8 Oracle Key VaultでのLDAPユーザーの認証および認可の管理

ユーザーがOracle Key Vaultにアクセスできるように、Oracle Key VaultとLDAPサーバー(現在はMicrosoft Active Directory)間の接続を構成できます。

• Oracle Key VaultでのLDAPユーザーの認証および認可の管理について
  構成済のLDAPディレクトリ・サーバーで集中管理されるようにOracle Key Vaultユーザーを構成できます。
• LDAPユーザーに対する権限の付与と取消し
  LDAPユーザーは、Oracle Key Vaultロールと権限付与へのアクセスが制限されています。
• Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成
  LDAP管理者とOracle Key Vault管理者の両方が、Oracle Key VaultへのLDAPディレクトリ・サーバー接続を構成する役割を果たします。
• LDAPユーザーとしてのOracle Key Vaultへのログイン
  適切に構成されたLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。
• LDAP構成の管理
  LDAP構成を有効化、検証、変更、無効化および削除できます。
• LDAPグループの管理
  LDAPグループ・マッピングを変更または削除できます。
• Oracle Key Vaultで生成されたLDAPユーザーの管理
  LDAPディレクトリ・サーバーの実際のLDAPユーザー・アカウントは管理できませんが、LDAPユーザーがOracle Key Vaultに初めてログインしたときに作成されるOracle Key Vaultで生成されたユーザー・アカウントは管理できます。

8.1 Oracle Key VaultでのLDAPユーザーの認証および認可の管理について

構成済のLDAPディレクトリ・サーバーで集中管理されるようにOracle Key Vaultユーザーを構成できます。

Oracle Key Vaultでは、LDAPプロバイダとしてMicrosoft Active Directoryのみがサポートされます。このタイプの構成では、LDAPユーザーが次の操作を実行できるように、LDAPディレクトリ・サーバーでOracle Key Vaultユーザーの認証および認可を管理できます。

• Oracle Key Vault管理コンソールにログインし、認可されている管理タスクを実行します。
• コマンドラインでOracle Key Vault RESTfulサービス・コマンドを実行します。

大規模な企業では、ユーザーとその認可を集中管理することで、ユーザー管理の運用効率が向上するだけでなく、コンプライアンス、制御およびセキュリティも大幅に向上します。たとえば、従業員の退職処理をするときに、LDAP管理者はLDAPディレクトリ・サーバー内のユーザーのアカウントをロックして、Oracle Key Vaultを含む様々なシステムへの従業員のアクセスを終了できます。

LDAPディレクトリ・サーバーでOracle Key Vaultユーザーを集中管理することで、各Oracle Key VaultインスタンスでLDAPユーザーのユーザー・アカウント・ポリシーおよびパスワード・ポリシーを維持する必要がなくなります。かわりに、これらのポリシーをLDAPディレクトリ・サーバーで集中管理できます。

この機能により、Oracle Key VaultでのLDAPユーザーの自動プロビジョニングが実装されます。LDAPユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key Vaultは、LDAPディレクトリ・サーバーからのユーザー・アカウント情報に基づいて、このユーザーのOracle Key Vaultユーザー・アカウントを自動的に作成します。Oracle Key Vault権限の付与または取消しを除き、このユーザー・アカウントは変更できません。ユーザーのパスワードの変更など、ユーザー・アカウントに対するその他の変更は、LDAPディレクトリ・サーバーの実際のアカウントに対して実行する必要があります。ユーザーの自動プロビジョニングは、新しいOracle Key Vaultデプロイメントに役立つだけでなく、新しい従業員のプロビジョニングを含め、既存のOracle Key Vaultデプロイメントへのアクセス権を他の従業員に付与する必要がある場合にも役立ちます。

Oracle Key VaultでLDAPユーザーの認証および認可を有効にするには、Oracle Key Vault管理者がOracle Key Vaultで次の構成を実行する必要があります。

1. LDAPディレクトリ・サーバーへの接続を構成します。
2. 1つ以上のOracle Key Vault管理ロールまたはユーザー・グループをLDAPグループにマップします。

ほとんどの構成作業は、Oracle Key Vault管理者がOracle Key Vault管理コンソールを使用して実行します。

LDAPディレクトリ・サーバーでOracle Key Vaultを使用する一般的なプロセスは、次のとおりです。

1. LDAPディレクトリ・サーバーの管理者は、Oracle Key Vaultへのアクセスが必要なLDAPユーザーと、そのユーザーのOracle Key Vaultでの認可要件を識別します。この管理者は、これらのユーザーのロールと職務の必要な分離に応じて、1つ以上のLDAPグループを構成します。その後、この管理者は特定のユーザーをそれぞれのLDAPグループに割り当てます。
2. Oracle Key Vault管理者がLDAPディレクトリ・サーバーへの接続を構成できるようにするために、LDAP管理者はLDAPユーザー・アカウント(サービス・ディレクトリ・ユーザーと呼ばれる)を作成します。Oracle Key Vaultは、このユーザー・アカウントを使用してLDAPディレクトリ・サーバーに接続し、ユーザー・ログイン・プロセス中にLDAPディレクトリ・サーバーから必要な情報を取得します。LDAP管理者は、このLDAPユーザーの詳細およびLDAPディレクトリ・サーバーの信頼証明書をOracle Key Vault管理者に提供します。
3. Oracle Key Vault管理者は、Oracle Key Vault管理コンソールを使用して、Oracle Key VaultとLDAPディレクトリ・サーバー間の接続を構成します。
4. その後、Oracle Key Vault管理者は、各LDAPグループを適切なOracle Key Vaultユーザー・グループまたは管理ロールにマップします。これらのユーザー・グループには、LDAPユーザーに持たせたい適切な権限が付与されている必要があります。Oracle Key Vaultでのこれらのユーザーの権限は、ユーザーのLDAPグループにマップされているOracle Key Vault管理ロールまたはユーザー・グループに基づいて決定されます。たとえば、Oracle Key Vaultグループに監査マネージャ・ロールが付与されている場合、LDAPユーザーには間接的に監査マネージャ・ロールが付与されます。
5. LDAPユーザーは、Oracle Key Vaultにログインし、認可されているタスクを実行できるようになりました。最初に正常にログインすると、Oracle Key Vaultに新しいユーザー・アカウントが自動的に作成されます。
6. LDAPグループ・マッピングを介してユーザーに付与される管理ロールおよび権限に加えて、Oracle Key Vaultで作成されたLDAPユーザー・アカウントに権限を直接付与できます。

LDAPユーザー・セッションの認可は、LDAPグループを介して付与される認可と、LDAPユーザーにローカルに付与される認可の組合せです。LDAPグループによる認可はログイン時に付与され、そのセッションに対してのみ有効です。LDAPユーザーのログオン時に、Oracle Key Vaultはディレクトリ・サーバーからユーザーのLDAPグループを取得し、現在のユーザー・セッションに有効なマップされた管理ロールおよびグループを決定します。これらのマップされたユーザー・グループのセットは、LDAPユーザーの有効なユーザー・グループ・メンバーシップと呼ばれます。

LDAPユーザーは、Oracle Key Vaultユーザー・グループのメンバーとして直接追加できないことに注意してください。

LDAPグループ内のユーザーのメンバーシップに対する変更、またはユーザーのLDAPグループとOracle Key Vaultユーザー・グループまたは管理ロール間のマッピングに対する変更は、既存のユーザー・セッションに現在有効な管理ロールおよびユーザー・グループ・メンバーシップには影響しません。ただし、Oracle Key Vaultユーザー・グループに対して付与または取消しが行われた権限の変更は、即座に有効になり、既存のすべてのセッションに適用されます。

次の点に注意してください。

• LDAP構成は、LDAP-v3プロトコルをサポートするMicrosoft Active Directoryバージョンで実行できます。
• プライマリ/スタンバイ環境でLDAP構成を実行できます。特別な構成は必要ありません。
• マルチマスター・クラスタ環境では、LDAP構成はすべてのクラスタ・ノードで有効です。LDAPディレクトリ・サーバーおよびホストのノード固有の構成を構成できます。
• 複数のドメインをサポートするLDAPディレクトリ・サーバーの場合、ドメインごとに複数のLDAP構成を設定することで、異なるドメインのユーザーへのアクセスが有効になります。

8.2 LDAPユーザーに対する権限の付与と取消し

LDAPユーザーは、Oracle Key Vaultのロールおよび権限の付与へのアクセスが制限されています。

LDAPユーザー、Oracle Key Vaultユーザー・グループ、エンドポイント権限およびウォレット権限に関する次の制限事項に注意してください。

• LDAPユーザーをOracle Key Vaultユーザー・グループのメンバーとして直接追加することはできません。
• エンドポイント権限(エンドポイント作成、エンドポイント管理、エンドポイント・グループ作成およびエンドポイント・グループ管理)はOracle Key Vaultユーザー・グループに付与できないため、LDAPユーザーはこれらの権限にアクセスできません。
• Oracle Key Vaultで作成したLDAPユーザーには、ローカルでウォレット権限を付与できます。ただし、LDAPユーザーにエンドポイントまたはエンドポイント・グループ権限を直接付与できません。
• 管理者ロールをOracle Key VaultのLDAPユーザー・アカウントに直接付与できません。LDAPユーザーに、直接またはOracle Key Vaultユーザー・グループを介してエンドポイント権限を付与することはできません。

8.3 Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成

LDAP管理者とOracle Key Vault管理者の両方が、Oracle Key VaultへのLDAPディレクトリ・サーバー接続を構成する役割を果たします。

• ステップ1: LDAPディレクトリ・サーバーの準備
  Oracle Key Vault管理者がLDAPディレクトリ・サーバーへの接続を作成する前に、LDAP管理者が準備タスクを実行する必要があります。
• ステップ2: Oracle Key VaultでのLDAP接続の作成
  システム管理者ロールを持つOracle Key Vaultユーザーは、Oracle Key Vault管理コンソールを使用してLDAP接続を作成します。
• ステップ3: Oracle Key Vaultユーザー・グループへのLDAPグループのマップ
  キー管理者ロールを持つOracle Key Vaultユーザーは、LDAPグループをOracle Key Vaultユーザー・グループまたは管理ロールにマップできます。

8.3.1 ステップ1: LDAPディレクトリ・サーバーの準備

Oracle Key Vault管理者がLDAPディレクトリ・サーバーへの接続を作成する前に、LDAP管理者が準備タスクを実行する必要があります。

1. LDAP管理者(または適切な権限を持つユーザー)として、LDAPディレクトリ・サーバーにログインします。
2. Oracle Key Vaultにマップする既存のLDAPグループを作成または指定します。
3. これらのLDAPグループにユーザーを割り当てます。
   グループによって、接続構成の完了時にメンバー・ユーザーがOracle Key Vaultで保持する権限が決まります。ユーザーが既存のLDAPグループでカバーされていない特定の権限を持っている必要がある場合は、このユーザーの特定のグループを作成します。
4. そのようなアカウントがまだ存在しない場合は、サービス・ディレクトリ・ユーザー・アカウントを作成し、このアカウント名とパスワードをOracle Key Vault管理者に提供します。
   このサービス・ディレクトリ・ユーザー・アカウントは、Oracle Key Vault管理者が作成するLDAP構成で使用されます。Oracle Key Vaultは、このアカウントを使用して、検索などの必要なLDAPアクションを実行します。このユーザー・アカウントが今後変更される場合は、Oracle Key Vault管理者にすぐに通知してください。
5. LDAPディレクトリ・サーバーの信頼証明書を取得し、この証明書をOracle Key Vault管理者に提供します。
   この証明書は、Oracle Key Vault管理者が作成するLDAP構成で使用されます。

8.3.2 ステップ2: Oracle Key VaultでのLDAP接続の作成

システム管理者ロールを持つOracle Key Vaultユーザーは、Oracle Key Vault管理コンソールを使用してLDAP接続を作成します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. 「Add」をクリックして「Add LDAP Configuration」ページを表示します。
5. 次の設定を入力します。
   • Configuration Name: LDAP構成の名前を入力します。文字の最大長は120バイトです。
   • Directory Type: このリストからMicrosoft Active Directoryが選択されていることを確認します。
   • Service Directory User Name: LDAP管理者が指定したサービス・ディレクトリ・ユーザー・アカウントを入力します。この名前は、次のいずれかの形式で入力できます。
     • NetBIOS Domain Name\Account Name: たとえば、global\johndoe
     • User principal name: たとえば、johndoe@example.com
   • Service Directory User Password: LDAP管理者がサービス・ディレクトリ・ユーザー・アカウントに指定したパスワードを入力します。LDAPディレクトリ・サーバーでパスワードを変更する場合は、Oracle Key Vaultでパスワードを更新する必要があります。
   • Hostname: クライアント・リクエストを処理するMicrosoft Active Directoryドメイン・コントローラ(サーバー)のホスト名またはIPアドレスのいずれかを入力します。
   • LDAPS Port: ポート番号を入力します。636 (デフォルト)は、Secure Sockets Layer (SSL)接続用のLDAP接続の標準ポート番号です。
   • Trusted Certificate: LDAP管理者が指定したLDAPディレクトリ・サーバーのサーバー信頼証明書の内容を貼り付けるか、ファイルとして証明書をアップロードします。
   • Domain Name: この設定は、前述の設定を完了して「Get Domain Name」ボタンをクリックすると自動的に移入されます。これは、指定したホスト(ドメイン・コントローラ)がメンバーであるMicrosoft Active Directoryドメインの名前です。この設定は変更できません。
   • Search Base DN: この設定は、前述の設定を完了して「Get Domain Name」ボタンをクリックすると自動的に移入されます。これは、LDAP検索を開始するディレクトリ内の場所を定義する、検索ベース・オブジェクトの識別名を表します。この設定は、ディレクトリ内のユーザーおよびグループの数が非常に多い環境で、Oracle Key Vaultアクセスの管理に関連するユーザーおよびグループがこのディレクトリ・コンテナの下に配置されている場合に役立ちます。ベースDNをこのディレクトリ・コンテナに設定すると、ユーザーおよびグループ検索のパフォーマンスの向上に役立ちます。オプションで、この検索ベースを変更します。
   • Defunct LDAP Users Grace Period (in days): LDAPディレクトリ・サーバーで削除されたユーザーがOracle Key Vaultから自動的に削除されるまでの期間を日数で入力します。この値は、LDAP構成が存在しなくなったユーザーがOracle Key Vaultから自動的に削除されるまでの期間も定義します。0以上の正の整数を入力します。デフォルトは15日です。
6. 「Test Connection」をクリックして、接続が動作することを確認します。
7. 「Add」をクリックして、構成を完了します。
   「Manage LDAP Configuration」ページが表示され、「LDAP Configuration Name」の下に新しい構成がリストされます。

8.3.3 ステップ3: Oracle Key Vaultユーザー・グループへのLDAPグループのマップ

キー管理者ロールを持つOracle Key Vaultユーザーは、LDAPグループをOracle Key Vaultユーザー・グループまたは管理ロールにマップできます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. LDAPグループにマップするOracle Key Vaultユーザー・グループを構成します。
   これらのグループに適切なOracle Key Vault権限があること、およびLDAPユーザーに対する権限の付与と取消しの動作方法を理解していることを確認します。
3. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
4. 「Create」をクリックして「Create LDAP Group Mapping」ページを表示します。
5. 次の設定を入力します。
   • Domain: リストから、マッピングを定義するLDAPディレクトリ・サーバー構成に関連付けられているドメインを選択します。
   • LDAP Group: リストからLDAPグループを選択します。
   • Roles: オプションで、キー管理者ロールをLDAPグループに付与します。(現在所有しているロールとは異なるロールは付与できないことに注意してください。また、「Allow Forward Grant」オプションを使用してロールを受け取っている必要があります。)

     ユーザーにシステム管理者ロールまたは監査マネージャ・ロールを付与する場合は、まずキー管理者ロールを持つユーザーがLDAPグループ・マッピングを(ユーザー・グループの有無に関係なく)作成する必要があります。LDAPグループ・マッピングが作成された後、「Allow Forward Grant」オプションを使用してシステム管理者ロールまたは監査マネージャ・ロールが付与されたユーザーは、既存のLDAPグループ・マッピングを編集して、対応する管理ロールにマップできます。

   • 「User Groups」の下で、LDAPグループにマップするOracle Key Vaultユーザー・グループを選択します。

     ユーザー・グループに関する情報を検索するには、その「Details」ボタンをクリックします。

6. 「Create」をクリックします。
   リストに新しいマッピングが含まれているLDAPアクセス・マッピング・ページが表示されます。
7. 必要に応じて、さらにLDAPグループ・マッピングを定義します。

この段階で、構成は完了し、LDAPユーザーはOracle Key Vaultにログインできます。

8.4 LDAPユーザーとしてのOracle Key Vaultへのログイン

適切に構成されたLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。

• LDAPユーザーとしてのOracle Key Vaultへのログインについて
  Oracle Key Vaultを使用したLDAPディレクトリ・サーバーの構成が完了した後、LDAPユーザーが有効な認可を持っていればOracle Key Vaultにログインできます。
• LDAPユーザーとしてのOracle Key Vaultへのログイン
  Oracle Key Vaultユーザー・グループまたは管理ロールにマップされているLDAPグループのメンバーであるLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。

8.4.1 LDAPユーザーとしてのOracle Key Vaultへのログインについて

Oracle Key Vaultを使用したLDAPディレクトリ・サーバーの構成が完了した後、LDAPユーザーが有効な認可を持っていればOracle Key Vaultにログインできます。

次の場合、正常にログインできます。

• ユーザーは正しいLDAP資格証明を指定します。
• LDAPディレクトリ・サーバーからのユーザーのLDAPグループは、少なくともOracle Key Vaultユーザー・グループまたは管理ロールのいずれかにマップされます。

ログイン時に、ユーザーの認可は、このユーザーがメンバーとして属するLDAPグループに基づいて決定されます。ユーザーには、ユーザーのLDAPグループにマップされたユーザー・グループの管理ロールまたは権限が付与されます。ユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key Vaultに新しいユーザー・アカウントが自動的に作成されます。(LDAPユーザーに対する権限の付与および取消しの動作方法を理解していることを確認してください。)

マルチマスター・クラスタ環境では、LDAPユーザーはクラスタ内の任意のノードにログインできます。LDAPユーザーが初めてノードにログインすると、このユーザーに対して単一のOracle Key Vaultで生成されたユーザー・アカウントが作成されます。このアカウントはクラスタ内のすべてのノードに適用されます。

有効なLDAPユーザーは、Oracle Key Vault RESTfulサービス・コマンドを実行できます。RESTfulサービスの使用方法については、Oracle Key Vault RESTfulサービス管理者ガイドを参照してください。

8.4.2 LDAPユーザーとしてのOracle Key Vaultへのログイン

Oracle Key Vaultユーザー・グループまたは管理ロールにマップされているLDAPグループのメンバーであるLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。

1. Webブラウザを開きます。
2. HTTPS接続およびOracle Key VaultのIPアドレスを使用して接続します。
   たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。

   https://192.0.2.254

3. ログイン画面が表示されたら、次の資格証明を入力します。
   • Domain: リストから、LDAPユーザーのドメインを選択します。
   • User Name: 次のいずれかの形式を使用してユーザー名を入力します。
     • NetBIOS Domain Name\Account Name: たとえば、global\johndoe

       便宜上、ユーザーがNetBIOSドメイン名またはユーザー・プリンシパル名の形式(次で説明)でユーザー名を指定すると、NetBIOSドメイン名または構成済ドメイン名を持つユーザー・プリンシパル名のドメイン名のパターン一致に基づいて、ドロップダウン・リストのドメイン名が自動的に選択されます。ドメインは、必要に応じて手動で選択できます。ドメイン名LocalはActive Directoryドメインではありません。ドメインLocalの使用は、ユーザー・アカウントがローカルに作成されたことを示します。

     • User principal name: たとえば、johndoe@example.com
     • Login name: たとえば、johndoe。この名前は、LDAPユーザー・アカウントのsAMAccountName属性と一致する必要があります。
   • Password: パスワードを入力します。
4. 「Login」をクリックします。

適切なOracle Key Vault認可を持つLDAPユーザーは、Oracle Key Vault RESTfulサービス・コマンドの実行もできます。

8.5 LDAP構成の管理

LDAP構成を有効化、検証、変更、無効化および削除できます。

• LDAP構成の有効化
  システム管理者ロールを持つユーザーは、LDAP構成を有効にできます。
• LDAP構成の変更
  システム管理者ロールを持つユーザーは、LDAP構成を変更できます。
• LDAP構成のテスト
  システム管理者ロールを持つユーザーは、LDAP構成をテストできます。
• LDAP構成の無効化
  システム管理者ロールを持つユーザーは、LDAP構成を無効にできます。
• LDAP構成の削除
  システム管理者ロールを持つユーザーは、LDAP構成を削除できます。

8.5.1 LDAP構成の有効化

システム管理者ロールを持つユーザーは、LDAP構成を有効にできます。

LDAP構成は、有効になっている場合にのみ有効です。デフォルトでは、作成したLDAP構成は有効になっています。マルチマスター・クラスタ環境では、LDAP構成の有効化はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. LDAP構成のチェック・ボックスを選択し、「Enable」ボタンをクリックします。
5. 確認のウィンドウで、「OK」をクリックします。

8.5.2 LDAP構成の変更

システム管理者ロールを持つユーザーは、LDAP構成を変更できます。

マルチマスター・クラスタ環境では、LDAP構成の変更はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。ただし、ノード固有のホスト構成はクラスタ全体のホスト構成より優先されることに注意してください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. LDAP構成名を選択すると、「Edit LDAP Configuration」ページが表示されます。
5. 必要に応じて次の設定を変更します。
   • Configuration Name: 構成の名前を更新します。
   • Service Directory User Name: サービス・ディレクトリ・ユーザー名を更新します。
   • Service Directory User Password: サービス・ディレクトリ・ユーザーのパスワードを更新します。
   • Trusted Certificate: LDAP管理者が指定したLDAPディレクトリ・サーバーのサーバー信頼証明書の内容を貼り付けるか、ファイルとして証明書をアップロードします。
   • Search Base DN: ユーザーおよびグループの検索に使用するベースDNを更新します。
   • Defunct LDAP Users Grace Period (in days): 新しい猶予期間の値を入力します。デフォルトは15です。
   • 「Servers」の下で、次の手順を実行します。
     • 新しいサーバーを追加するには、「Add」をクリックし、「Hostname」、「Port」および「Service Directory User Password」を指定します。接続をテストするには、「Test Server」をクリックします。その後、「Add」をクリックします。選択できるのは、現在のサーバーと同じドメインにあるサーバーのみです。
     • サーバーを削除するには、対応するチェック・ボックスを選択し、「Delete」をクリックします。
6. 「Test Connection(s)」をクリックして、新しい構成設定が機能することを確認します。
7. 「Save」をクリックします。

8.5.3 LDAP構成のテスト

システム管理者ロールを持つユーザーは、LDAP構成をテストできます。

マルチマスター・クラスタ環境では、クラスタ内の任意のノードでLDAP構成をテストできます。テスト接続では、現在のクラスタ・ノードに有効なLDAPホストへの接続が検証されます。ノード固有のLDAPホストが構成されている場合、それらのホストへの接続が検証されます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. LDAP構成名を選択すると、「Edit LDAP Configuration」ページが表示されます。
5. 「Test Connection(s)」をクリックします。

8.5.4 LDAP構成の無効化

システム管理者ロールを持つユーザーは、LDAP構成を無効化できます。

LDAP構成を事実上無効にすると、その構成は使用できなくなります。無効化されたLDAP構成のユーザーは、Oracle Key Vaultにログインしようとするとアクセスが拒否されます。ただし、LDAP構成を無効にしても、その構成を使用して現在ログインしているユーザーには影響しません。マルチマスター・クラスタ環境では、LDAP構成の無効化はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. 無効にする構成のチェック・ボックスを選択し、「Disable」をクリックします。
5. 確認のウィンドウで、「OK」をクリックします。

8.5.5 LDAP構成の削除

システム管理者ロールを持つユーザーは、LDAP構成を削除できます。

マルチマスター・クラスタ環境では、LDAP構成の削除はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。ただし、LDAP構成を削除にしても、その構成を使用して現在ログインしているユーザーはログアウトされません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
4. 削除するLDAP構成のチェック・ボックスを選択し、次のボタンのいずれかをクリックします。
   • LDAP構成に関連付けられたLDAPグループに対してOracle Key Vaultで定義されたマッピングがない場合は、「Delete」をクリックします。
   • このLDAP構成にグループ・マッピングが定義されている場合は、「Force Delete」をクリックします。この操作を実行するには、システム管理者とキー管理者の両方のロールが必要です。それ以外の場合は、システム管理者ロールを持つユーザーがLDAP構成を削除する前に、まずLDAP構成に定義されているすべてのLDAPグループ・マッピングを削除します。
5. 確認のウィンドウで、「OK」を選択します。

LDAP構成を削除しても、関連付けられているLDAPユーザー・アカウントはすぐには削除されません。Oracle Key Vaultは、「Edit LDAP Configuration」ページの「Defunct LDAP Users Grace Period」設定で指定された日数が経過すると、これらのアカウントを削除します。LDAPユーザー・アカウントはいつでも削除できます。関連付けられたLDAPユーザー・アカウントが削除される前に同じLDAP構成を再作成すると、Oracle Key Vaultによってこれらのユーザー・アカウントが再度有効になります。

8.6 LDAPグループの管理

LDAPグループ・マッピングを変更または削除できます。

• LDAPグループの管理について
  LDAPグループは、Oracle Key Vault管理者ロールおよび1つ以上のユーザー・グループにマップできます。
• LDAPグループ・マッピングの作成
  LDAP接続を作成した後は、1つ以上のLDAPグループ・マッピングを作成できます。
• LDAPグループ・マッピングの変更
  LDAP接続を構成した後で、LDAPグループのマッピングを変更できます。
• LDAPグループ・マッピングの検証
  LDAPディレクトリ・サーバーでLDAPグループが変更された場合、キー管理者ロールを持つユーザーはOracle Key Vaultでマッピングを検証できます。
• LDAPグループ・マッピングの削除
  キー管理者ロールを持つユーザーは、Oracle Key Vaultから1つ以上のLDAPグループおよび関連付けられたマッピングを削除できます。

8.6.1 LDAPグループの管理について

LDAPグループは、Oracle Key Vault管理者ロールおよび1つ以上のユーザー・グループにマップできます。

Oracle Key Vault管理者ロールを持つユーザーは、ユーザーが持っている管理者ロールのタイプに応じて、Oracle Key Vault管理者ロールまたはユーザー・グループを使用してLDAPグループのマッピングを変更できます。ただし、このユーザーはLDAPディレクトリ・サーバーでLDAPグループを変更できません。LDAPグループ・マッピングが変更されると、LDAPグループのメンバーであるユーザーの認可も変更されます。

ローカルOracle Key VaultユーザーをLDAPグループのメンバーにすることはできません。

8.6.2 LDAPグループ・マッピングの作成

LDAP接続を作成した後は、1つ以上のLDAPグループ・マッピングを作成できます。

LDAPグループを1つ以上のOracle Key Vault管理ロールおよびユーザー・グループにマップできます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
3. 「LDAP Group Mappings」ページで「Create」をクリックします。
   「Create LDAP Group Mapping」ページが表示されます。
4. 次の設定を入力します。
   • Domain: リストから、Oracle Key Vaultに登録されているドメインを選択します。
   • LDAP Group: 次の選択肢から選択します。
     • 「Fetch All Groups」には、追加できる使用可能なすべてのグループのリストが表示されます。このラベルに続くメニューからグループを選択します。1つの検索結果で返すことができるオブジェクトの数をLDAPグループの数が超えている場合は、エラーが返されます。「Filter by CN (Common Name)」または「Specify DN (Distinguished Name)」オプションを使用して、LDAPグループ検索を絞り込みます。
     • 「Filter by CN (Common Name)」では、CNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、CNの接頭辞を入力し、その後に続くリストで、必要に応じて選択します。たとえば、共通名Adminで始まるすべてのLDAPグループを検索するには、Adminと入力します。「Filter by CN (Common Name)」基準に一致するLDAPグループの数が、1つの検索結果で返すことができるオブジェクトの数を超えている場合は、エラーが返されます。「Filter by CN (Common Name)」にさらに詳しく入力してLDAPグループ検索を絞り込むか、「Specify DN (Distinguished Name)」オプションを使用します。
     • 「Specify DN (Distinguished Name)」では、DNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、グループの完全なDNを入力し、その後に続くリストで、必要に応じて選択します。
5. 「Roles」の下で、LDAPグループにマップする1つ以上のOracle Key Vaultロールを選択します。
   • Audit Manager
   • Key Administrator:
   • System Administrator
   次の点に注意してください。

   • 「Allow Forward Grant」チェック・ボックス: 選択したロールごとに、「Allow Forward Grant」のチェック・ボックスが表示されます。ユーザー・グループが他のユーザーに対して管理ロールを付与したり、取り消すことができるようにする場合は、「Allow Forward Grant」チェック・ボックスを選択します。「Allow Forward Grant」オプションを使用して特定のロールを付与されたユーザーのみが、LDAPグループ・マッピングを介してこのロールをLDAPユーザーに付与できます。監査マネージャ・ロールとシステム管理者ロールを付与されたユーザーは、新しいLDAPグループ・マッピングを作成できませんが、「Allow Forward Grant」オプションを持つ場合は、既存のLDAPグループ・マッピングを変更してそれらの管理ロールをLDAPグループにマップできます。
   • 権限: キー管理者ロールを付与されたユーザーは、LDAPグループと、Oracle Key Vault管理ロールまたはユーザー・グループ(またはその両方)の間のLDAPグループ・マッピングを作成、変更または削除できます。ただし、サイトが厳密な職務分離ガイドラインに従っている場合、キー管理者ユーザーは他の管理ロール(監査マネージャとシステム管理者)をマップできない場合があります。このような場合、キー管理者ユーザーには他の2つのロールがないため、LDAPグループをそれらにマップできません。また、LDAPユーザーにエンドポイント権限を付与できないことに注意してください。
6. オプションで、「User Groups」領域からユーザー・グループを選択してLDAPグループに関連付けることもできます。
7. 「Create」をクリックします。
   LDAPグループ・マッピングの作成後、マップされたロールおよびユーザー・グループ割当ては、LDAPグループ・メンバー・ユーザーがOracle Key Vaultにログインしたときに有効になります。LDAPグループ・マッピングでの変更内容は、既存のセッションでユーザーに付与された認可には影響しません。

8.6.3 LDAPグループ・マッピングの変更

LDAP接続を構成した後で、LDAPグループのマッピングを変更できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
3. 「LDAP Group Mappings」の下で、権限を変更するLDAPグループを検索します。
4. このLDAPグループの「Edit」ボタンを選択して表示します。
5. 「Roles」の下で、使用可能なロールから選択します。
   • Audit Manager
   • Key Administrator
   • System Administrator

   次の点に注意してください。

   • 「Allow Forward Grant」チェック・ボックス: 選択したロールごとに、「Allow Forward Grant」のチェック・ボックスが表示されます。ユーザー・グループが他のユーザーに対して管理ロールを付与したり、取り消すことができるようにする場合は、「Allow Forward Grant」チェック・ボックスを選択します。「Allow Forward Grant」オプションを使用して特定のロールを付与されたユーザーのみが、LDAPグループ・マッピングを介してこのロールをLDAPユーザーに付与できます。監査マネージャ・ロールとシステム管理者ロールを付与されたユーザーは、新しいLDAPグループ・マッピングを作成できませんが、「Allow Forward Grant」オプションを持つ場合は、既存のLDAPグループ・マッピングを変更してそれらの管理ロールをLDAPグループにマップできます。
   • 権限: キー管理者ロールを付与されたユーザーは、LDAPグループと、Oracle Key Vault管理ロールまたはユーザー・グループ(またはその両方)の間のLDAPグループ・マッピングを作成、変更または削除できます。ただし、サイトが厳密な職務分離ガイドラインに従っている場合、キー管理者ユーザーは他の管理ロール(監査マネージャとシステム管理者)をマップできない場合があります。このような場合、キー管理者ユーザーには他の2つのロールがないため、LDAPグループをそれらにマップできません。また、LDAPユーザーにエンドポイント権限を付与できないことに注意してください。
6. 「User Groups」の下で、このLDAPグループに関連付ける使用可能なOracle Key Vaultユーザー・グループから選択します。
7. Oracle Key Vaultユーザー・グループをマッピングから削除するには、「User Groups Mapped」リストから選択し、「Remove User Groups」をクリックします。
8. オプションで、Oracle Key Vaultグループの「Details」ボタンを選択して、ユーザー・グループの設定および権限を変更します。
9. 「Save」をクリックします。

Oracle Key Vaultは、ログイン時にのみ、現在のセッションに対するLDAPユーザーの認可を決定します。ログイン・プロセス中に、Oracle Key VaultはLDAPディレクトリ・サーバーからユーザーのLDAPグループを取得し、現在のセッションにマップされているOracle Key Vault管理ロールおよびユーザー・グループを決定します。LDAPグループ内のユーザーのメンバーシップを変更したり、ユーザーのLDAPグループとOracle Key Vaultユーザー・グループまたは管理ロール間のマッピングを変更しても、既存のセッションに対するユーザーの認可には影響しません。ただし、Oracle Key Vaultユーザー・グループに付与された権限への変更は即時に有効になり、既存のすべてのセッションに適用されることに注意してください。

8.6.4 LDAPグループ・マッピングの検証

LDAPディレクトリ・サーバーでLDAPグループが変更された場合、キー管理者ロールを持つユーザーはOracle Key Vaultでマッピングを検証できます。

マルチマスター・クラスタ環境では、LDAPグループ・マッピングの検証はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
3. 「LDAP Group Mappings」の下で、検証するグループ・マッピングのチェック・ボックスを選択します。
4. 「Validate」ボタンを選択します。
5. 確認のウィンドウで、「OK」をクリックします。

8.6.5 LDAPグループ・マッピングの削除

キー管理者ロールを持つユーザーは、Oracle Key Vaultから1つ以上のLDAPグループおよび関連付けられたマッピングを削除できます。

マルチマスター・クラスタ環境では、LDAPグループ・マッピングの削除はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
3. 「LDAP Group Mappings」ページで、削除するLDAPグループのチェック・ボックスを選択します。
4. 「Delete」をクリックします。
5. 確認のウィンドウで、「OK」をクリックします。

8.7 Oracle Key Vaultで生成されたLDAPユーザーの管理

LDAPディレクトリ・サーバーの実際のLDAPユーザー・アカウントは管理できませんが、LDAPユーザーがOracle Key Vaultに初めてログインしたときに作成されるOracle Key Vaultで生成されたユーザー・アカウントは管理できます。

• LDAPユーザーの管理について
  Oracle Key VaultのLDAPユーザー・アカウントは、構成されたLDAPディレクトリ・サーバーのLDAPユーザー・アカウントに基づいて自動的に作成されるアカウントです。
• Oracle Key Vaultで生成されたLDAPユーザーに関する情報の検索
  Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関する情報を検索できます。
• Oracle Key Vaultで生成されたLDAPユーザーの検証
  Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関連付けられているLDAPユーザー・アカウントが有効なアカウントかどうかを確認できます。
• Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更
  キー管理者ロールを持つユーザーまたはウォレットを管理する権限を持つ通常のユーザーは、Oracle Key Vaultで生成されたLDAPユーザー・アカウントのウォレット権限を変更できます。
• Oracle Key Vaultで生成されたLDAPユーザーの削除
  システム管理者ロールを持つユーザーは、Oracle Key VaultからLDAPユーザー・アカウントを削除できます。

8.7.1 LDAPユーザーの管理について

Oracle Key VaultのLDAPユーザー・アカウントは、構成されたLDAPディレクトリ・サーバーのLDAPユーザー・アカウントに基づいて自動的に作成されるアカウントです。

Oracle Key Vaultは、LDAPユーザーがOracle Key Vaultに最初にログインしたときに、ユーザーの名、姓および電子メール属性を取得して、このアカウントを作成します。これらの値は、Oracle Key Vaultでは変更できません。アカウントに対応するLDAPディレクトリ・サーバーでのみ、権限を持つLDAP管理者が変更できます。これらの値が変更された場合、次にLDAPユーザーがOracle Key Vaultにログインしたときに、Oracle Key Vaultがこれらの値でユーザー・アカウントを更新します。このユーザーのOracle Key Vaultに対するウォレット権限の付与および取消しを除き、Oracle Key Vault管理者はこのアカウントを変更できません。

マルチマスター・クラスタ環境では、LDAPユーザー・アカウントが存在するLDAPディレクトリ・サーバーによってアカウントの一意性が保証されるため、ユーザー名の競合解決は必要ありません。LDAPユーザーがクラスタ内の異なるノードにログインすると、同一のユーザー・アカウントが作成され、このアカウントはクラスタ全体で統一されます。これらの各アカウント作成はタイムスタンプされます。Oracle Key Vaultの同期プロセスでは、最新のアカウント作成タイムスタンプ値が保持されます(つまり、このユーザーが最後に作成されたノードから)。したがって、クラスタ環境全体で、タイムスタンプ値は最新のユーザー・アカウント作成タイムスタンプと同じになります。

8.7.2 Oracle Key Vaultで生成されたLDAPユーザーに関する情報の検索

Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関する情報を確認できます。

Oracle Key VaultのLDAPユーザー・アカウントは変更できません。かわりに、ユーザー・アカウントが存在するLDAPディレクトリ・サーバーのアカウントを変更する必要があります。ユーザーを別のLDAPグループに移動する場合は、LDAPディレクトリ・サーバーで行う必要があります。

1. システム管理者、キー管理者、または監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」ページで、「Manage LDAP Users」セクションまでスクロールします。
   次の情報を確認できます。

   • ユーザーの識別名(DN)
   • ユーザーのフルネーム
   • LDAP構成の名前
   • ユーザー・アカウントのドメイン名
   • LDAPグループを介してユーザーに付与されたOracle Key Vaultロール
   • ユーザーのマップ済グループ
   • Oracle Key Vaultユーザー・グループ内のLDAPユーザーの有効なメンバーシップ
   • ウォレットに対するユーザーのアクセス権

8.7.3 Oracle Key Vaultで生成されたLDAPユーザーの検証

Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関連付けられているLDAPユーザー・アカウントが有効なアカウントかどうかを確認できます。

• Oracle Key Vaultで生成されたLDAPユーザーの検証について
  LDAPユーザー・アカウントがソースLDAPディレクトリ・サーバーで削除されている場合、Oracle Key Vaultで生成されたユーザー・アカウントは引き続きOracle Key Vaultに存在します。
• Oracle Key Vaultで生成されたLDAPユーザーの検証
  システム管理者ロールを持つユーザーは、Oracle Key Vaultで生成されたLDAPユーザーを手動で検証できます。

8.7.3.1 Oracle Key Vaultで生成されたLDAPユーザーの検証

LDAPユーザー・アカウントがソースLDAPディレクトリ・サーバーで削除されている場合、Oracle Key Vaultで生成されたユーザー・アカウントは引き続きOracle Key Vaultに存在します。

システム管理者ロールを持つユーザーは、Oracle Key Vaultで検証することで、Oracle Key Vaultで生成されたユーザー・アカウントがソースLDAPディレクトリ・サーバーにまだ存在するかどうかを確認できます。マルチマスター・クラスタ環境では、Oracle Key Vaultで生成されたLDAPユーザー・アカウントの検証は、クラスタ内のすべてのノードに適用されます。

Oracle Key Vaultは、次のイベントが発生した場合、LDAPユーザー・アカウントの有効性を定期的にチェックし、それらをNOT FOUNDとしてマークします。

• LDAPディレクトリ・サーバーにLDAPユーザー・アカウントが存在しません。
• LDAPユーザー・アカウントに関連付けられているLDAP構成が削除されます。

Oracle Key Vaultは、「Defunct LDAP Users Grace Period」設定(「Edit LDAP Configuration」ページ)で構成された日数が経過すると、無効なLDAPユーザー・アカウントを自動的に削除します。LDAPユーザー・アカウントは、Oracle Key Vaultからいつでも削除できます。

8.7.3.2 Oracle Key Vaultで生成されたLDAPユーザーの検証

システム管理者ロールを持つユーザーは、Oracle Key Vaultで生成されたLDAPユーザーを手動で検証できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」ページで、「Manage LDAP Users」セクションまでスクロールします。
4. 検証するLDAPユーザーのチェック・ボックスを選択します。
5. 「Validate」をクリックします。
   LDAPアカウントが有効でない場合、NOT FOUNDメッセージが表示されます。

8.7.4 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更

キー管理者ロールを持つユーザーまたはウォレットを管理する権限を持つ通常のユーザーは、Oracle Key Vaultで生成されたLDAPユーザー・アカウントのウォレット権限を変更できます。

• Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更について
  変更できるウォレット権限は、「Read Only」、「Read and Modify」または「Manage Wallet」です。
• Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(キー管理者)
  キー管理者ロールを持つユーザーは、Oracle Key VaultのLDAPユーザーに任意のウォレットのウォレット権限の付与および取消しができます。
• Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(通常のユーザー)
  ウォレットを管理する権限を持つ通常のユーザーは、Oracle Key VaultのLDAPユーザーにこれらのウォレットの権限の付与および取消しができます。

8.7.4.1 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更について

変更できるウォレット権限は、「Read Only」、「Read and Modify」または「Manage Wallet」です。

LDAPディレクトリ内の対応するLDAPアカウントは変更できませんが、Oracle Key Vaultで生成されたLDAPユーザー・アカウントのウォレット権限は変更できます。Oracle Key VaultでLDAPユーザー・アカウントに直接付与された権限への変更は、同じユーザーの既存のセッションにもすぐに適用されます。LDAPユーザー・アカウントがLDAPサーバーで変更された場合(ユーザーのLDAPグループ・メンバーシップの変更など)、変更は次のユーザー・ログインから有効になります。マルチマスター・クラスタ環境では、LDAPユーザーの変更はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

8.7.4.2 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(キー管理者)

キー管理者ロールを持つユーザーは、Oracle Key VaultのLDAPユーザーへの任意のウォレットのウォレット権限の付与および取消しを実行できます。

1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」の下で、「Manage LDAP Users」セクションまでスクロールします。
4. LDAPユーザー・アカウントの名前を選択して、「LDAP User Details」ページを表示します。
5. 「Access to Wallets」ペインで、次の操作を実行します。
   1. 「Add」をクリックして、「Add Access to User」ページを表示します。
   2. 「Select Wallet」の下で、LDAPユーザーに権限を付与するウォレットを選択します。
   3. 「Access Level」の下で、「Read Only」、「Read and Modify」、または「Manage Wallet」を選択します。
   4. 「Save」をクリックします。
      ウォレット権限は、LDAPグループを介して使用可能なウォレット権限とは対照的に、このユーザーの直接権限として追加されます。ユーザーが割り当てられているLDAPグループからのウォレット権限をすでに持っている場合、ユーザーは直接権限付与とLDAPグループ権限付与の両方からの権限を結合しています。
6. 「Save」をクリックします。

8.7.4.3 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(通常のユーザー)

ウォレットを管理する権限を持つ通常のユーザーは、Oracle Key VaultのLDAPユーザーへのこれらのウォレットに対する権限の付与および取消しを実行できます。

1. ウォレットを管理する権限を持つユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーから「Wallets」を選択します。
   「Wallets」ページには、このユーザーが権限を持つウォレットがリストされます。
3. 権限を変更するウォレットの「Edit」アイコンを選択します。
   「Wallet Access Settings」領域には、このウォレットに対する権限を持つすべてのユーザーがリストされます。
4. 「Wallet Access Settings」領域で、「Add」をクリックします。
5. 「Add Access to Wallets」ページの「Select Endpoint/User Group」の下で、「Users」を「Type」メニューから選択します。
6. 権限を付与するユーザーのチェック・ボックスを選択します。
7. 「Select Access Level」領域で、「Read Only」、「Read and Modify」または「Manage Wallet」を選択します。
8. 「Save」をクリックします。
   ウォレット権限は、LDAPグループを介して使用可能なウォレット権限とは対照的に、このユーザーの直接権限として追加されます。ユーザーが割り当てられているLDAPグループからのウォレット権限をすでに持っている場合、ユーザーは直接権限付与とLDAPグループ権限付与の両方からの権限を結合しています。

8.7.5 Oracle Key Vaultで生成されたLDAPユーザーの削除

システム管理者ロールを持つユーザーは、Oracle Key VaultからLDAPユーザー・アカウントを削除できます。

LDAPディレクトリ・サーバーからLDAPユーザー・アカウントが削除された場合、定期的な確認中に、Oracle Key Vaultはまずそのようなユーザー・アカウントを無効として自動的にマークし(NOT FOUND)、「Defunct LDAP Users Grace Period」設定(「Edit LDAP Configuration」ページ)経過後にこれらのアカウントを削除します。

Oracle Key Vaultで生成されたLDAPユーザー・アカウントを誤って削除した場合、ユーザーが次回ログインしたときにアカウントが再作成されます。ただし、ユーザーは削除前に作成したオブジェクトを所有しなくなります。マルチマスター・クラスタ環境では、Oracle Key Vaultで生成されたLDAPユーザー・アカウントの削除は、クラスタ内のすべてのノードに適用され、任意のノードで実行できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Manage Users」ページで、「Manage LDAP Users」セクションまでスクロールします。
4. 削除するLDAPユーザーのチェック・ボックスを選択します。
5. 「Delete」をクリックします。
6. 確認のウィンドウで、「OK」をクリックします。
   ユーザー・アカウントはすぐに削除されます。