1. Oracle GoldenGate System Monitoring Plug-In
  2. 構成
  3. インスタンスレベルのセキュリティの構成

7.3 インスタンスレベルのセキュリティの構成

Enterprise Managerではインスタンス・レベルのセキュリティの柔軟性が提供され、管理者にターゲット・レベルの権限が提供されます。

たとえば、Enterprise Manager Plug-In for Oracle GoldenGateが3つのOracle GoldenGate (OGG)インスタンス(OGG1、OGG2およびOGG3など)を管理している場合は、ユーザーにこれらのインスタンスとそのサブ・ターゲット(つまり、そのOGGプロセス)への権限を付与できます。

ターゲット・レベルのアクセス権を付与するには:
  1. スーパー管理者(sysmanなど)としてログインします。
  2. 「設定」、「セキュリティ」、「管理者」の順に選択し、「管理者」ページを開きます。
  3. アクセス権を変更する必要があるユーザーを選択します。
  4. ターゲット・タイプのホスト、エージェント、Oracle GoldenGate (クラシック・インスタンスの場合)およびOracle GoldenGateサービス・マネージャ(Microservicesインスタンスの場合)があることを確認します
  5. 既存のユーザーのアクセス権を変更するには、「編集」をクリックします。
  6. 「作成」/「類似作成」をクリックして、新しいユーザーを作成し、適切なユーザー・ロールを割り当てて、「プロパティ」タブを表示します。
  7. 新規ユーザーに必要な資格証明を入力し、「次」をクリックして「管理者userNameの作成: ロール」ページを開きます。

    このページでは、「使用可能なロール」列から「選択したロール」列にロールを移動して、名前付きユーザーにロールを割り当てることができます。

  8. 「使用可能なロール」リストから1つ以上のロールを選択し、「移動」をクリックして、新しいユーザーに追加します。

    事前選択されているロールに加えて、少なくともEM_BASIC_SUPPORT_REPロールを選択する必要があります。この表は様々なロールを示しています。

    RMロール名 パラメータの表示/編集 レポートの表示 廃棄の表示

    EM_ALL_ADMINISTRATOR

    はい

    いいえ

    いいえ

    EM_ALL_OPERATOR

    はい

    いいえ

    いいえ

    EM_ALL_VIEWER

    いいえ

    いいえ

    いいえ

    PUBLIC

    いいえ

    いいえ

    いいえ

    EM_PLUGIN_USER

    いいえ

    いいえ

    いいえ

    EM_ALL_ADMINISTRATOR、EM_ALL_OPERATORなどのALLロールをこのステップで選択しないでください。選択した場合、作成したユーザー・ロールがすべてのOGGインスタンスに付与されます。

    Enterprise Manager (EM)はオブジェクト・レベルのアクセス制御をサポートしているため、管理者に特定のターゲットのみのロールを付与できます。Enterprise Manager Cloud Control管理者ガイドシステム・インフラストラクチャ管理のロールの作成を参照してください。

  9. 「次」をクリックしてターゲット権限ページを開きます。
  10. 「ターゲット権限」タブを選択し、「ターゲット権限」セクションにスクロール・ダウンし、「任意の場所でのコマンドの実行」および「Enterprise Managerのモニター」ロールを選択し、「追加」をクリックします。

    これら2つのロールは、完全な機能および複数のバージョンのサポートに必要です。

  11. 「すべてのターゲットに適用可能な権限」表の下のターゲット権限セクションまでスクロールします。このセクションでは、ターゲットに対して特定のアクションを実行する権限を管理者に割り当てることができます。「追加」をクリックして、新しいブラウザ・ウィンドウに「検索と追加: ターゲット」ページを表示します。
  12. 必ず、インスタンスに基づいてホスト・ターゲット(クラシックの場合)またはエージェント(MA)ターゲットを適切に追加します。
  13. ユーザーにアクセス権を与えるインスタンスを選択します。

    注意:

    この時点では、Oracle GoldenGateインスタンスのみを割り当てます。Manager、ExtractまたはReplicatプロセスは割り当てません。

    2つのOracle GoldenGateインスタンス(ポート番号5559および5560)の例を次に示します。そのうちの1つ(ポート番号5560)へのアクセス権のみがこのユーザーに割り当てられています。

    inst_sec_select_target.gifの説明が続きます
    図inst_sec_select_target.gifの説明
  14. 「選択」をクリックして変更を保存します。

    「ターゲットの追加」ページに戻り、「ターゲット権限」リストがリフレッシュされて選択内容が表示されます。

  15. 「ターゲット権限付与の管理」列(右側の3番目の列)の下の「個々の権限の編集」リンクをクリックして、ターゲットに必要な権限を設定します。

    次の権限から選択します。

    権限名 説明

    完全

    ターゲットの削除を含む、ターゲットに対するすべての操作を実行します。

    OGGレポート・ファイルの内容の表示

    OGGターゲットのレポート・ファイルの内容を表示します。

    OGG破棄ファイルの内容の表示

    OGGターゲットの廃棄ファイルの内容を表示します。

    OGGコマンドの実行|Run OGG command

    OGGターゲットに対してOGGコマンド(StartStopKillおよびResume)を実行します。

    これらの制御操作は、Oracle GoldenGateホームページの「ターゲット」ドロップダウン・リストからも選択できます。制御操作を選択して、確認ダイアログ・ボックスを表示します。確認ダイアログ・ボックスで「はい」をクリックすると、実行のためにアクションがOracle GoldenGateコアに送信されます。コマンドの進捗を確認するために、ダイアログ・ボックスが自動的にリフレッシュされます。コマンドのエラーまたは成功は、同じダイアログ・ボックスに表示されます。「OK」をクリックすると、ホームページがターゲットの最新ステータスで更新されます。

    OGGパラメータ・ファイルの編集

    OGGターゲットのパラメータ・ファイルを編集します。

    ターゲットの接続

    ターゲットを接続および管理します。

    「完全」には「ターゲットの接続」が含まれるため、「完全」権限および「ターゲットの接続」権限の両方を選択しないでください。

  16. 「続行」をクリックします。
  17. 「確認」をクリックしてユーザーの権限を確認し、「終了」をクリックします。
    これでユーザーは選択したインスタンスへのアクセス権を持つようになります。すべてのターゲットに使用可能な権限は次のとおりです。
    • OGGパラメータ・ファイルの編集
    • OGGコマンドの実行
    • OGG廃棄ファイルの内容の表示
    • OGGレポート・ファイルの内容の表示

    これらの権限は、階層の上から下へ自動的に割り当てられます。たとえば、OGGコマンドの実行権限がOGGインスタンスに割り当てられると、そのすべての子プロセスに自動的に割り当てられます。ただし、プロセス固有の権限を指定することもできます。OGGパラメータ・ファイルの編集権限がプロセスに割り当てられるとした場合、これはそのプロセス固有であり、インスタンス内の別のプロセスには割り当てられません。

  18. インスタンス・レベルのセキュリティをテストして、すべての編集済プロセスが、割り当てられている権限で動作していることを確認します。
    1. 新しく作成または編集したユーザーとしてログインします。
    2. 「ターゲット」、「GoldenGate」の順に選択して、Oracle GoldenGateページを開きます。
    3. アクセス権があるOGGインスタンスのみが表示されることを確認します。
    4. ログアウトしてrootとしてログインします。
    5. 「ターゲット」、「GoldenGate」の順に選択して、Oracle GoldenGateページを開きます。
    6. これで、すべての管理対象OGGインスタンスが表示されるようになります。
詳細は、Cloud Controlセキュリティ・ガイドセキュリティの概要を参照してください。
  • ユーザーへの権限の認可
    管理者ユーザーとして、Oracle GoldenGateパラメータ・ファイルの編集、Oracle GoldenGateコマンドの実行、Oracle GoldenGate廃棄ファイルの内容の表示、およびOracle GoldenGateレポート・ファイルの内容の表示の権限をユーザーに付与できます。

親トピック: 構成

7.3.1 ユーザーへの権限の認可

管理者ユーザーとして、Oracle GoldenGateパラメータ・ファイルの編集、Oracle GoldenGateコマンドの実行、Oracle GoldenGate廃棄ファイルの内容の表示、およびOracle GoldenGateレポート・ファイルの内容の表示の権限をユーザーに付与できます。

ユーザーに権限を付与するには:
  1. スーパー管理者(sysmanなど)としてログインします。
    スーパー管理者ユーザーは、モニタリング・エージェントの名前付き資格証明(クラシック・インスタンスの場合)およびサービス・マネージャ・エージェントのモニタリング資格証明(MAインスタンスの場合)を作成できます。スーパー管理者ユーザーはユーザーに権限を付与します。ユーザーは、新しいユーザー資格証明を使用してEnterprise Manager Cloud Controlにログインした後、インスタンスのタイプに基づいて対応する資格証明を設定できます。
  2. 「設定」、「セキュリティ」、「管理者」の順に選択し、「管理者」ページを開きます。
  3. 既存のユーザーのアクセス権を変更するには、「編集」をクリックします。
  4. 「次」をクリックして、「すべてのターゲットに適用可能な権限」ページを表示し、4つの権限をすべて表示します。
  5. 必要な権限を選択し、「発行」をクリックします。

ノート:

  • ユーザーが必要な権限を持っていない場合、そのボタンは無効になります。たとえば、ユーザーに「パラメータの編集」権限がない場合、すべてのターゲットの「構成」タブの「編集」ボタンが無効になります。

  • ユーザーがすでにログインしていて、スーパー管理者がそれらのユーザーの権限を変更した場合、ログインしているユーザーがページをリフレッシュすると、新しい権限がユーザー・インタフェース(UI)に反映されます。

  • コマンド権限を持つログイン・ユーザーの権限を削除した場合、「スタート」、「停止」、「強制終了」または「再開」などのいずれかのコマンド・ボタンをそのユーザーがクリックすると、ユーザーに十分な権限がないというエラー・メッセージが表示されます。

親トピック: インスタンスレベルのセキュリティの構成