択します。

    • 発信要求タイプ: 氏名IDなどの請求タイプを選択します。

    • 送信名IDフォーマット: Persistent Identifierを選択します。

    • すべての要求値をパススルーを選択し、終了をクリックします。

      ルールがルール・リストに表示されます。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

Active Directoryユーザーが100グループを超えない場合、単にグループ・ルールを追加します。 ただし、Active Directoryユーザーが100を超えるグループに属している場合、これらのユーザーはPrivate Cloud Appliance 「サービスWeb UI」を使用するように認証できません。 これらのグループについては、グループ・ルールにフィルタを適用する必要があります。

グループ・ルールを追加するには:

  1. 「発行変換ルール」ダイアログで、ルールの追加をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 請求ルール・テンプレートで、カスタム・ルールを使用した請求の送信を選択し、次へをクリックします。

  3. 変換要求ルールの追加ウィザードで、次を入力します:

    1. 要求ルール名: グループを入力します。

    2. カスタム・ルール: カスタム・ルールを入力します。 

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    3. 「終了」をクリックします。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

フェデレーテッド・ユーザーのサインイン情報の提供

フェデレーテッド・ユーザーがPrivate Cloud Appliance 「サービスWeb UI」にログインするには、そのユーザーにURLを指定する必要があります。 また、グループ・マッピングが構成されていることを確認する必要があり、構成されていない場合、フェデレーテッド・ユーザーはPrivate Cloud Applianceで作業できません。