11 Enterprise Managerによるマルチテナント環境のセキュリティの管理

Oracle Enterprise Managerを使用することで、共通およびローカルのユーザーとロールを管理できます。

• Enterprise Managerによるマルチテナント環境のセキュリティの管理について
  Oracle Enterprise Manager Cloud Controlを使用すると、ルートおよび関連するプラガブル・データベース(PDB)の両方について、共通ユーザーと共通ロールを作成、管理および監視できます。
• Enterprise Managerによるマルチテナント環境へのログイン
  CDBまたはPDBにログインすることや、PDBから別のPDBまたはルートに切り替えることができます。
• Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理
  Oracle Enterprise Managerを使用すると、共通ユーザーとローカル・ユーザーを作成、編集および削除できます。
• Enterprise Managerでの共通およびローカルのロールと権限の管理
  Oracle Enterprise Managerを使用すると、共通ロールおよびローカル・ロールの作成、編集、削除および取消しを行うことができます。

11.1 Enterprise Managerによるマルチテナント環境のセキュリティの管理について

Oracle Enterprise Manager Cloud Controlを使用すると、ルートおよび関連するプラガブル・データベース(PDB)の両方について、共通ユーザーと共通ロールを作成、管理および監視できます。

Enterprise Managerによって、ルートと指定されたPDBの間を容易に切り替えることができます。

11.2 Enterprise Managerによるマルチテナント環境へのログイン

CDBまたはPDBにログインすることや、PDBから別のPDBまたはルートに切り替えることができます。

• CDBまたはPDBへのログイン
  様々な種類のEnterprise Managerデータベース・ログイン・ページが、ログイン時にリクエストした機能に基づいて自動的に表示されます。
• 別のPDBへの、またはルートへの切替え
  Oracle Enterprise Managerで、PDBから別のPDBまたはルートに切り替えることができます。

11.2.1 CDBまたはPDBへのログイン

様々な種類のEnterprise Managerデータベース・ログイン・ページが、ログイン時にリクエストした機能に基づいて自動的に表示されます。

CDB管理者(CDBターゲットにするCONNECT権限があるEnterprise Managerユーザー)としてログインしてCDBの範囲の機能を使用するには:

1. ユーザーSYSTEMまたはSYSMANとしてOracle Enterprise Manager Cloud Controlにログインします。

   URLは次のとおりです。

   https://host:port/em

2. 「データベース」ページに移動します。
3. アクセスするデータベースを選択します。

   データベースのホームページが表示されます。

4. 実行するアクションのメニュー項目を選択します。たとえば、ユーザーを認証するには「管理」、「セキュリティ」、「ユーザー」の順に選択します。

   「データベース・ログイン」ページが表示されます。次に示す例はCDBの「データベース・ログイン」ページです(表示されているデータベース名がCDB$ROOTのため)。この名前から、このページは口語的にマルチテナント環境のrootのデータベース・ログイン・ページと呼ばれます。「データベース」フィールドは現在のデータベースを示します。PDBを選択した場合、PDBの名前がこのフィールドに表示されます。

   
   図em_login.gifの説明
5. 適切な資格証明を使用してログインします。

   共通ユーザーのみがルートにログインでき、共通ユーザーの名前はC##またはc##で始まることに注意してください。PDBには、共通ユーザーとローカル・ユーザーの両方がそれぞれの権限に応じてログインできます。

11.2.2 別のPDBへの、またはルートへの切替え

Oracle Enterprise Managerで、PDBから別のPDBまたはルートに切り替えることができます。

1. ページの左上に「データベース」リンクがあります。

   「データベース」リンクに、現在のコンテナ名が表示されます。次に示す例では、現在のデータベースは、口語的にルートと呼ばれるCDB自体(CDB$ROOT)です。

   
   図em_database_breadcrumb.gifの説明
2. コンテナの右にあるメニュー・アイコンを選択し、このメニューから、アクセスするデータベースを選択します。

   メニュー項目が表示されない場合は、データベースのホームページなど、メニュー項目が表示されるページに移動します。

3. 実行するアクティビティ(ユーザーの作成など)を決定する際は、適切な権限でログインします。

   あらかじめ適切な権限で認証を行わずにアクティビティを実行しようとすると、適切な権限でログインするよう要求されます。

11.3 Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理

Oracle Enterprise Managerを使用すると、共通ユーザーとローカル・ユーザーを作成、編集および削除できます。

• Enterprise Managerの共通ユーザー・アカウントの作成
  共通ユーザーは、ルートに存在し、CDBのPDBにアクセスできるユーザーです。
• Enterprise Managerの共通ユーザー・アカウントの編集
  共通ユーザー・アカウントは、ルートから編集できます。
• Enterprise Managerの共通ユーザー・アカウントの削除
  共通ユーザーは、CDBルートから削除できます。
• Enterprise Managerのローカル・ユーザー・アカウントの作成
  ローカル・ユーザーとは、特定のPDBにのみ存在し、他のPDBにアクセスできないユーザーです。
• Enterprise Managerのローカル・ユーザー・アカウントの編集
  ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから編集できます。
• Enterprise Managerのローカル・ユーザー・アカウントの削除
  ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから削除できます。

11.3.1 Enterprise Managerの共通ユーザー・アカウントの作成

共通ユーザーは、ルートに存在し、CDBのPDBにアクセスできるユーザーです。

1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。

3. 「作成」をクリックします。

   「ユーザーの作成」ページが表示されます。

   
   図em_com_user_create2.gifの説明
4. 共通ユーザーを作成するオプションを選択して、このユーザーに権限を付与します。

   ユーザー名の前にC##またはc##を付けてください。

5. 「OK」または「適用」をクリックします。

   共通ユーザーは、ルートで作成され、関連付けられているPDBの「ユーザー」ページに表示されます。

11.3.2 Enterprise Managerの共通ユーザー・アカウントの編集

共通ユーザー・アカウントは、ルートから編集できます。

1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
   • ルートにログインする場合は、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーである必要があります。
   • PDBにログインする場合は、そのPDBのCREATE USER権限を持っていることを確認してください。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。ルートでは、共通ユーザーのみが表示されます。PDBでは、共通ユーザーとローカル・ユーザーの両方がリストされます。

3. 編集する共通ユーザーを選択して、「編集」をクリックします。

   ユーザーの編集ページが表示されます。ルートの共通ユーザーについては、その共通ユーザーのすべての設定を変更できます。PDBの共通ユーザーについては、ユーザー・パスワード、デフォルト表領域、一時表領域は変更できません。設定の変更は、現在のPDBにのみ適用されます。次の画面に、PDBでの共通ユーザーの「ユーザーの編集」ページを示します。

   
   図em_com_user_edit.gifの説明
4. 必要に応じて、共通ユーザーを変更します。
5. 「適用」をクリックします。

11.3.3 Enterprise Managerの共通ユーザー・アカウントの削除

共通ユーザーは、CDBルートから削除できます。

1. Enterprise Managerデータベースのホームページで、共通CREATE USERおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
   PDBから共通ユーザーを削除することはできません。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、共通ユーザーのみをリストする「ユーザー」が表示されます。

3. 削除する共通ユーザーを選択して、「削除」をクリックします。
4. 共通ユーザーの削除を確定します。

11.3.4 Enterprise Managerのローカル・ユーザー・アカウントの作成

ローカル・ユーザーとは、特定のPDBにのみ存在し、他のPDBにアクセスできないユーザーです。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてルートにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーのみを示す「ユーザー」ページが表示されます。

3. 「作成」をクリックします。

   「ユーザーの作成」ページが表示されます。

4. ローカル・ユーザーを作成するオプションを選択して、このユーザーに権限を付与します。

   ユーザー名の前にC##またはc##を付けないでください。

5. 「OK」をクリックします。

   現在のPDBでローカル・ユーザーが作成されます。

11.3.5 Enterprise Managerのローカル・ユーザー・アカウントの編集

ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから編集できます。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーおよび共通ユーザーのみを示す「ユーザー」ページが表示されます。

3. 編集するローカル・ユーザーを選択して、「編集」をクリックします。

   ユーザーの編集ページが表示されます。

4. 必要に応じて、ローカル・ユーザーを変更します。
5. 「適用」をクリックします。

11.3.6 Enterprise Managerのローカル・ユーザー・アカウントの削除

ローカル・ユーザーは、そのローカル・ユーザーが存在するPDBから削除できます。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE USER権限を持つローカル・ユーザーまたは共通ユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ユーザーおよび共通ユーザーのみを示す「ユーザー」ページが表示されます。(PDBから共通ユーザーを削除することはできません。)

3. 削除するローカル・ユーザーを選択して、「削除」をクリックします。

   ユーザーを削除してよいかどうか、確認を求められます。

4. ローカル・ユーザーの削除を確定します。

11.4 Enterprise Managerの共通およびローカル・ロールおよび権限の管理

Oracle Enterprise Managerを使用すると、共通ロールおよびローカル・ロールの作成、編集、削除および取消しを行うことができます。

• Enterprise Managerの共通ロールの作成
  共通ロールを使用して、共通権限を共通ユーザーに割り当てることができます。
• Enterprise Managerの共通ロールの編集
  共通ロールは、ルートから編集できます。
• Enterprise Managerの共通ロールの削除
  共通ロールは、ルートから削除できます。
• Enterprise Managerの共通権限付与の取消し
  共通権限付与は、ルートから取り消すことができます。
• Enterprise Managerのローカル・ロールの作成
  共通ロールを使用して、後でローカル・ユーザーに権限のローカル・セットを割り当てることができます。
• Enterprise Managerのローカル・ロールの編集
  ローカル・ロールは、そのローカル・ロールが存在するPDBで編集できます。
• Enterprise Managerのローカル・ロールの削除
  ローカル・ロールは、そのローカル・ロールが存在するPDBから削除できます。
• Enterprise Managerのローカル権限付与の取消し
  ローカル権限は、その権限が使用されるPDBで取り消すことができます。

11.4.1 Enterprise Managerの共通ロールの作成

共通ロールを使用して、共通権限を共通ユーザーに割り当てることができます。

これらのロールは、すべてのコンテナにわたり有効です。

1. Enterprise Managerデータベースのホームページで、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   要求された場合は、ログイン情報を入力します。その後、「ロールの作成」ページが表示されます。

3. 「作成」をクリックします。

   「ロールの作成」ページが表示されます。

   
   図em_com_role_create.gifの説明
4. 共通ロールを作成するオプションを選択して、このロールに権限を付与します。

   ロール名の前にC##またはc##を付けてください。

5. 「OK」をクリックします。

   共通ロールがルートに作成されます。

11.4.2 Enterprise Managerの共通ロールの編集

共通ロールは、ルートから編集できます。

1. Enterprise Managerデータベースのホームページで、ルートまたはPDBにログインします。ルートにログインする場合は、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーである必要があります。PDBにログインする場合は、そのPDBのCREATE ROLE権限を持っていることを確認してください。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   要求された場合は、ログイン情報を入力します。その後、「ロール」ページが表示されます。ルートでは、共通ロールのみが表示されます。PDBでは、共通ロールとローカル・ロールの両方が表示されます。

3. 編集する共通ロールを選択して、「編集」をクリックします。

   ロールの編集ページが表示されます。ルートの共通ユーザーについては、その共通ユーザーのすべての設定を変更できます。

   PDBの共通ロールについては、ロールの認証のみ変更可能で、このユーザーに別のロール、システム権限、オブジェクト権限およびコンシューマ・グループ権限を付与します。これらの設定は現在のPDBにのみ適用されます。

4. 必要に応じて、共通ユーザーを変更します。
5. 「適用」をクリックします。

11.4.3 Enterprise Managerの共通ロールの削除

共通ロールは、ルートから削除できます。

1. Enterprise Managerデータベースのホームページで、共通CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
   PDBから共通ロールを削除することはできません。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   要求された場合は、ログイン情報を入力します。その後、共通ロールのみを示す「ロール」ページが表示されます。

3. 削除する共通ロールを選択して、「削除」をクリックします。
4. 共通ロールの削除を確定します。

11.4.4 Enterprise Managerの共通権限付与の取消し

共通権限付与は、ルートから取り消すことができます。

1. Enterprise Managerデータベースのホームページで、共通CREATE USER、CREATE ROLEおよびSET CONTAINER権限を持つ共通ユーザーとしてルートにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   「ユーザー」ページに、共通ユーザーが表示されます。

3. 権限を取り消すユーザーを選択して、「編集」をクリックします。

   ユーザーの編集ページが表示されます。

4. 「ロール」または該当する「権限」タブを選択します。

   このユーザーに割り当てられているロールと権限のリストが表示されます。

5. 「リストの編集」を選択し、必要に応じてロールまたは権限を削除します。
6. 「OK」ボタンをクリックします。

11.4.5 Enterprise Managerのローカル・ロールの作成

共通ロールを使用して、後でローカル・ユーザーに権限のローカル・セットを割り当てることができます。

これらのロールは、定義対象のPDBコンテナ全体で有効になります。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   ロール・ページが表示されます。

3. 「作成」をクリックします。

   要求された場合は、ログイン情報を入力します。その後、「ロールの作成」ページが表示されます。

4. ローカル・ロールを作成するオプションを選択して、このロールに権限を付与します。

   ロール名の前にC##またはc##を付けないでください。

5. 「OK」をクリックします。

   現在のPDBでローカル・ロールが作成されます。

11.4.6 Enterprise Managerのローカル・ロールの編集

ローカル・ロールは、そのローカル・ロールが存在するPDBで編集できます。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ロールおよび共通ロールのみを示す「ロール」ページが表示されます。

3. 編集するローカル・ロールを選択して、「編集」をクリックします。

   ユーザーの編集ページが表示されます。

4. 必要に応じて、ローカル・ユーザーを変更します。
5. 「適用」をクリックします。

11.4.7 Enterprise Managerのローカル・ロールの削除

ローカル・ロールは、そのローカル・ロールが存在するPDBから削除できます。

1. Enterprise Managerデータベースのホームページで、ローカルCREATE ROLE権限を持つユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ロール」を選択します。

   要求された場合は、ログイン情報を入力します。その後、現在のPDBのローカル・ロールおよび共通ロールのみを示す「ロール」ページが表示されます。(PDBから共通ロールを削除することはできません。)

3. 削除するローカル・ロールを選択して、「削除」をクリックします。

   ロールを削除してよいかどうか、確認を求められます。

4. ローカル・ロールの削除を確定します。

11.4.8 Enterprise Managerのローカル権限付与の取消し

ローカル権限は、その権限が使用されるPDBで取り消すことができます。

1. Enterprise Managerデータベースのホームページで、CREATE USERおよびCREATE ROLE権限を持つ共通ユーザーまたはローカル・ユーザーとしてPDBにログインします。
2. 「管理」メニューから、「セキュリティ」を選択し、「ユーザー」を選択します。

   要求された場合は、ログイン情報を入力します。その後、「ユーザー」ページが表示されます。PDBでは、共通ユーザーとローカル・ユーザーの両方がリストされます。

3. 権限を取り消すユーザーを選択して、「編集」をクリックします。

   ユーザーの編集ページが表示されます。

4. 「ロール」または該当する「権限」タブを選択します。

   このユーザーに割り当てられているロールと権限のリストが表示されます。

5. 「リストの編集」を選択し、必要に応じて権限を削除します。
6. 「OK」ボタンをクリックします。