1. 管理者ガイド
  2. Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8 Oracle Key VaultでのLDAPユーザーの認証および認可の管理

ユーザーがOracle Key Vaultにアクセスできるように、Oracle Key VaultとLDAPサーバー(現在はMicrosoft Active Directory)間の接続を構成できます。

8.1 Oracle Key VaultでのLDAPユーザーの認証および認可の管理について

構成済のLDAPディレクトリ・サーバーで集中管理されるようにOracle Key Vaultユーザーを構成できます。

Oracle Key Vaultでは、LDAPプロバイダとしてMicrosoft Active Directoryのみがサポートされます。このタイプの構成では、LDAPユーザーが次の操作を実行できるように、LDAPディレクトリ・サーバーでOracle Key Vaultユーザーの認証および認可を管理できます。

  • Oracle Key Vault管理コンソールにログインし、認可されている管理タスクを実行します。
  • コマンドラインでOracle Key Vault RESTfulサービス・コマンドを実行します。

大規模な企業では、ユーザーとその認可を集中管理することで、ユーザー管理の運用効率が向上するだけでなく、コンプライアンス、制御およびセキュリティも大幅に向上します。たとえば、従業員の退職処理をするときに、LDAP管理者はLDAPディレクトリ・サーバー内のユーザーのアカウントをロックして、Oracle Key Vaultを含む様々なシステムへの従業員のアクセスを終了できます。

LDAPディレクトリ・サーバーでOracle Key Vaultユーザーを集中管理することで、各Oracle Key VaultインスタンスでLDAPユーザーのユーザー・アカウント・ポリシーおよびパスワード・ポリシーを維持する必要がなくなります。かわりに、これらのポリシーをLDAPディレクトリ・サーバーで集中管理できます。

この機能により、Oracle Key VaultでのLDAPユーザーの自動プロビジョニングが実装されます。LDAPユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key Vaultは、LDAPディレクトリ・サーバーからのユーザー・アカウント情報に基づいて、このユーザーのOracle Key Vaultユーザー・アカウントを自動的に作成します。Oracle Key Vault権限の付与または取消しを除き、このユーザー・アカウントは変更できません。ユーザーのパスワードの変更など、ユーザー・アカウントに対するその他の変更は、LDAPディレクトリ・サーバーの実際のアカウントに対して実行する必要があります。ユーザーの自動プロビジョニングは、新しいOracle Key Vaultデプロイメントに役立つだけでなく、新しい従業員のプロビジョニングを含め、既存のOracle Key Vaultデプロイメントへのアクセス権を他の従業員に付与する必要がある場合にも役立ちます。

Oracle Key VaultでLDAPユーザーの認証および認可を有効にするには、Oracle Key Vault管理者がOracle Key Vaultで次の構成を実行する必要があります。

  1. LDAPディレクトリ・サーバーへの接続を構成します。
  2. 1つ以上のOracle Key Vault管理ロール、エンドポイント権限またはエンドポイント・グループ権限、あるいはユーザー・グループを、LDAPグループにマップします。

ほとんどの構成作業は、Oracle Key Vault管理者がOracle Key Vault管理コンソールを使用して実行します。

Oracle Key Vault管理者がLDAPディレクトリ・サーバーへの接続を構成できるようにするために、LDAP管理者はLDAPユーザー・アカウント(サービス・ディレクトリ・ユーザーと呼ばれる)を作成します。Oracle Key Vaultは、このユーザー・アカウントを使用してLDAPディレクトリ・サーバーに接続し、ユーザー・ログイン・プロセス中にLDAPディレクトリ・サーバーから必要な情報を取得します。LDAP管理者が、このLDAPサービス・ディレクトリ・ユーザーの詳細、およびLDAPディレクトリ・サーバーの信頼証明書をOracle Key Vault管理者に提供します。

LDAPディレクトリ・サーバーとともにOracle Key Vaultを使用するための一般的なプロセスを次に示します。

  1. LDAPディレクトリ・サーバーの管理者は、Oracle Key Vaultへのアクセスが必要なLDAPユーザーと、そのユーザーのOracle Key Vaultでの認可要件を識別します。この管理者は、これらのユーザーのロールと職務の必要な分離に応じて、1つ以上のLDAPグループを構成します。その後、この管理者は特定のユーザーをそれぞれのLDAPグループに割り当てます。
  2. LDAPユーザーの認可は、LDAPグループから管理ロール、エンドポイント権限またはエンドポイント・グループ権限、およびユーザー・グループへのLDAPマッピングを通じて実現されます。
  3. Oracle Key Vault管理者は、Oracle Key Vault管理コンソールを使用して、Oracle Key VaultとLDAPディレクトリ・サーバー間の接続を構成します。
  4. LDAPユーザーの認可を構成するために、その後、Oracle Key Vault管理者が、各LDAPグループを次の1つ以上のロールまたは権限にマップします。
    • 管理ロール
    • エンドポイント権限またはエンドポイント・グループ権限
    • ユーザー・グループ(ウォレットへのアクセス権を付与するため)
    LDAPグループを仮想ウォレットに直接マップすることはできません。LDAPグループ・メンバーにウォレット・アクセス権を付与するには、まず、適切なウォレット・アクセス権限があるユーザー・グループを構成する必要があります。その後、LDAPグループをそのユーザー・グループにマップします。Oracle Key Vaultでは、LDAPユーザーの認可は、そのユーザーのLDAPグループへの、管理ロール、エンドポイント権限またはエンドポイント・グループ権限、あるいはユーザー・グループのマッピングに基づいて決まります。たとえば、LDAPグループが監査マネージャ・ロールにマップされている場合は、Oracle Key Vaultによって監査マネージャ・ロールがLDAPグループ・メンバーのセッションに割り当てられます。
  5. LDAPユーザーは、Oracle Key Vaultにログインし、認可されているタスクを実行できるようになりました。最初に正常にログインすると、Oracle Key Vaultに新しいユーザー・アカウントが自動的に作成されます。
  6. LDAPグループ・マッピングによるユーザーへの管理ロールおよび権限の付与の他に、Oracle Key VaultでのLDAPユーザー・アカウントの作成後にそのユーザー・アカウントにウォレット・アクセス権限を直接付与することもできます。Oracle Key Vaultの管理ロール、エンドポイント権限またはエンドポイント・グループ権限をLDAPユーザーに直接付与することはできません。

LDAPユーザー・セッションの認可は、LDAPグループを介して付与される認可と、LDAPユーザーにローカルに付与される認可の組合せです。LDAPグループによる認可はログイン時に付与され、そのセッションに対してのみ有効です。LDAPユーザーのログオンの間に、Oracle Key Vaultによって、ディレクトリ・サーバーからそのユーザーのLDAPグループが取得され、現在のユーザー・セッションに有効な、マップされた管理ロール、エンドポイント権限とエンドポイント・グループ権限、およびユーザー・グループが特定されます。これらのマップされたユーザー・グループのセットは、LDAPユーザーの有効なユーザー・グループ・メンバーシップと呼ばれます。

LDAPユーザーは、Oracle Key Vaultユーザー・グループのメンバーとして直接追加できないことに注意してください。

LDAPグループ内のユーザーのメンバーシップに対する変更や、LDAPグループ・マッピングに対する変更は、既存のユーザー・セッションに現在有効な管理ロール、権限およびユーザー・グループ・メンバーシップには影響しません。ただし、Oracle Key Vaultユーザー・グループに対して付与または取消しが行われた権限の変更は、即座に有効になり、既存のすべてのセッションに適用されます。

次の点に注意してください。

  • LDAP構成は、LDAP-v3プロトコルをサポートするMicrosoft Active Directoryバージョンで実行できます。
  • プライマリ/スタンバイ環境でLDAP構成を実行できます。特別な構成は必要ありません。
  • マルチマスター・クラスタ環境では、LDAP構成はすべてのクラスタ・ノードで有効です。LDAPディレクトリ・サーバーおよびホストのノード固有の構成を構成できます。
  • 複数のドメインをサポートするLDAPディレクトリ・サーバーの場合、ドメインごとに複数のLDAP構成を設定することで、異なるドメインのユーザーへのアクセスが有効になります。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.2 LDAPユーザーへの権限の付与に関する考慮事項

一定のルールおよび考慮事項を条件として、Oracle Key VaultにおいてLDAPユーザーに権限を付与できます。

LDAPユーザー、Oracle Key Vault管理ロール、ユーザー・グループ、エンドポイント権限およびウォレット権限に関する次の考慮事項に留意してください。

  • LDAPユーザーをOracle Key Vaultユーザー・グループのメンバーとして直接追加することはできません。
  • エンドポイント作成権限があるローカルOracle Key Vaultユーザーがエンドポイントを作成すると、Oracle Key Vaultによって、そのエンドポイントに対するエンドポイント管理権限がそのローカル・ユーザーに付与されます。ただし、LDAPユーザーの場合は、エンドポイントの作成時に、Oracle Key Vaultによって、そのLDAPユーザーのエンドポイント作成権限の継承元となるLDAPグループにエンドポイント管理権限が付与されます。LDAPユーザーが複数のLDAPグループからエンドポイント作成権限を継承している場合は、Oracle Key Vaultにおいて、作成タイムスタンプが最も早いLDAPグループに対してエンドポイント管理権限が付与されます。エンドポイント・グループ権限についても同様の動作となります。
  • Oracle Key VaultでLDAPユーザー・アカウントが作成された後に、このユーザーにウォレット権限をローカルで直接付与できます。しかしながら、LDAPグループ・マッピングを介してLDAPユーザーにウォレット権限を付与することをお薦めします。
  • Oracle Key VaultにおいてLDAPユーザー・アカウントに管理者ロール、エンドポイント権限およびエンドポイント・グループ権限を直接付与することはできません。Oracle Key VaultでのLDAPユーザー・アカウントは、LDAPグループ・マッピングを介してのみこれらの権限を継承します。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.3 Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成

LDAP管理者とOracle Key Vault管理者の両方が、Oracle Key VaultへのLDAPディレクトリ・サーバー接続を構成する役割を果たします。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.3.1 ステップ1: LDAPディレクトリ・サーバーの準備

Oracle Key Vault管理者がLDAPディレクトリ・サーバーへの接続を作成する前に、LDAP管理者が準備タスクを実行する必要があります。

  1. LDAP管理者(または適切な権限を持つユーザー)として、LDAPディレクトリ・サーバーにログインします。
  2. Oracle Key Vaultにマップする既存のLDAPグループを作成または指定します。
  3. これらのLDAPグループにユーザーを割り当てます。
    グループによって、接続構成の完了時にメンバー・ユーザーがOracle Key Vaultで保持する権限が決まります。ユーザーが既存のLDAPグループでカバーされていない特定の権限を持っている必要がある場合は、このユーザーの特定のグループを作成します。
  4. そのようなアカウントがまだ存在しない場合は、サービス・ディレクトリ・ユーザー・アカウントを作成し、このアカウント名とパスワードをOracle Key Vault管理者に提供します。
    このサービス・ディレクトリ・ユーザー・アカウントは、Oracle Key Vault管理者が作成するLDAP構成で使用されます。Oracle Key Vaultは、このアカウントを使用して、検索などの必要なLDAPアクションを実行します。このユーザー・アカウントが今後変更される場合は、Oracle Key Vault管理者にすぐに通知してください。
  5. LDAPディレクトリ・サーバーの信頼証明書を取得し、この証明書をOracle Key Vault管理者に提供します。
    この証明書は、Oracle Key Vault管理者が作成するLDAP構成で使用されます。

親トピック: Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成

8.3.2 ステップ2: Oracle Key VaultでのLDAP接続の作成

システム管理者ロールを持つOracle Key Vaultユーザーは、Oracle Key Vault管理コンソールを使用してLDAP接続を作成します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. 「Add」をクリックして「Add LDAP Configuration」ページを表示します。
  5. 次の設定を入力します。
    • Configuration Name: LDAP構成の名前を入力します。文字の最大長は120バイトです。
    • Directory Type: このリストからMicrosoft Active Directoryが選択されていることを確認します。
    • Service Directory User Name: LDAP管理者が指定したサービス・ディレクトリ・ユーザー・アカウントを入力します。この名前は、次のいずれかの形式で入力できます。
      • NetBIOS Domain Name\Account Name: たとえば、global\johndoe
      • User principal name: たとえば、johndoe@example.com
    • Service Directory User Password: LDAP管理者がサービス・ディレクトリ・ユーザー・アカウントに指定したパスワードを入力します。LDAPディレクトリ・サーバーでパスワードを変更する場合は、Oracle Key Vaultでパスワードを更新する必要があります。
    • Hostname: クライアント・リクエストを処理するMicrosoft Active Directoryドメイン・コントローラ(サーバー)のホスト名またはIPアドレスのいずれかを入力します。
    • LDAPS Port: ポート番号を入力します。636 (デフォルト)は、Secure Sockets Layer (SSL)接続用のLDAP接続の標準ポート番号です。
    • Trusted Certificate: LDAP管理者が指定したLDAPディレクトリ・サーバーのサーバー信頼証明書の内容を貼り付けるか、ファイルとして証明書をアップロードします。
    • Domain Name: この設定は、前述の設定を完了して「Get Domain Name」ボタンをクリックすると自動的に移入されます。これは、指定したホスト(ドメイン・コントローラ)がメンバーであるMicrosoft Active Directoryドメインの名前です。この設定は変更できません。
    • Search Base DN: この設定は、前述の設定を完了して「Get Domain Name」ボタンをクリックすると自動的に移入されます。これは、LDAP検索を開始するディレクトリ内の場所を定義する、検索ベース・オブジェクトの識別名を表します。この設定は、ディレクトリ内のユーザーおよびグループの数が非常に多い環境で、Oracle Key Vaultアクセスの管理に関連するユーザーおよびグループがこのディレクトリ・コンテナの下に配置されている場合に役立ちます。ベースDNをこのディレクトリ・コンテナに設定すると、ユーザーおよびグループ検索のパフォーマンスの向上に役立ちます。オプションで、この検索ベースを変更します。
    • Defunct LDAP Users Grace Period (in days): LDAPディレクトリ・サーバーで削除されたユーザーがOracle Key Vaultから自動的に削除されるまでの期間を日数で入力します。この値は、LDAP構成が存在しなくなったユーザーがOracle Key Vaultから自動的に削除されるまでの期間も定義します。0以上の正の整数を入力します。デフォルトは15日です。
  6. 「Test Connection」をクリックして、接続が動作することを確認します。
  7. 「Add」をクリックして、構成を完了します。
    「Manage LDAP Configuration」ページが表示され、「LDAP Configuration Name」の下に新しい構成がリストされます。

関連トピック

親トピック: Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成

8.3.3 ステップ3: Oracle Key VaultでのLDAPグループのマッピング

LDAPグループ・マッピングを作成し、適切なロールおよび権限を付与することで、Oracle Key VaultにおいてLDAPユーザーの認可を構成できます。

キー管理者ロールがあるOracle Key Vaultユーザーは、LDAPグループ・マッピングを作成できます。キー管理者はその作成時に、オプションで、自分が付与可能な特定のロールおよび権限にLDAPグループをマップすることもできます。LDAPグループに付与するロールおよび権限によっては、LDAPグループ・マッピングの作成後に、異なる管理者ロールがあるユーザーが、そのLDAPグループへの認可付与を実行する必要があります。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. LDAPグループにマップするOracle Key Vaultユーザー・グループを構成します。ウォレット権限は、Oracle Key Vaultユーザー・グループを介してLDAPグループに付与できます。
    これらのユーザー・グループに適切なOracle Key Vault権限があることを確認し、LDAPユーザーに対する権限の付与と取消しのしくみを理解しておく必要があります。
  3. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
  4. 「Create」をクリックして「Create LDAP Group Mapping」ページを表示します。
  5. 次の設定を入力します。
    • Domain: リストから、マッピングを定義するLDAPディレクトリ・サーバー構成に関連付けられているドメインを選択します。
    • LDAP Group: リストからLDAPグループを選択します。次の中から選択できます。
      • 「Fetch All Groups」には、追加できる使用可能なすべてのグループのリストが表示されます。このラベルに続くメニューからグループを選択します。1つの検索結果で返すことができるオブジェクトの数をLDAPグループの数が超えている場合は、エラーが返されます。「Filter by CN (Common Name)」または「Specify DN (Distinguished Name)」オプションを使用して、LDAPグループ検索を絞り込みます。
      • 「Filter by CN (Common Name)」では、CNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、CNの接頭辞を入力し、その後に続くリストで、必要に応じて選択します。たとえば、共通名Adminで始まるすべてのLDAPグループを検索するには、Adminと入力します。「Filter by CN (Common Name)」基準に一致するLDAPグループの数が、1つの検索結果で返すことができるオブジェクトの数を超えている場合は、エラーが返されます。「Filter by CN (Common Name)」にさらに詳しく入力してLDAPグループ検索を絞り込むか、「Specify DN (Distinguished Name)」オプションを使用します。
      • 「Specify DN (Distinguished Name)」では、DNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、グループの完全なDNを入力し、その後に続くリストで、必要に応じて選択します。
    • Roles: オプションで、キー管理者ロールをLDAPグループに付与します。(現在所有しているロールとは異なるロールは付与できないことに注意してください。また、「Allow Forward Grant」オプションを使用してロールを受け取っている必要があります。)

      ユーザーにシステム管理者ロールまたは監査マネージャ・ロールを付与する場合は、まず、キー管理者ロールがあるユーザーがLDAPグループ・マッピングを作成する必要があります(ロール、権限およびユーザー・グループへのマッピングの有無は関係ない)。LDAPグループ・マッピングが作成された後、「Allow Forward Grant」オプションを使用してシステム管理者ロールまたは監査マネージャ・ロールが付与されたユーザーは、既存のLDAPグループ・マッピングを編集して、対応する管理ロールにマップできます。

    • Privileges: オプションで、「Create Endpoint Group」を選択してLDAPグループに権限を割り当てます。

      LDAPグループにエンドポイント作成権限を付与する場合は、まず、キー管理者ロールがあるユーザーがLDAPグループ・マッピングを作成する必要があります。LDAPグループ・マッピングが作成された後、システム管理者ロールを付与されているユーザーが、既存のLDAPグループ・マッピングを編集してそれをエンドポイント作成権限にマップできます。

    • エンドポイント・グループへのアクセス オプションで、目的となるエンドポイント・グループを選択してそれに対するエンドポイント・グループ管理権限をLDAPグループに付与します。

      LDAPグループにエンドポイントに対するエンドポイント管理権限を付与する場合は、まず、キー管理者ロールがあるユーザーがLDAPグループ・マッピングを作成する必要があります。LDAPグループ・マッピングが作成された後、システム管理者ロールを付与されているユーザーが、「Access on Endpoint」領域からエンドポイントを選択することで、既存のLDAPグループ・マッピングを編集してそのエンドポイントに対するエンドポイント管理権限を付与できます。

    • User Groups: オプションで、LDAPグループにマップするOracle Key Vaultユーザー・グループを選択します。

      ユーザー・グループに関する情報を検索するには、その「Details」ボタンをクリックします。

  6. 「Create」をクリックします。
    リストに新しいマッピングが含まれているLDAPアクセス・マッピング・ページが表示されます。
  7. 必要に応じて、さらにLDAPグループ・マッピングを定義します。
この段階で、構成は完了し、LDAPユーザーはOracle Key Vaultにログインできます。

関連トピック

親トピック: Oracle Key VaultへのLDAPディレクトリ・サーバー接続の構成

8.4 LDAPユーザーとしてのOracle Key Vaultへのログイン

適切に構成されたLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.4.1 LDAPユーザーとしてのOracle Key Vaultへのログインについて

Oracle Key Vaultを使用したLDAPディレクトリ・サーバーの構成が完了した後、LDAPユーザーが有効な認可を持っていればOracle Key Vaultにログインできます。

次の場合、正常にログインできます。

  • ユーザーは正しいLDAP資格証明を指定します。
  • LDAPディレクトリ・サーバーでのユーザーのLDAPグループは、少なくとも、Oracle Key Vault管理ロール、エンドポイント権限またはエンドポイント・グループ権限、あるいはユーザー・グループのいずれかにマップされます。

ログイン時に、ユーザーの認可は、このユーザーがメンバーとして属するLDAPグループに基づいて決定されます。ユーザーには、そのユーザーのLDAPグループにマップされている管理ロール、エンドポイント権限とエンドポイント・グループ権限、およびユーザー・グループの権限が付与されます。ユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key Vaultに新しいユーザー・アカウントが自動的に作成されます。(LDAPユーザーに対する権限付与のしくみを理解しておく必要があります。)

マルチマスター・クラスタ環境では、LDAPユーザーはクラスタ内の任意のノードにログインできます。LDAPユーザーが初めてノードにログインすると、このユーザーに対して単一のOracle Key Vaultで生成されたユーザー・アカウントが作成されます。このアカウントはクラスタ内のすべてのノードに適用されます。

有効なLDAPユーザーは、Oracle Key Vault RESTfulサービス・コマンドを実行できます。RESTfulサービス・ユーティリティの使用方法については、『Oracle Key Vault RESTfulサービス管理者ガイド』を参照してください。

関連トピック

親トピック: LDAPユーザーとしてのOracle Key Vaultへのログイン

8.4.2 LDAPユーザーとしてのOracle Key Vaultへのログイン

Oracle Key Vault管理ロール、ユーザー・グループ、エンドポイント権限またはエンドポイント・グループ権限にマップされているLDAPグループのメンバーであるLDAPユーザーは、Oracle Key Vault管理コンソールにログインできます。

  1. Webブラウザを開きます。
  2. HTTPS接続およびOracle Key VaultのIPアドレスを使用して接続します。
    たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。
    https://192.0.2.254
  3. ログイン画面が表示されたら、次の資格証明を入力します。
    • Domain: リストから、LDAPユーザーのドメインを選択します。
    • User Name: 次のいずれかの形式を使用してユーザー名を入力します。
      • NetBIOS Domain Name\Account Name: たとえば、global\johndoe

        便宜上、ユーザーがNetBIOSドメイン名またはユーザー・プリンシパル名の形式(次で説明)でユーザー名を指定すると、NetBIOSドメイン名または構成済ドメイン名を持つユーザー・プリンシパル名のドメイン名のパターン一致に基づいて、ドロップダウン・リストのドメイン名が自動的に選択されます。ドメインは、必要に応じて手動で選択できます。ドメイン名LocalはActive Directoryドメインではありません。ドメインLocalの使用は、ユーザー・アカウントがローカルに作成されたことを示します。

      • User principal name: たとえば、johndoe@example.com
      • Login name: たとえば、johndoe。この名前は、LDAPユーザー・アカウントのsAMAccountName属性と一致する必要があります。
    • Password: パスワードを入力します。
  4. 「Login」をクリックします。
適切なOracle Key Vault認可を持つLDAPユーザーは、Oracle Key Vault RESTfulサービス・ユーティリティ・コマンドの実行もできます。

関連トピック

親トピック: LDAPユーザーとしてのOracle Key Vaultへのログイン

8.5 LDAP構成の管理

LDAP構成を有効化、検証、変更、無効化および削除できます。

  • LDAP構成の有効化
    システム管理者ロールを持つユーザーは、LDAP構成を有効にできます。
  • LDAP構成の変更
    システム管理者ロールを持つユーザーは、LDAP構成を変更できます。
  • LDAP構成のテスト
    システム管理者ロールを持つユーザーは、LDAP構成をテストできます。
  • LDAP構成の無効化
    システム管理者ロールを持つユーザーは、LDAP構成を無効にできます。
  • LDAP構成の削除
    システム管理者ロールを持つユーザーは、LDAP構成を削除できます。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.5.1 LDAP構成の有効化

システム管理者ロールを持つユーザーは、LDAP構成を有効にできます。

LDAP構成は、有効になっている場合にのみ有効です。デフォルトでは、作成したLDAP構成は有効になっています。マルチマスター・クラスタ環境では、LDAP構成の有効化はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. LDAP構成のチェック・ボックスを選択し、「Enable」ボタンをクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: LDAP構成の管理

8.5.2 LDAP構成の変更

システム管理者ロールを持つユーザーは、LDAP構成を変更できます。

マルチマスター・クラスタ環境では、LDAP構成の変更はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。ただし、ノード固有のホスト構成はクラスタ全体のホスト構成より優先されることに注意してください。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. LDAP構成名を選択すると、「Edit LDAP Configuration」ページが表示されます。
  5. 必要に応じて次の設定を変更します。
    • Configuration Name: 構成の名前を更新します。
    • Service Directory User Name: サービス・ディレクトリ・ユーザー名を更新します。
    • Service Directory User Password: サービス・ディレクトリ・ユーザーのパスワードを更新します。
    • Trusted Certificate: LDAP管理者が指定したLDAPディレクトリ・サーバーのサーバー信頼証明書の内容を貼り付けるか、ファイルとして証明書をアップロードします。
    • Search Base DN: ユーザーおよびグループの検索に使用するベースDNを更新します。
    • Defunct LDAP Users Grace Period (in days): 新しい猶予期間の値を入力します。デフォルトは15です。
    • 「Servers」の下で、次の手順を実行します。
      • 新しいサーバーを追加するには、「Add」をクリックし、「Hostname」「Port」および「Service Directory User Password」を指定します。接続をテストするには、「Test Server」をクリックします。その後、「Add」をクリックします。選択できるのは、現在のサーバーと同じドメインにあるサーバーのみです。
      • サーバーを削除するには、対応するチェック・ボックスを選択し、「Delete」をクリックします。
  6. 「Test Connection(s)」をクリックして、新しい構成設定が機能することを確認します。
  7. 「Save」をクリックします。

    ノート:

    同じLDAPサーバー(ドメイン・コントローラ)を、異なるホスト名とIPアドレスの使用によって複数回追加しないでください。LDAPサーバーは1回のみ追加するようにしてください。Oracle Key Vaultでは、クラスタまたはノード固有の構成レベルで、重複するホスト名でサーバーを追加することはできません。ただし、同じサーバーについて、ホスト名に異なる値を使用して複数のサーバー・エントリを追加することは防げません。たとえば、サーバーを、そのホスト名を使用して1回追加し、そのIPアドレスを使用してもう1回追加できます。このような構成はお薦めしていません。

親トピック: LDAP構成の管理

8.5.3 LDAP構成のテスト

システム管理者ロールを持つユーザーは、LDAP構成をテストできます。

マルチマスター・クラスタ環境では、クラスタ内の任意のノードでLDAP構成をテストできます。テスト接続では、現在のクラスタ・ノードに有効なLDAPホストへの接続が検証されます。ノード固有のLDAPホストが構成されている場合、それらのホストへの接続が検証されます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. LDAP構成名を選択すると、「Edit LDAP Configuration」ページが表示されます。
  5. 「Test Connection(s)」をクリックします。

親トピック: LDAP構成の管理

8.5.4 LDAP構成の無効化

システム管理者ロールを持つユーザーは、LDAP構成を無効化できます。

LDAP構成を事実上無効にすると、その構成は使用できなくなります。無効化されたLDAP構成のユーザーは、Oracle Key Vaultにログインしようとするとアクセスが拒否されます。ただし、LDAP構成を無効にしても、その構成を使用して現在ログインしているユーザーには影響しません。マルチマスター・クラスタ環境では、LDAP構成の無効化はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. 無効にする構成のチェック・ボックスを選択し、「Disable」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: LDAP構成の管理

8.5.5 LDAP構成の削除

システム管理者ロールを持つユーザーは、LDAP構成を削除できます。

マルチマスター・クラスタ環境では、LDAP構成の削除はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。ただし、LDAP構成を削除にしても、その構成を使用して現在ログインしているユーザーはログアウトされません。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で、「LDAP」をクリックして「Manage LDAP Configuration」ページを表示します。
  4. 削除するLDAP構成のチェック・ボックスを選択し、次のボタンのいずれかをクリックします。
    • LDAP構成に関連付けられたLDAPグループに対してOracle Key Vaultで定義されたマッピングがない場合は、「Delete」をクリックします。
    • このLDAP構成にグループ・マッピングが定義されている場合は、「Force Delete」をクリックします。この操作を実行するには、システム管理者とキー管理者の両方のロールが必要です。それ以外の場合は、システム管理者ロールを持つユーザーがLDAP構成を削除する前に、まずLDAP構成に定義されているすべてのLDAPグループ・マッピングを削除します。
  5. 確認のウィンドウで、「OK」を選択します。
LDAP構成を削除しても、関連付けられているLDAPユーザー・アカウントはすぐには削除されません。Oracle Key Vaultは、「Edit LDAP Configuration」ページの「Defunct LDAP Users Grace Period」設定で指定された日数が経過すると、これらのアカウントを削除します。LDAPユーザー・アカウントはいつでも削除できます。関連付けられたLDAPユーザー・アカウントが削除される前に同じLDAP構成を再作成すると、Oracle Key Vaultによってこれらのユーザー・アカウントが再度有効になります。

親トピック: LDAP構成の管理

8.6 LDAPグループの管理

LDAPグループ・マッピングを変更または削除できます。

  • LDAPグループの管理について
    LDAPグループは、Oracle Key Vault管理者ロール、エンドポイント権限とエンドポイント・グループ権限、およびユーザー・グループにマップできます。
  • LDAPグループ・マッピングの作成
    LDAP構成を作成した後は、1つ以上のLDAPグループ・マッピングを作成できます。
  • LDAPグループ・マッピングの変更
    LDAPグループ・マッピングを編集して、そのマップされているロール、エンドポイント権限またはエンドポイント・グループ権限、およびユーザー・グループを変更できます。
  • LDAPグループ・マッピングの検証
    LDAPディレクトリ・サーバーでLDAPグループが変更された場合、キー管理者ロールを持つユーザーはOracle Key Vaultでマッピングを検証できます。
  • LDAPグループ・マッピングの削除
    キー管理者ロールを持つユーザーは、Oracle Key Vaultから1つ以上のLDAPグループおよび関連付けられたマッピングを削除できます。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.6.1 LDAPグループの管理について

LDAPグループは、Oracle Key Vault管理者ロール、エンドポイント権限とエンドポイント・グループ権限、およびユーザー・グループにマップできます。

キー管理者ロールがあるOracle Key Vaultユーザーは、LDAPグループ・マッピングを作成できます。キー管理者はその作成時に、オプションで、自分が付与可能な特定のロールおよび権限にLDAPグループをマップすることもできます。LDAPグループに付与するロールおよび権限によっては、LDAPグループ・マッピングの作成後に、異なる管理者ロールがあるユーザーが、そのLDAPグループへの認可付与を実行する必要があります。

ローカルOracle Key VaultユーザーをLDAPグループのメンバーにすることはできません。

親トピック: LDAPグループの管理

8.6.2 LDAPグループ・マッピングの作成

LDAP構成を作成した後は、1つ以上のLDAPグループ・マッピングを作成できます。

LDAPグループを1つ以上のOracle Key Vault管理ロール、ユーザー・グループ、エンドポイント権限またはエンドポイント・グループ権限にマップできます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
  3. 「LDAP Group Mappings」ページで「Create」をクリックします。
    「Create LDAP Group Mapping」ページが表示されます。
  4. 次の設定を入力します。
    • Domain: リストから、Oracle Key Vaultに登録されているドメインを選択します。
    • LDAP Group: リストからLDAPグループを選択します。次の中から選択できます。
      • 「Fetch All Groups」には、追加可能なすべてのグループのリストが表示されます。このラベルに続くメニューからグループを選択します。1つの検索結果で返すことができるオブジェクトの数をLDAPグループの数が超えている場合は、エラーが返されます。「Filter by CN (Common Name)」または「Specify DN (Distinguished Name)」オプションを使用することで、LDAPグループ検索を絞り込みます。
      • 「Filter by CN (Common Name)」では、CNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、CNの接頭辞を入力し、その後に続くリストで、必要に応じて選択します。たとえば、共通名Adminで始まるすべてのLDAPグループを検索するには、Adminと入力します。「Filter by CN (Common Name)」基準に一致するLDAPグループの数が、1つの検索結果で返すことができるオブジェクトの数を超えている場合は、エラーが返されます。「Filter by CN (Common Name)」にさらに詳しく入力してLDAPグループ検索を絞り込むか、「Specify DN (Distinguished Name)」オプションを使用します。
      • 「Specify DN (Distinguished Name)」では、DNを基準にフィルタ処理されたリストから選択できます。これを選択した場合に表示されるフィールドで、グループの完全なDNを入力し、その後に続くリストで、必要に応じて選択します。
    • Roles: オプションで、LDAPグループにマップする1つ以上のOracle Key Vaultロールを選択します。
    • Audit Manager
    • Key Administrator:
    • System Administrator
    次の点に注意してください。
    • 「Allow Forward Grant」チェック・ボックス: 選択したロールごとに、「Allow Forward Grant」のチェック・ボックスが表示されます。LDAPグループ・メンバーが他のユーザーに対して管理ロールの付与や取消しを実行できるようにする場合は、「Allow Forward Grant」チェック・ボックスを選択します。「Allow Forward Grant」オプションを指定して特定のロールを付与されたユーザーのみが、このロールを、LDAPグループ・マッピングを介して他のユーザーに付与できます(それをLDAPユーザーに付与するなど)。

      現在所有しているロールとは異なるロールは付与できないことに注意してください。また、ユーザーは、ロールをLDAPグループ・マッピングに付与できるようになるには、「Allow Forward Grant」オプションを指定してそのロールを与えられている必要があります。

    • サイトが厳しい職務分離ガイドラインに従っており、キー管理者ロールがあるユーザーにシステム管理者ロールと監査マネージャ・ロールがない場合、LDAPグループへのシステム管理者ロールまたは監査マネージャ・ロールの付与は、次の2段階のプロセスとなります。
      1. まず、キー管理者ロールがあるユーザーがLDAPグループ・マッピングを作成する必要があります(ロールや権限のマッピングの有無は関係ない)。
      2. LDAPグループ・マッピングが作成された後、「Allow Forward Grant」オプションを指定してシステム管理者ロールまたは監査マネージャ・ロールを付与されたユーザーは、既存のLDAPグループ・マッピングを編集して、対応する管理ロールにそれをマップでき、オプションで「Allow Forward Grant」オプションを選択することもできます。
    • Privileges: オプションで、「Create Endpoint」または「Create Endpoint Group」権限を選択してLDAPグループにマップします。
      エンドポイント作成権限を付与するには、システム管理者ロールが必要です。LDAPグループ・マッピングを作成するユーザーにシステム管理者ロールがない場合、LDAPグループへのエンドポイント作成権限の付与は、次の2段階のプロセスとなります。
      1. まず、キー管理者ロールがあるユーザーが、LDAPグループ・マッピングを作成する必要があります。
      2. LDAPグループ・マッピングが作成された後、システム管理者ロールを付与されているユーザーが、既存のLDAPグループ・マッピングを編集してそれをエンドポイント作成権限にマップできます。
    • エンドポイントおよびエンドポイント・グループへのアクセス: オプションで、目的となるエンドポイントまたはエンドポイント・グループを選択してそれらに対するエンドポイント管理権限またはエンドポイント・グループ管理権限をLDAPグループに付与します。エンドポイントに対するエンドポイント管理権限を付与するには、システム管理者ロールが必要です。LDAPグループ・マッピングを作成するユーザーにシステム管理者ロールがない場合、LDAPグループへの、エンドポイントに対するエンドポイント管理権限の付与は、次の2段階のプロセスとなります。
    1. まず、キー管理者ロールがあるユーザーが、LDAPグループ・マッピングを作成する必要があります。
    2. LDAPグループ・マッピングが作成された後、システム管理者ロールを付与されているユーザーが、「Access on Endpoint」からエンドポイントを選択することで、既存のLDAPグループ・マッピングを編集してそのエンドポイントに対するエンドポイント管理権限を付与できます。
    • User Groups: ユーザー・グループの下で、LDAPグループにマップするOracle Key Vaultユーザー・グループを選択します。
    ユーザー・グループに関する情報を検索するには、その「Details」ボタンをクリックします。
  5. 「Create」をクリックします。
    LDAPグループ・マッピングの作成後、マップされたロール、権限およびユーザー・グループ・マッピングは、LDAPグループのメンバーであるユーザーがOracle Key Vaultにログインしたときに有効になります。LDAPグループ・マッピングでの変更内容は、既存のセッションでユーザーに付与された認可には影響しません。

親トピック: LDAPグループの管理

8.6.3 LDAPグループ・マッピングの変更

LDAPグループ・マッピングを編集して、そのマップされているロール、エンドポイント権限またはエンドポイント・グループ権限、およびユーザー・グループを変更できます。

LDAPグループに対して付与するか取り消すロールおよび権限によっては、異なる管理者ロールがあるユーザーが、そのLDAPグループへの認可付与を実行する必要があります。
  1. 他のユーザーにロールまたは権限を付与するための必要な権限があるユーザーとして、Oracle Key Vault管理コンソールにログインします。たとえば、ユーザーは、監査マネージャ・ロールをLDAPグループにマップするには、「Allow Forward Grant」オプションを指定して監査マネージャ・ロールを付与されている必要があります。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
  3. 「LDAP Group Mappings」の下で、権限を変更するLDAPグループを見つけます。
  4. このLDAPグループの「Edit」ボタンを選択して「Edit LDAP Group Mapping」ページを表示します
  5. 必要に応じて、次の設定を変更します。
    • Roles: オプションで、LDAPグループにマップする1つ以上のOracle Key Vaultロールを選択します。

      なお、現在付与されているロールと異なるロールを付与することや取り消すことはできません。また、ユーザーは、ロールをLDAPグループ・マッピングに付与できるようになるには、「Allow Forward Grant」オプションを指定してそのロールを与えられている必要があります。

      管理ロールをLDAPグループ・マッピングに付与するには、付与可能ロールから、対応するチェック・ボックスを選択します。

    • Audit Manager
    • Key Administrator
    • System Administrator

    次の点に注意してください。

    • 「Allow Forward Grant」チェック・ボックス: 選択したロールごとに、「Allow Forward Grant」のチェック・ボックスが表示されます。LDAPグループ・メンバーが他のユーザーに対して管理ロールの付与や取消しを実行できるようにする場合は、「Allow Forward Grant」チェック・ボックスを選択します。「Allow Forward Grant」オプションを指定して特定のロールを付与されたユーザーのみが、このロールを、LDAPグループ・マッピングを介して他のユーザーに付与できます(それをLDAPユーザーに付与するなど)。

      LDAPグループ・マッピングに以前に付与した管理ロールを取り消すには、対応するロールのチェック・ボックスの選択を解除します。「Allow Forward Grant」オプションのみを取り消す場合は、対応する「Allow Forward Grant」チェック・ボックスの選択を解除します。

    • Privileges: オプションで、LDAPグループ・マッピングに対するエンドポイント作成権限またはエンドポイント・グループ作成権限の付与や取消しができます。

      エンドポイント作成権限の付与または取消しにはシステム管理者ロールが必要であり、エンドポイント・グループ作成権限の付与または取消しにはキー管理者ロールが必要です。

      エンドポイント作成権限またはエンドポイント・グループ作成権限を付与するには、対応する権限のチェック・ボックスを選択します。

      エンドポイント作成権限またはエンドポイント・グループ作成権限を取り消すには、対応する権限のチェック・ボックスの選択を解除します。

    • エンドポイントおよびエンドポイント・グループへのアクセス: オプションで、LDAPグループ・マッピングに対する、1つ以上のエンドポイントまたはエンドポイント・グループでのエンドポイント管理権限またはエンドポイント・グループ管理権限の付与または取消しができます。

    エンドポイント管理権限の付与または取消しにはシステム管理者ロールが必要であり、エンドポイント・グループ管理権限の付与または取消しにはキー管理者ロールが必要です。

    エンドポイントに対するエンドポイント管理権限を付与するには:
    1. 「Access on Endpoints」領域で、エンドポイント管理権限を取り消すエンドポイントを選択します。
    2. 「Remove」をクリックします。
    3. ダイアログ・ボックスで「OK」をクリックして確認します。変更内容が正常に保存された後、制御は「Edit LDAP Group Mapping」ページに留まります。
    エンドポイント・グループに対するエンドポイント・グループ管理権限を取り消すには:
    1. 「Access on Endpoint Groups」領域で、エンドポイント・グループ管理権限を取り消すエンドポイント・グループを選択します。
    2. 「Remove」をクリックします。
    3. ダイアログ・ボックスで「OK」をクリックして確認します。変更内容が正常に保存された後、制御は「Edit LDAP Group Mapping」ページに留まります。

    • User Groups: オプションで、LDAPグループのユーザー・グループ・マッピングを追加または削除することでウォレット・アクセス権を付与または削除できます。

      ユーザー・グループをマップするには、キー管理者ロールが必要です。

      Oracle Key Vaultユーザー・グループ・マッピングを追加するには:

      1. 「User Groups」領域で、このLDAPグループに関連付けるユーザー・グループを、関連付け可能なOracle Key Vaultユーザー・グループの中から選択します。
      2. 「Save」をクリックします

      エンドポイント・グループに対するエンドポイント・グループ管理権限を取り消すには:

      1. 「User Groups Mapped」領域で、マッピングを削除するユーザー・グループを選択します。
      2. 「Remove User Groups」をクリックします。

    オプションで、Oracle Key Vaultグループの「Details」ボタンを選択して、ユーザー・グループの設定および権限を変更します。

Oracle Key Vaultは、ログイン時にのみ、現在のセッションに対するLDAPユーザーの認可を決定します。ログイン・プロセスの間に、Oracle Key Vaultによって、LDAPディレクトリ・サーバーからそのユーザーのLDAPグループが取得され、現在のユーザー・セッション用の、マップされたOracle Key Vault管理ロール、エンドポイント権限とエンドポイント・グループ権限、およびユーザー・グループが特定されます。LDAPグループ内のユーザーのメンバーシップに対する変更や、LDAPグループ・マッピングに対する変更は、既存のセッションのためのユーザーの認可には影響しません。ただし、Oracle Key Vaultユーザー・グループに付与された権限への変更は即時に有効になり、既存のすべてのセッションに適用されることに注意してください。

親トピック: LDAPグループの管理

8.6.4 LDAPグループ・マッピングの検証

LDAPディレクトリ・サーバーでLDAPグループが変更された場合、キー管理者ロールを持つユーザーはOracle Key Vaultでマッピングを検証できます。

マルチマスター・クラスタ環境では、LDAPグループ・マッピングの検証はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
  3. 「LDAP Group Mappings」の下で、検証するグループ・マッピングのチェック・ボックスを選択します。
  4. 「Validate」ボタンを選択します。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: LDAPグループの管理

8.6.5 LDAPグループ・マッピングの削除

キー管理者ロールを持つユーザーは、Oracle Key Vaultから1つ以上のLDAPグループおよび関連付けられたマッピングを削除できます。

マルチマスター・クラスタ環境では、LDAPグループ・マッピングの削除はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage LDAP Mappings」を選択します。
  3. 「LDAP Group Mappings」ページで、削除するLDAPグループのチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のウィンドウで、「OK」をクリックします。

親トピック: LDAPグループの管理

8.7 Oracle Key Vaultで生成されたLDAPユーザーの管理

LDAPディレクトリ・サーバーの実際のLDAPユーザー・アカウントは管理できませんが、LDAPユーザーがOracle Key Vaultに初めてログインしたときに作成されるOracle Key Vaultで生成されたユーザー・アカウントは管理できます。

親トピック: Oracle Key VaultでのLDAPユーザーの認証および認可の管理

8.7.1 LDAPユーザーの管理について

Oracle Key VaultのLDAPユーザー・アカウントは、構成されたLDAPディレクトリ・サーバーのLDAPユーザー・アカウントに基づいて自動的に作成されるアカウントです。

Oracle Key Vaultは、LDAPユーザーがOracle Key Vaultに最初にログインしたときに、ユーザーの名、姓および電子メール属性を取得して、このアカウントを作成します。これらの値は、Oracle Key Vaultでは変更できません。アカウントに対応するLDAPディレクトリ・サーバーでのみ、権限を持つLDAP管理者が変更できます。これらの値が変更された場合、次にLDAPユーザーがOracle Key Vaultにログインしたときに、Oracle Key Vaultがこれらの値でユーザー・アカウントを更新します。このユーザーのOracle Key Vaultに対するウォレット権限の付与および取消しを除き、Oracle Key Vault管理者はこのアカウントを変更できません。

マルチマスター・クラスタ環境では、LDAPユーザー・アカウントが存在するLDAPディレクトリ・サーバーによってアカウントの一意性が保証されるため、ユーザー名の競合解決は必要ありません。LDAPユーザーがクラスタ内の異なるノードにログインすると、同一のユーザー・アカウントが作成され、このアカウントはクラスタ全体で統一されます。これらの各アカウント作成はタイムスタンプされます。Oracle Key Vaultの同期プロセスでは、最新のアカウント作成タイムスタンプ値が保持されます(つまり、このユーザーが最後に作成されたノードから)。したがって、クラスタ環境全体で、タイムスタンプ値は最新のユーザー・アカウント作成タイムスタンプと同じになります。

親トピック: Oracle Key Vaultで生成されたLDAPユーザーの管理

8.7.2 Oracle Key Vaultで生成されたLDAPユーザーに関する情報の検索

Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関する情報を確認できます。

Oracle Key VaultのLDAPユーザー・アカウントは変更できません。かわりに、ユーザー・アカウントが存在するLDAPディレクトリ・サーバーのアカウントを変更する必要があります。ユーザーを別のLDAPグループに移動する場合は、LDAPディレクトリ・サーバーで行う必要があります。
  1. システム管理者、キー管理者、または監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」ページで、「Manage LDAP Users」領域まで下方向にスクロールします。LDAPユーザーごとに次の情報を確認できます。
    次の情報を確認できます。
    • ユーザーの識別名(DN)
    • ユーザー・ステータス
    • 設定時間
    • LDAP構成名
    • ドメイン名
  4. LDAPユーザーのユーザー名をクリックしてその詳細情報(付与されている管理ロール、エンドポイント権限またはエンドポイント・グループ権限、およびユーザー・グループ・マッピングなど)を表示します。

親トピック: Oracle Key Vaultで生成されたLDAPユーザーの管理

8.7.3 Oracle Key Vaultで生成されたLDAPユーザーの検証

Oracle Key Vaultで生成されたLDAPユーザー・アカウントに関連付けられているLDAPユーザー・アカウントが有効なアカウントかどうかを確認できます。

親トピック: Oracle Key Vaultで生成されたLDAPユーザーの管理

8.7.3.1 Oracle Key Vaultで生成されたLDAPユーザーの検証

LDAPユーザー・アカウントがソースLDAPディレクトリ・サーバーで削除されている場合、Oracle Key Vaultで生成されたユーザー・アカウントは引き続きOracle Key Vaultに存在します。

システム管理者ロールを持つユーザーは、Oracle Key Vaultで検証することで、Oracle Key Vaultで生成されたユーザー・アカウントがソースLDAPディレクトリ・サーバーにまだ存在するかどうかを確認できます。マルチマスター・クラスタ環境では、Oracle Key Vaultで生成されたLDAPユーザー・アカウントの検証は、クラスタ内のすべてのノードに適用されます。

Oracle Key Vaultは、次のイベントが発生した場合、LDAPユーザー・アカウントの有効性を定期的にチェックし、それらをNOT FOUNDとしてマークします。

  • LDAPディレクトリ・サーバーにLDAPユーザー・アカウントが存在しません。
  • LDAPユーザー・アカウントに関連付けられているLDAP構成が削除されます。

Oracle Key Vaultは、「Defunct LDAP Users Grace Period」設定(「Edit LDAP Configuration」ページ)で構成された日数が経過すると、無効なLDAPユーザー・アカウントを自動的に削除します。LDAPユーザー・アカウントは、Oracle Key Vaultからいつでも削除できます。

8.7.3.2 Oracle Key Vaultで生成されたLDAPユーザーの検証

システム管理者ロールを持つユーザーは、Oracle Key Vaultで生成されたLDAPユーザーを手動で検証できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」ページで、「Manage LDAP Users」セクションまでスクロールします。
  4. 検証するLDAPユーザーのチェック・ボックスを選択します。
  5. 「Validate」をクリックします。
    LDAPアカウントが有効でない場合、NOT FOUNDメッセージが表示されます。

8.7.4 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更

キー管理者ロールを持つユーザーまたはウォレットを管理する権限を持つ通常のユーザーは、Oracle Key Vaultで生成されたLDAPユーザー・アカウントのウォレット権限を変更できます。

親トピック: Oracle Key Vaultで生成されたLDAPユーザーの管理

8.7.4.1 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更について

変更できるウォレット権限は、「Read Only」、「Read and Modify」または「Manage Wallet」です。

LDAPディレクトリ内の対応するLDAPアカウントは変更できませんが、Oracle Key Vaultで生成されたLDAPユーザー・アカウントのウォレット権限は変更できます。Oracle Key VaultでLDAPユーザー・アカウントに直接付与された権限への変更は、同じユーザーの既存のセッションにもすぐに適用されます。LDAPユーザー・アカウントがLDAPサーバーで変更された場合(ユーザーのLDAPグループ・メンバーシップの変更など)、変更は次のユーザー・ログインから有効になります。マルチマスター・クラスタ環境では、LDAPユーザーの変更はクラスタ内のすべてのノードに適用され、任意のノードで実行できます。

8.7.4.2 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(キー管理者)

キー管理者ロールを持つユーザーは、Oracle Key VaultのLDAPユーザーへの任意のウォレットのウォレット権限の付与および取消しを実行できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」の下で、「Manage LDAP Users」セクションまでスクロールします。
  4. LDAPユーザー・アカウントの名前を選択して、「LDAP User Details」ページを表示します。
  5. 「Access to Wallets」ペインで、次の操作を実行します。
    1. 「Add」をクリックして、「Add Access to User」ページを表示します。
    2. 「Select Wallet」の下で、LDAPユーザーに権限を付与するウォレットを選択します。
    3. 「Access Level」の下で、「Read Only」「Read and Modify」、または「Manage Wallet」を選択します。
    4. 「Save」をクリックします。
      ウォレット権限は、LDAPグループを介して使用可能なウォレット権限とは対照的に、このユーザーの直接権限として追加されます。ユーザーが割り当てられているLDAPグループからのウォレット権限をすでに持っている場合、ユーザーは直接権限付与とLDAPグループ権限付与の両方からの権限を結合しています。
  6. 「Save」をクリックします。
8.7.4.3 Oracle Key Vaultで生成されたLDAPユーザー・アカウント・ウォレット権限の変更(通常のユーザー)

ウォレットを管理する権限を持つ通常のユーザーは、Oracle Key VaultのLDAPユーザーへのこれらのウォレットに対する権限の付与および取消しを実行できます。

  1. ウォレットを管理する権限を持つユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Keys & Wallets」タブを選択し、左側のナビゲーション・バーから「Wallets」を選択します。
    「Wallets」ページには、このユーザーが権限を持つウォレットがリストされます。
  3. 権限を変更するウォレットの「Edit」アイコンを選択します。
    「Wallet Access Settings」領域には、このウォレットに対する権限を持つすべてのユーザーがリストされます。
  4. 「Wallet Access Settings」領域で、「Add」をクリックします。
  5. 「Add Access to Wallets」ページの「Select Endpoint/User Group」の下で、「Users」「Type」メニューから選択します。
  6. 権限を付与するユーザーのチェック・ボックスを選択します。
  7. 「Select Access Level」領域で、「Read Only」「Read and Modify」または「Manage Wallet」を選択します。
  8. 「Save」をクリックします。
    ウォレット権限は、LDAPグループを介して使用可能なウォレット権限とは対照的に、このユーザーの直接権限として追加されます。ユーザーが割り当てられているLDAPグループからのウォレット権限をすでに持っている場合、ユーザーは直接権限付与とLDAPグループ権限付与の両方からの権限を結合しています。

8.7.5 Oracle Key Vaultで生成されたLDAPユーザーの削除

システム管理者ロールを持つユーザーは、Oracle Key VaultからLDAPユーザー・アカウントを削除できます。

LDAPディレクトリ・サーバーからLDAPユーザー・アカウントが削除された場合、定期的な確認中に、Oracle Key Vaultはまずそのようなユーザー・アカウントを無効として自動的にマークし(NOT FOUND)、「Defunct LDAP Users Grace Period」設定(「Edit LDAP Configuration」ページ)経過後にこれらのアカウントを削除します。
Oracle Key Vaultで生成されたLDAPユーザー・アカウントを誤って削除した場合、ユーザーが次回ログインしたときにアカウントが再作成されます。ただし、ユーザーは削除前に作成したオブジェクトを所有しなくなります。マルチマスター・クラスタ環境では、Oracle Key Vaultで生成されたLDAPユーザー・アカウントの削除は、クラスタ内のすべてのノードに適用され、任意のノードで実行できます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
  3. 「Manage Users」ページで、「Manage LDAP Users」セクションまでスクロールします。
  4. 削除するLDAPユーザーのチェック・ボックスを選択します。
  5. 「Delete」をクリックします。
  6. 確認のウィンドウで、「OK」をクリックします。
    ユーザー・アカウントはすぐに削除されます。

親トピック: Oracle Key Vaultで生成されたLDAPユーザーの管理