認証の構成

Enterprise Managerの認証は、Enterprise Managerにアクセスするユーザーの妥当性を確認するプロセスです。認証機能は、Enterprise ManagerコンソールやEnterprise Managerコマンドライン・インタフェース(EM CLI)などの様々なインタフェースで使用可能です。

Enterprise Managerの認証フレームワークは、環境に最も適した認証プロトコルを使用可能にするプラガブルな認証スキームで構成されています。

ノート:

Oracle Enterprise Managerは、外部認証方法について、OMSスタックの一部である基礎となるWebLogic Serverに依存しています。そのため、Enterprise Managerは、Oracle WebLogic Serverでサポートされる認証方法を使用して認証できます。理論的にはすべてに対して構成可能であるべきですが、今までのところ一部のプロバイダのみが認定されています。

サポートされている認証スキーム

Enterprise Managerは、次の認証スキームをサポートしています。

• リポジトリベースの認証:

  このスキームでは、ユーザーがEnterprise Managerコンソールにログオンすると常に、管理者のユーザー名およびパスワードをEnterprise Managerのリポジトリに保存し、これらの保存された値に対して検証を行います。作成されたEnterprise Managerユーザーは、リポジトリ(データベース)ユーザーでもあります。このオプションを使用すると、この認証方法によって得られるOracle Databaseユーザー管理の利便性(パスワード・プロファイル、パスワードの複雑性の強化、パスワードの有効期限および許容される失敗試行回数によるパスワードの制御など)を利用できます。パスワードの猶予期間の間は管理者はパスワードを変更するように求められますが、パスワードが期限切れになった場合には必ず変更する必要があります。詳細は、新規管理者の作成を参照してください。

• エンタープライズ・ユーザー・セキュリティベースの認証: エンタープライズ・ユーザー・セキュリティ(EUS)オプションを使用すると、LDAP準拠ディレクトリ・サーバーでOracle Databaseのエンタープライズ・ユーザーおよびロールを作成および保存できます。EUSを使用してEnterprise Managerリポジトリを構成した後、エンタープライズ・ユーザー・セキュリティベースの認証の説明に従って、Enterprise ManagerをEUSを認証メカニズムとして使用するよう構成できます。任意のEUSユーザーをEnterprise Manager管理者として登録できます。

  EUSは、Enterprise Manager管理者の認証に使用できる他、データベースのターゲット資格証明の管理を簡素化するためにも使用できます。EUSは、複数のデータベース間におけるユーザーとロールの管理を一元化する上で役に立ちます。管理対象データベースがEUSを使用して構成されている場合、これらのデータベースへのログイン・プロセスが容易になります。管理対象データベースにドリルダウンすると、Enterprise ManagerはEnterprise Managerの資格証明を使用してデータベースへの接続を試行します。成功すると、ログオン・ページを表示することなくEnterprise Managerが直接データベースに接続されます。

• LDAP認証オプション: Oracle Internet DirectoryおよびMicrosoft Active Directory

  • Oracle Internet Directory (OID)ベースの認証 - Oracle Internet DirectoryはOracleデータベースに構築されたLDAP v3準拠ディレクトリで、Oracle Fusion MiddlewareおよびOracle Applicationsに完全に統合されています。そのため、Oracle環境やOracleデータベースのノウハウを持つ企業に適しています。OIDをアイデンティティ・ストアとする認証スキームを使用する場合、アプリケーションでOIDによるユーザーの認証を行うことができます。

  • Microsoft Active Directoryベースの認証 - Microsoft Active DirectoryはWindowsネットワークで認証および認可機能を提供するディレクトリ・サービスです。Microsoft Active Directoryをアイデンティティ・ストアとして使用する場合、このスキームを組み込み、アプリケーションでMicrosoft Active Directoryによるユーザーの認証を行うことができます。

  ノート:

  Enterprise Managerは、特定の認証スキームがサポートされ、WebLogic Serverに統合されているかぎり、外部の認証をサポートします。

• RADIUS同期認証: コマンドラインまたはUIを使用してプロパティ値を設定することで、このスキームを有効にできます。

  1. ターミナル・ウィンドウを開き、次のコマンドを実行します。

     $ORACLE_HOME/bin/emctl set property -name oracle.sysman.db.enable_radius_auth -value true

  2. 新しい資格証明を作成する場合や既存の名前付き資格証明を編集する場合は、RADIUS認証チェック・ボックスをクリックします。

• Security Assertion Markup Language (SAML): SAMLは、アプリケーションへのシームレスなシングル・サインオン(SSO)ログインを可能にする標準です。デジタル署名されたXMLドキュメントの交換を通じて、ある場所(アイデンティティ・プロバイダ)から別の場所(サービス・プロバイダ)にユーザーのアイデンティティを転送することによって機能します。Oracle Enterprise Managerは、SAMLバージョン2.0をサポートしています。

  SAMLベースのログインをEnterprise Managerで構成するには、次のステップに従います。

  1. サービス・プロバイダの構成にはldapパラメータが必要です。ZDTサーバーからコマンドを実行して、サービス・プロバイダ・メタデータ(EMGC_OMS1_sp_metadata.xml)を作成します。コマンド形式 :

     <OMS Home>/bin/emctl config auth saml_service_provider -ldap_type <LDAP type> -ldap_host <LDAP host> -ldap_port <LDAP port> -ldap_principal "cn=<LDAP principal>" -user_base_dn cn=<user base> -group_base_dn cn=<group base> -ldap_credential <LDAP password> -enable_auto_provisioning -use_ssl -cert_file <full path to the cert file>

     • ldap_typeでサポートされている値は、ADおよびOIDです。
     • enable_auto_provisioningはオプション・パラメータであり、デフォルト値はfalseです。trueの場合、ユーザーが以前に存在していなければ、外部ユーザーがEMリポジトリに作成されます。
     • use_sslはオプション・パラメータであり、デフォルト値はfalseです。trueの場合、生成されるLDAPプロバイダはSSL対応です。

     次の例では、ホストmyhost.example.com、ポート3131、自動プロビジョニングが有効になっているサーバーで実行されているタイプOIDのSSL対応LDAPプロバイダを構成し、/u01/app/oracle/middlewareのOMS Homeを構成し、samlサービスプロバイダを構成します。

     /u01/app/oracle/middleware/bin/emctl config auth saml_service_provider -ldap_type oid -ldap_host myhost.example.com -ldap_port 3131 -ldap_principal "cn=orcladmin" -user_base_dn cn=Users -group_base_dn cn=Groups -ldap_credential password -enable_auto_provisioning -use_ssl -cert_file /tmp/cert

     出力例:

     Oracle Enterprise Manager 24ai Release 1
     Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
     Configuring SAML Authentication ... StartedSAML Service Provider configured
     Weblogic configuration file modified
     Configuring SAML Authentication ... Successful
     Configuring LDAP Authentication ... Started
     Successfully validated connection to LDAP server
     Configuring LDAP Authentication ... Successful
     Run 'emctl config auth saml_service_provider' in other OMS(s) and restart all OMS(s) using 'emctl stop oms -all' and 'emctl start oms'

  2. プライマリおよび追加のOMSを再起動します。

     emctl stop oms -all
     emctl start oms

  3. プライマリOMSおよび追加OMSで次のコマンドを実行します。

     emctl config auth export_saml_metadata

     出力例:

     Oracle Enterprise Manager 24ai Release 1
     Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
     Exporting SAML Metadata ... Started
     SAML Service Provider metadata is exported to file
     /u01/oracle/work/user_projects/domains/Ext/saml_sp_metadata.xml

  4. サービス・プロバイダ・メタデータをアイデンティティ・プロバイダにインポートします。これはプロバイダによって異なります。たとえば、Oracle Access Management (OAM)の構成を使用している場合は、「OAM」にログインして「フェデレーション」→「アイデンティティ・プロバイダ管理」→「サービス・プロバイダ・パートナの作成」→「参照」に移動し、メタデータ・ファイルを選択します。イメージに示されている値を入力し、保存します。

  5. SAMLメタデータxmlファイルをアイデンティティ・プロバイダから取得し、プライマリOMSおよび追加OMSで次のコマンドを実行します。

     emctl config auth import_saml_identity_provider -idp_metadata /tmp/dev_oam_saml_metadata.xml

     出力例:

     Oracle Enterprise Manager 24ai Release 1
     Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
     Configuring SAML Authentication ... Started
     SAML Identity Provider configured
     Configuring SAML Authentication ... Successful
     Restart all OMS(s) using 'emctl stop oms -all' and 'emctl start oms'

  6. プライマリおよび追加のOMSを再起動します。

     emctl stop oms -all

     emctl start oms

これらの認証スキームは組織内でテストされており、次に示す外部認証スキームの一部はemctl config authユーティリティ・コマンドを使用して構成できます。このコマンドは、必要なWebLogicプロバイダを構成し、さらに必要なOMSプロパティを設定します。

emctlユーティリティ・コマンドがWebLogic認証プロバイダを構成する認証スキームでは、このコマンドは必要な構成パラメータを設定し、他のほとんどのパラメータをデフォルト値のままにします。管理者は、本番に入る前に、WebLogicプロバイダの構成パラメータが環境に合ったパフォーマンス用に調整されていることを確認する必要があります。これはWebLogic管理コンソールで実行できます。

Azure Ad、PingID、IDCSなど、様々なアイデンティティ・プロバイダに対するSAMLの構成の詳細は、EM 13.5: SAML 2.0の構成およびSSOログインの問題に関するプライマリ・ノート(ドキュメントID 2976397.2)を参照してください。

新規管理者の作成

Enterprise Managerでは、新しい管理者アカウントを作成して管理できます。管理者アカウントには、それぞれ独自のログオン資格証明や、アカウントに割り当てられた一連のロールおよび権限が含まれています。管理者にパスワード・プロファイルを割り当てることもできます。新規の管理者アカウントを作成および管理するには、Enterprise Managerのスーパー管理者権限が必要になります。

管理者アカウントを作成、編集または表示するには:

1. 「設定」メニューから、「セキュリティ」,、「管理者」の順に選択します。管理者ページが表示されます。
2. 「管理者」ページで適切なタスク・ボタンをクリックします。「認証」ページが表示されます。

   デフォルトの認証方法として、リポジトリ・ベースの認証が選択されています。

リポジトリ・ベースの認証

リポジトリ・ベースの認証は、Enterprise Managerの認証のデフォルトの方法です。この認証方法では、新規管理者がリポジトリ内に作成されます。

ノート:

リポジトリ・ベースの認証が、デフォルトの認証の方法です。

このページでは、作成する管理者アカウントのタイプを指定し、パスワード・プロファイルを選択できます。「パスワード変更の回避」トグルがオンになっている場合、管理者はパスワードを変更できません。

「パスワード即期限切れ」トグルがオンになっていると、新規の管理者アカウントのパスワードは有効期限切れの状態に設定されます。パスワードの有効期限が切れている場合、新規の管理者がログインするとパスワードの変更ページが表示され、管理者はパスワードを変更するよう求められます。

管理者は、現在のパスワードと新しいパスワードを入力し、「適用」をクリックします。これで、Enterprise Managerを使用できるようになります。

新規ユーザーの作成(コマンドライン)

次の例では、User1をEnterprise Managerユーザーにします。ここでは、ユーザーについての説明を指定し、パスワードを変更できないようにしています。他のスーパー管理者のみがパスワードを変更できます。プロファイルはMGMT_ADMIN_USER_PROFILEとして設定されます。

例2-1 コマンドライン

emcli create_user
      -name="User1"
      -desc="This is temp hire."
      -prevent_change_password="true"
      -profile="MGMT_ADMIN_USER_PROFILE"

例2-2 スクリプトおよび対話形式

create_user
      (name="User1"
      ,desc="This is temp hire."
      ,prevent_change_password="true"
      ,profile="MGMT_ADMIN_USER_PROFILE")

デフォルトの認証方法への復元

次の各項では、Enterprise Managerのデフォルトの認証方法に復元する方法について説明します。

シングル・サインオン・ログオン・ページの省略

OMSがSSO、OAMまたはその他の認証方法を使用するよう構成されている場合、シングル・サインオンまたはOAM認証を省略する必要がある場合があります。SSOログオン・ページを省略するには、次のURLに接続します。

1. https://ms_host:ms_https_port/emに接続します。

   ms_hostとms_https_portは、WLS管理対象サーバーのホスト名とポート番号です。これらのパラメータは、EM_INSTANCE_HOME/emgc.propertiesファイルに含まれています。このファイルでは、EM_INSTANCE_HOSTとMS_HTTPS_PORTとリストされています。

2. リポジトリ・ユーザーの資格証明を使用してログインします。

デフォルトの認証方法の復元

1. OMSごとに次のコマンドを実行します。

   emctl config auth repos

   コマンドの出力例:

   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved.
   Configuring Repos Authentication ... Started
   Configuring Repos Authentication ... Successful
   If you have updated files like httpd.conf (for example, while installing WebGate), rollback them.
   If this is a multi-OMS environment, execute this command on remaining servers.
   After that, restart OMS(s) using: 'emctl stop oms -all' and 'emctl start oms'
   

2. OMSごとに次のコマンドを実行します。

   emctl stop oms -all

   emctl start oms

OAM SSOを構成した場合、手動でWebgateをアンインストールし、WebgateディレクティブをApache httpd.confから削除します。

OSSOで構成した場合、OSSOディレクティブをhttpd.confから削除します。

管理者の削除

管理者アカウントを削除するには:

1. 「設定」メニューから、「セキュリティ」,、「管理者」の順に選択します。管理者ページが表示されます。
2. 削除する管理者を選択し、「削除」をクリックします。
3. 確認ページで「はい」をクリックします。

管理者にリソースが割り当てられている場合、管理者の削除ページが表示されます。管理者の削除ページを使用して、管理者をEnterprise Managerから削除する際に管理者が所有していたオブジェクトをどのように扱うかを指定できます。このページでは、次の操作が可能です。

• Enterprise Manager管理者とともにすべての管理者所有オブジェクトを削除。管理者と関連のジョブ・タイプ、ジョブ、修正処理、レポート定義、レポート、テンプレートを削除します。ブラックアウトは削除されません。

• 別のEnterprise Manager管理者へのオブジェクトの再割当て。管理者のオブジェクトを別の管理者に割り当てます。その管理者に属する資格証明は、再割当てが行われる前にリポジトリから削除されます。

使用上のヒント

「オブジェクトの表示」をクリックすると、削除するEnterprise Manager管理者が現在所有しているすべてのオブジェクトが表示されます。

オブジェクトを別の管理者に再割当てするには、「新規所有者」テキスト・ボックスに新規管理者の名前を入力するか、懐中電灯アイコンをクリックして使用可能な管理者のリストを表示します。

スーパー管理者のみが他のEnterprise Manager管理者を削除できます。Enterprise Managerでは、管理者は次の処理を行うことができません。

• 自身の削除。

• 管理リポジトリ所有者の削除。

管理者オブジェクトの再割当ては、次のように処理されます。

• 「ブラックアウト」は、ブラックアウトの影響を受けるすべてのターゲットに対して「オペレータ」権限を持つ任意のユーザーに再割当てできます。

• 「ジョブ」は任意の管理者に再割当てできます。ただし、ジョブに関連付けられているすべての資格証明は削除され、ジョブは「一時停止中」状態のままになります。このため、新規ジョブ所有者は新規資格証明を明示的に設定する必要があります。現在実行中のジョブは実行を継続できます。新規ジョブ所有者が資格証明を設定すると、ジョブは「SCHEDULED」状態に戻ります。

• 「修正処理」は、修正処理の操作対象となるターゲットに対して「オペレータ」権限を持つ任意の管理者に再割当てできます。

• 「レポート定義」は、任意の管理者に再割当てできます。

• 「レポート」は、任意の管理者に再割当てできます。

• 「モニタリング・テンプレート」は、任意の管理者に再割当てできます。

エンタープライズ・ユーザー・セキュリティベースの認証

エンタープライズ・ユーザー・セキュリティでは、Oracle Internet Directory (OID)やMicrosoft Active DirectoryなどのLDAP準拠のディレクトリ・サーバーにOracle Databaseの情報をディレクトリ・オブジェクトとして作成して格納できます。たとえば、管理者は、Oracle Databaseのエンタープライズ・ユーザーとロールをディレクトリに作成したり、格納できるため、複数のデータベースのユーザーとロールの管理の一元化に役立ちます。Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイドを参照してください。

現在、エンタープライズ・ユーザー・セキュリティを使用してすべてのOracle DatabaseのOracleユーザーやロールを管理している場合、この機能を拡張してEnterprise Manager管理者アカウントも管理するようにできます。エンタープライズ・ユーザー・セキュリティで使用するようにEnterprise Managerを構成すると、Oracle Enterprise Managerコンソールで管理しているデータベース・ターゲットへのログイン・プロセスが簡単になります。

エンタープライズ・ユーザー・セキュリティで使用するようにEnterprise Managerを構成するには:

1. Oracle Management Repositoryデータベースと、Enterprise Managerコンソールで管理するデータベース・ターゲットに対してエンタープライズ・ユーザー・セキュリティが有効であることを確認します。
2. emctl set propertyコマンドを使用して次のプロパティを設定します。

   oracle.sysman.emSDK.sec.DirectoryAuthenticationType=EnterpriseUser

   ノート:

   複数OMS構成の場合、このコマンドは各OMSで実行される必要があります。

   たとえば:

   emctl set property -name oracle.sysman.emSDK.sec.DirectoryAuthenticationType -value EnterpriseUser
   

3. Oracle Management Serviceを停止します。

   emctl stop oms -all

   Oracle Enterprise Manager管理者ガイドのOMSのEMCTLコマンドを参照してください。

4. 管理サービスを開始します。

   emctl start oms

次回Oracle Enterprise Managerコンソールを使用して管理対象データベースにドリルダウンすると、Enterprise Managerはエンタープライズ・ユーザー・セキュリティを使用してデータベースへの接続を試みます。これが成功した場合、ログオン・ページは表示されずにEnterprise Managerによってデータベースに接続します。エンタープライズ・ユーザー・セキュリティの使用が失敗した場合、Enterprise Managerからデータベースの資格証明が求められます。

エンタープライズ・ユーザー(EUSユーザー)のEnterprise Managerユーザーとしての登録

エンタープライズ・ユーザー(EUS)を使用するようにEnterprise Managerを構成すると、既存のエンタープライズ・ユーザーをEnterprise Managerユーザーとして登録し、Enterprise Managerを効率的に管理できるようにそのユーザーに必要な権限を付与できます。

既存のエンタープライズ・ユーザーを登録するには、次のインタフェースを使用します。

• Enterprise Managerコンソール

• Enterprise Managerコマンドライン・インタフェース(EM CLI)

Enterprise Managerコンソールを使用したエンタープライズ・ユーザーの登録

Enterprise Managerコンソールを使用してエンタープライズ・ユーザーを登録するには、次のステップを実行します。

1. スーパー管理者としてEnterprise Managerにログインします。
2. 「設定」メニューから、「セキュリティ」、「管理者」の順に選択し、管理者ページを表示します。Enterprise Managerはエンタープライズ・ユーザーを使用するように構成されているため、管理者の作成ウィザードの最初のページには、登録されているOracle Internet Directoryユーザーまたは通常のデータベース・ユーザーに基づいて管理者を作成するオプションが表示されます。
3. Oracle Internet Directoryを選択し、「続行」をクリックしてウィザードの次のページに移動します。
4. Oracle Internet Directoryユーザーの名前と電子メール・アドレスを入力するか、懐中電灯アイコンをクリックしてOracle Internet Directoryでユーザー名を検索します。
5. ウィザードの残りのページを使用してEnterprise Manager管理者のロール、システム権限、その他の特徴を定義してから「終了」をクリックします。Enterprise Managerには、管理者アカウントの特徴をリストする概要ページが表示されます。
6. 「終了」をクリックして、新しいEnterprise Manager管理者を作成します。

   これで、OIDユーザーがEnterprise Manager管理者のリストに含まれます。Enterprise Managerコンソールからログアウトし、シングル・サインオン・ログオン・ページでOIDユーザーの資格証明を使用してログインしなおすことで、アカウントを検証できます。

コマンドライン・インタフェースを使用したエンタープライズ・ユーザーの登録

EM CLIを使用してエンタープライズ・ユーザーをEnterprise Managerユーザーとして登録するには、次のコマンドを入力します。

emcli create_user -name=eususer -type=DB_EXTERNAL_USER

このコマンドでは、eususerをEnterprise Managerユーザーとして登録します。eususerは、既存のエンタープライズ・ユーザーです。

Oracle Internet Directory(OID)

OIDベースの認証スキームを実装し、Enterprise ManagerでOIDによるユーザーの認証を行うことができます。

OMSでemctl config auth oidコマンドを実行して、コマンドで指定した構成パラメータ値を使用する、OracleInternetDirectoryAuthenticatorタイプのWebLogic認証プロバイダを作成します。指定しない構成値はデフォルト値のままです。拡張OID構成パラメータのチューニングと変更は、emctl config auth oidコマンドではなく、WebLogic Server管理コンソールを使用して実行されます。

ノート:

LDAPトラブルシューティングを実行する必要があるイベントでは、WebLogic Serverコンソールから、LDAPトレース・ログ・ファイル(ldap_trace.logATN)の生成を有効にします。Enterprise Managerでの認証問題のトラブルシューティングを参照してください。

前提条件

Oracle Internet Directory LDAPサーバーが設定され、実行中です。

WebLogic管理サーバーが起動され、実行中であること。

1. 各OMSでemctl config auth oidコマンドを実行します。

   emctl config auth ad -ldap_host <ldap host> -ldap_port <ldap port>
       -ldap_principal <ldap principal> [-ldap_credential <ldap credential>]
       -user_base_dn <user base DN> -group_base_dn <group base DN> [-user_dn <dn>] [-group_dn <dn>]
       [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>]
       [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-use_anonymous_bind] [-keystore_pwd keystone_password]
   

   説明:

   • ldap_host: LDAPホスト名

   • ldap_port: LDAPポート

   • ldap_principal: WebLogic ServerがLDAPサーバーとの接続に使用するLDAPユーザーの識別名(DN)。

   • ldap_credential: ldap_principalで指定されたユーザーのパスワード。

   • user_base_dn: ユーザーが含まれているLDAPディレクトリのツリーの基本識別名(DN)。

   • group_base_dn - グループが含まれているLDAPディレクトリのツリーの基本識別名(DN)。

   • enable_auto_provisioning: 指定されると、Enterprise Managerで自動プロビジョニングを有効にします。外部LDAPユーザーをEnterprise Managerで手動でプロビジョニングする必要がなくなります。

   • auto_provisioning_minimum_role <min_role>: 指定されると、LDAPにおいてmin_roleが付与されたEnterprise Manager内の外部ユーザーのみを自動プロビジョニングします。

   • minimum_privilege <min_priv>: 指定されると、min_privが付与されていないユーザーへのEnterprise Managerへのアクセスが禁止されます。

   • use_ssl: LDAPサーバーへの接続にSSLを使用します。

   • cert_file <cert>: 渡されたLDAPサーバー証明書を使用して、sslによるLDAPサーバーへの接続の間に信頼性を確立します。このオプションは、LDAPサーバーによく知られていない(信頼されない)認証局により署名された証明書がある場合に指定します。ノート: これは単一の証明書を想定しています。証明連鎖のインポートはサポートしていません。keytoolユーティリティを使用してインポートしてから、このコマンドを実行してください。

   • trust_cacerts: LDAPサーバーへの接続の間、LDAPサーバーの証明書を信頼します。これは通常、証明書がよく知られたCAにより署名されている場合に使用します。

   • keystore_pwd <passwd>: デフォルトのDemoTrust.jksキーストア(デフォルトのパスワードが変更された場合)または検証の一部としてLDAPサーバーの証明書がインポートされるカスタムのキーストアのパスワード。

   • use_anonymous_bind: 指定されると、LDAPサーバーに接続するために匿名バインドを使用します。

   例:

   emctl config auth oid -ldap_host "ldaphost" -ldap_port "3060" -ldap_principal "cn=orcladmin,cn=users,dc=us,dc=oracle,dc=com" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -ldap_credential password
   

2. OMSを停止します。

   emctl stop oms -all

3. OMSを再起動します。

   emctl start oms

   ノート:

   複数OMSインスタンスで構成されるEnterprise Managerのデプロイメントの場合、emctl config auth oid を各OMSで実行する必要があります。変更内容を有効にするには、各OMSを再起動する必要があります。

   SSL経由でLDAPを使用してEnterprise Managerを認証する方法を参照してください。

OID構成のテスト

WebLogic Server管理コンソールを使用して(「ユーザーとグループ」タブ)、OID構成が成功したかどうかを確認します。このタブに移動するには、「ホーム」/「セキュリティ・レルムのサマリー」/「myrealm」/「ユーザーとグループ」を選択します。「ユーザーとグループ」タブで、OIDから表示されるユーザーおよびグループを確認する必要があります。

Microsoft Active Directoryベースの認証

Microsoft ADベースの認証スキームを実装し、Enterprise ManagerでActive Directoryに対するユーザーの認証を行うことができます。

OMSでemctl config auth adコマンドを実行すると、このコマンドで指定した構成パラメータ値を使用する、ActiveDirectoryAuthenticatorタイプのWebLogic認証プロバイダが作成されます。指定しない構成値はデフォルト値のままです。拡張AD構成パラメータのチューニングと変更は、emctl config auth adコマンドではなく、WebLogic Server管理コンソールを使用して実行されます。

次の手順を実行する前に、Active DirectoryのLDAPサーバーが起動され実行中であることを確認します。

1. 各OMSでemctl config auth oidコマンドを実行します。

   emctl config auth ad -ldap_host <ldap host> -ldap_port <ldap port>    -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] -user_base_dn <user base DN> -group_base_dn <group base DN>
   

   説明:

   • ldap_host: Active Directoryがインストールされているマシンの名前。

   • ldap_port: Active Directoryがリクエストをリスニングしているアクティブ・ポート。

   • ldap_principal: ユーザーの妥当性を確認するために、WebLogic ServerがLDAPサーバーとの接続に使用するActive Directoryユーザーの識別名(DN)。

   • ldap_credential: ldap_principalで指定されたユーザーのパスワード。

   • user_base_dn: ldap_principalとして指定されたユーザーには、このディレクトリへの読取りアクセス権が必要です。ユーザーが複数のベースDNに配置されている場合、このフィールドには最上位の最も一般的なDNを入力します。このフィールドは、複数エントリは受け付けません。

   • group_base_dn - ldap_principalとして指定されたユーザーには、このディレクトリへの読取りアクセス権が必要です。

   例:

   emctl config auth ad -ldap_host "ldaphost" -ldap_port "3060" -ldap_principal "cn=orcladmin" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -ldap_credential "my_ldap_password"
   

2. OMSを停止します。

   emctl stop oms -all

3. OMSを再起動します。

   emctl start oms

   ノート:

   複数OMSインスタンスで構成されるEnterprise Managerのデプロイメントの場合、emctl config auth ad を各OMSで実行する必要があります。変更内容を有効にするには、各OMSを再起動する必要があります。

Microsoft Active Directoryの構成テスト

WebLogic Server管理コンソールを使用して(「ユーザーとグループ」タブ)、Microsoft Active Directory構成が成功したかどうかを確認します。このタブに移動するには、「ホーム」/「セキュリティ・レルムのサマリー」/「myrealm」/「ユーザーとグループ」を選択します。「ユーザーとグループ」タブに、Microsoft Active Directoryのユーザーとグループが表示されます。

外部ロールを使用した外部認可

Enterprise Managerをユーザーの外部認証用に構成する場合、外部認証プロバイダとともに機能するように構成して認可を管理することもできます。これは外部ロールを使用して行われます。これは、自動プロビジョニングされたユーザーがEnterprise Managerロールを付与されていない場合(この場合に限定されません)など、多くのシナリオで役立ちます。外部ロールの背景にあるアイデアは、適切な権限を使用してEnterprise Managerでロールを作成し、ロールの名前をLDAPグループの名前と一致させることです。LDAPグループの一部であるユーザーは、Enterprise Managerに一度ログオンするとそのロールでの権限を自動的に付与されます。

外部ロールを設定するには、Enterprise Managerでロールを作成し、それを外部としてマークします。このロールの名前は、外部LDAPグループと同じである必要があります。必要なロールと権限でこのロールを設定します。たとえば、Enterprise Managerで、外部としてマークされたEM_ADMINというロールを作成できます。EM_ADMINという名前は、LDAPグループのEM_ADMINという名前と一致します。JohnDoeがEM_ADMIN LDAPグループのメンバーだとすると、Enterprise Managerのユーザーでもあります。JohnDoeがEnterprise Managerにログオンすると、Enterprise ManagerのロールEM_ADMINで定義されたすべての権限が付与されます。

自動プロビジョニング

通常、外部LDAPユーザーは、Enterprise Managerコンソールにログインできるようになる前に、Enterprise Managerで作成される必要があります。自動プロビジョニングでは、ユーザーが最初にEnterprise Managerに正常にログオンすると、Enterprise Managerのユーザー・アカウントが自動的に作成されるため、この必要がなくなります。

自動プロビジョニングを有効にするには、OMSプロパティのoracle.sysman.core.security.auth.autoprovisioningをtrueに設定します。

このパラメータは、emctlまたはコンソールを使用して設定できます。

これにより外部ユーザーは、Enterprise ManagerリポジトリでEnterprise Managerユーザーとして最初に作成されなくてもログインできるようになります。このユーザー・アカウントは、最初のログインで自動的に作成されます。このプロパティが一度設定されると、すべての外部LDAPユーザーがEnterprise Managerコンソールにログインできるようになります。自動プロビジョニング機能を特定のLDAPグループのメンバーのみなど、ユーザーのサブセットにさらに制限するには、別のOMSプロパティのoracle.sysman.core.security.auth.autoprovisioning_minimum_roleを設定します。このプロパティは、メンバーが自動プロビジョニングされる必要のあるLDAPグループに設定される必要があります。たとえば、EM_ADMINに設定された場合、EM_ADMINというLDAPグループのメンバーのみがEnterprise Managerにログインでき、Enterprise Managerで自動的に作成されたユーザー・アカウントを持つことになります。

外部ユーザー表示名に別の名前を使用

デフォルトでは、WebLogicコンソール>「セキュリティ・レルム」>「myrealms」>「ユーザーとグループ」>「ユーザー・リスト」に表示されるユーザー名を使用してOracle Enterprise Managerにログインする必要があります。外部プロバイダでOracle Enterprise Managerを認証すると、WebLogicコンソールのユーザー・リストに外部ユーザーのcn値が表示されます。

一部の環境では、cn値の形式は'FIRST NAME LAST NAME'です。sAMAccountNameまたはユーザーID (UID)を使用してOracle Enterprise Managerにログインする場合は、プロバイダの構成を更新する必要があります。

たとえば、WebLogicコンソールにユーザー名'TEST USER'と表示されるユーザーが、このユーザーのsAMAccountNameである'tuser'としてOracle Enterprise Managerにログインするとします。

ノート:

この例ではsAMAccountNameが使用されています。UIDを使用するには、次のステップでsAMAccountNameをuidに置き換えます。

1. 外部プロバイダで、外部ユーザーに構成されているパラメータ/プロパティをチェックします。

2. パラメータ'cn'の値は'TEST USER'です。

3. 同じファイルで、ユーザーの値が'tuser'のパラメータを探します。そのパラメータは'sAMAccountName'です。

外部ユーザー(tuser)のsAMAccountNameを使用してOracle Enterprise Managerにログインするには:

1. <GCDOMAIN>/config/config.xml ファイルをバックアップします。

2. WebLogicコンソールで、「セキュリティ・レルム」>「myrealm」>「プロバイダ」>外部オーセンティケータに移動します。

3. 「ロックと編集」をクリックしてこのページを編集します。

4. 「プロバイダ固有」タブをクリックします。

5. 名前指定によるユーザー・フィルタを探します。

6. 名前指定によるユーザーの値を(&(cn=%u)(objectclass=person))から(&(sAMAccountName=%u)(objectclass=person))に変更します。

7. 「ユーザー名属性」を探します。

8. 「ユーザー名属性」の値をcnからsAMAccountNameに変更します。

9. 「保存」をクリックし、「変更のアクティブ化」をクリックします。

10. -all オプションを使用して、Oracle Management Serverを再起動します。

    <OMS_HOME>/bin/emctl stop oms -all -force

    <OMS_HOME>/bin/emctl start oms

11. WebLogicコンソール>「セキュリティ・レルム」>「myrealms」>「ユーザーとグループ」>「ユーザー・リスト」にログインして、ユーザー'tuser'がユーザー・リストに存在することを確認します。これで、ユーザー名'tuser'を使用してOracle Enterprise Managerにログインできるようになりました。

Oracle Virtual Directoryでのユーザー名の変更の更新

Oracle Enterprise Managerリリース12.1.0.4以上では、Oracle Virtual Directoryレイヤーでユーザー名の変更を更新するために、次の追加のステップを実行する必要があります。

1. <MW_HOME>/oracle_common/common/bin/wlst.sh and <GCDomain>/config/fmwconfig/ovd/default/adapter.os_xmlファイルをバックアップします。
2. <MW_HOME>/oracle_common/common/bin/wlst.shファイルをテキスト・エディタで開き、次のパラメータをWLST_PROPERTIESに追加します。

   -Dweblogic.ssl.JSSEEnabled=true -Djavax.net.ssl.keyStore=<MW HOME>/wlserver_10.3/server/lib/DemoIdentity.jks
   -Djavax.net.ssl.keyStorePassword=DemoIdentityKeyStorePassPhrase
   -Djavax.net.ssl.trustStore=<MW HOME>/wlserver_10.3/server/lib/DemoTrust.jks
   -Djavax.net.ssl.trustStorePassword=DemoTrustKeyStorePassPhrase
   -Dweblogic.security.SSL.trustedCAKeyStore=<MW HOME>/wlserver_10.3/server/lib/DemoTrust.jks
   -Dweblogic.security.SSL.ignoreHostnameVerification=true 
   

   たとえば:

   WLST_PROPERTIES="-Dweblogic.ssl.JSSEEnabled=true
   -Djavax.net.ssl.keyStore=/u01/mwr/wlserver_10.3/server/lib/DemoIdentity.jks
   -Djavax.net.ssl.keyStorePassword=DemoIdentityKeyStorePassPhrase
   -Djavax.net.ssl.trustStore=/u01/mwr/wlserver_10.3/server/lib/DemoTrust.jks
   -Djavax.net.ssl.trustStorePassword=DemoTrustKeyStorePassPhrase
   -Dweblogic.security.SSL.trustedCAKeyStore=/u01/mwr/wlserver_10.3/server/lib/DemoTrust.jks
   -Dweblogic.security.SSL.ignoreHostnameVerification=true ${WLST_PROPERTIES}
   -DORACLE_HOME='${ORACLE_HOME}' -DCOMMON_COMPONENTS_HOME='${COMMON_COMPONENTS_HOME}'"
   export WLST_PROPERTIES

   ノート:

   サード・パーティ証明書またはカスタム証明書をWebLogic Serverにインポートした場合は、前述の例で、パスをそれぞれのキーストアに置き換える必要があります。カスタム・パスはconfig.xmlファイルにあります。

3. <MW_HOME>/oracle_common/common/bin/wlst.shを起動します。
4. 次のコマンドを入力して管理サーバーに接続します。

   connect('weblogic','<weblogic password>','t3s://<ADMIN SERVER HOSTNAME>:<ADMIN SERVER PORT>')
   

   たとえば:

   connect('weblogic','<weblogic password>','t3s://test01.example.com:7102')
   

5. 次のコマンドを入力します。

   $addPlugin(adapterName='ADAPTER_NAME',pluginName='changerdn',pluginClass='oracle.ods.virtualization.engine.chain.plugins.changeuserrdn.ChangeUserRDN',paramKeys='replaceValue|fromRDN|toRDN',paramValues='true|cn|sAMAccountName')
   

   ノート:

   前述のコマンドのadapterNameパラメータに、管理サーバー・コンソール上のLDAPプロバイダの名前を指定する必要があります。

6. 次のコマンドを入力してOMSを停止します。

   <OMS HOME>/bin/emctl stop oms -all -force
   

7. OMSパスからプロセスが実行されていないことを確認します。
8. 次のコマンドを入力して、管理サーバーとOMSを起動します。

   <OMS HOME>/bin/emctl start oms -admin_only

LDAPユーザー属性のEnterprise Managerユーザー属性へのマッピング

外部認証が有効な場合、「ユーザーの作成」フローの名前フィールドの横に懐中電灯のアイコンが表示されます。

ノート:

Enterprise Managerで、管理者が初めて作成されると、外部認証が有効になります。

この懐中電灯をクリックするとポップアップ・ウィンドウが表示され、Enterprise Managerの管理者は構成済の外部LDAPサーバー(たとえばADまたはOID)のエンタープライズ・ユーザーを検索できます。また、そのユーザーのLDAP属性も表示されます。これにより、Enterprise Managerの管理者はEnterprise Managerで外部ユーザーの属性を作成する前にその属性を確認できます。

外部認証を構成したら、多くの場合LDAPのユーザーに対して定義された電子メールアドレス、部署などのユーザー情報が対応するEnterprise Managerのユーザー・アカウントに自動的に伝搬されることが期待されます。これは、OMSプロパティのoracle.sysman.core.security.auth.ldapuserattributes_emuserattributes_mappingsを設定することでできるようになります。このプロパティには、ユーザー・プロパティの移入に使用される、Enterprise Managerのユーザー・プロパティと対応するLDAPユーザー属性との間のマッピングが含まれます。Enterprise ManagerプロパティとLDAP属性との間のマッピングは、<キー>={%属性%}の形式で表現されます。各項目の意味は次のとおりです。

• キー - Enterprise Managerのユーザー・プロパティです。ユーザー・プロパティの値は、次のとおりです。

  USERNAME

  EMAIL

  CONTACT

  LOCATION

  DEPARTMENT

  COSTCENTER

  LINEOFBUSINESS

  DESCRIPTION

  これ以外の値がキーに指定された場合は無視されます。

• 属性 - LDAPからフェッチされ、Enterprise Managerでユーザーのプロパティの設定に使用される必要のあるユーザー属性。属性は、{%属性%}の形式(たとえば、{%mail%})で指定する必要があります。

  %間の値はLDAPサーバーの有効な属性である必要があります。属性値を指定する場合、リテラル文字列を指定することもできます。たとえば:

  DESCRIPTION={%firstname% %lastname% employee}

  この例では、LDAPから名前と姓のみがフェッチされますが、ユーザーの説明は「名姓従業員」となります。たとえば、「John Doe従業員」となります。

  別の例では、CONTACT={電話番号%phone%}のようにもできます。リテラル文字列値にカンマを指定する必要がある場合、「\」を使用してエスケープする必要があります。たとえば、

  DESCRIPTION={%lastname% \, %firstname% \, %phone%}

  この結果は、「Doe, John, 212-454-0000」と説明されるユーザーとなります。リテラル文字列で指定される場合で、バックスラッシュ(\)を使用してエスケープする必要がある他の文字は、「:」、「=」で、これらは\:または\=のように入力します。

したがって、OMSプロパティoracle.sysman.core.security.auth.ldapuserattributes_emuserattributes_mappings は、カンマで区切られたキーと属性のペアのセットで設定する必要があります。

例として、ユーザーJOHNDOEはLDAPに存在し、次の属性を持つものとします。

uid=johndoe,mail=johndoe@example.com,description=EM LDAP Admin,postalcode=90210,department=EnterpriseAdmin,telephone=2124540000,displayname=JohnDoe

OMSプロパティを、

oracle.sysman.core.security.auth.ldapuserattributes_emuserattributes_mappings to "USERNAME={%uid%},EMAIL={%mail%},CONTACT={%telephone%},DEPARTMENT={%department%},DESCRIPTION={%description%},LOCATION={%postalcode%}" 

のように設定した場合、ポップアップ・ウィンドウでユーザーを選択して「OK」を押すと、ユーザーの属性が「ユーザーの作成」ページの該当するフィールドに自動的に移入されます。

Enterprise Managerでのユーザー表示名の変更

LDAP環境の一部では、ユーザーが数字のログインIDを持つことになる場合があります。Enterprise Managerには、ユーザーが数字のIDを使用してログインしたときに、わかりやすいユーザー名を表示する機能があります。ユーザーがEnterprise Managerコンソールにログオンすると、この数字のIDは、監査レコードなどユーザー名が表示されるところにはどこにでも表示され、使用されます。名前をもっとわかりやすく表示するために、OMSプロパティのoracle.sysman.core.security.auth.enable_username_mappingを使用して、Enterprise Managerに表示される名前よりも直感的な外部の名前をマッピングできます。このプロパティは、emctlを使用して変更できます。

emctl set property –name “oracle.sysman.core.security.auth.enable_username_mapping" –value “true" 

これは、Enterprise Managerコンソールを使用して設定することもできます。動的プロパティがあり、管理サービスをバウンスする必要がありません。

有効にすると、Enterprise Managerにログオンするユーザーに使用される名前またはIDを含む「外部ユーザーID」フィールドが追加されます(この名前またはIDは有効なユーザーとしてLDAPに存在します)。管理者の作成ページが表示されます。

たとえば、外部ユーザー123456がログインし、johndoeをログイン・ユーザーとして表示する場合には、「名前」フィールドに「johndoe」と指定します。

ユーザー123456は、そのユーザーがLDAPサーバーに123456として存在するため、そのIDとしてログインしますが、名前「johndoe」がユーザー名としてEnterprise Managerコンソールに表示されます。

OMSプロパティoracle.sysman.core.security.auth.ldapuserattributes_emuserattributes_mappingsをこの環境で使用して、ユーザーの名前および外部IDを自動的に移入することもできます。EXTERNALUSERIDという追加フィールドに設定する必要があります。前述の例を使用して、次のようにOMSプロパティを設定します。

"USERNAME={%displayname%},EXTERNALUSERID={%uid%},EMAIL={%mail%},CONTACT="{%telephone%},DEPARTMENT={%department%},DESCRIPTION={%description%},LOCATION={%postalcode%}"

前述の機能は、EM CLIでも使用できます。OMSプロパティが設定された状態でEM CLI create_user動詞を使用して、LDAP属性が自動的に移入されるユーザーを作成できます。

他のLDAP/SSOプロバイダの構成

現在、Oracle Enterprise Managerは、Oracle Internet Directory、Oracle Access Manager、Active Directoryおよびシングル・サインオンのネイティブ・サポートを提供しています。ネイティブ・サポートにより、EMCTLを使用して、WebLogic ServerおよびEnterprise Managerを外部認証用に構成できます。

Enterpriseの設定:

• Oracle Internet Directory: Oracle Internet Directory (OID)
• Active Directory: Microsoft Active Directoryベースの認証

LDAPプロバイダはSUFFICIENTとマークされ、プロバイダのリストにおいてEnterprise Managerリポジトリ・オーセンティケータよりも前にある必要があります。

SSOプロバイダについては、特定のSSOプロバイダ構成の要件を参照してください。Enterprise Managerを機能させるには、適切な認証プロバイダを構成することに加えて、特定のOMSプロパティを設定する必要もあります。

他のLDAPサーバーのタイプを使用してEnterprise Managerを構成するには、次のOMSプロパティを設定する必要があります。これらのプロパティは、emctlまたはコンソールを使用して設定できます。プロパティは、各OMSに対して設定する必要があります。

emctl set property -name "oracle.sysman.core.security.auth.is_external_authentication_enabled" -value "true"

• oracle.sysman.core.security.auth.is_external_authentication_enabled=true

• oracle.sysman.emSDK.sec.DirectoryAuthenticationTypeはLDAP

他のSSOソリューションのタイプを使用してEnterprise Managerを構成するには、weblogic認証またはアイデンティティ・アサーション・プロバイダの構成に加え、次のOMSプロパティを設定する必要があります。

• oracle.sysman.core.security.auth.is_external_authentication_enabled=true

• oracle.sysman.core.security.sso.type=OTHERSSO

• oracle.sysman.core.security.sso.logout_url=<SSOサーバーでのログアウト構成用に提供された任意の値>

• oracle.sysman.emSDK.sec.DirectoryAuthenticationType=SSO

シングル・サインオン・ベースの認証の構成

この項の内容は次のとおりです。

• Oracle AS SSO 10gを使用したシングル・サインオンの構成

Oracle AS SSO 10gを使用したシングル・サインオンの構成

現在Oracle Application Server Single Sign-Onを使用してエンタープライズのアクセスと認可を制御している場合、これらの機能をEnterprise Managerコンソールに拡張できます。

デフォルトでは、Enterprise Managerにはメインのログオン・ページが表示されます。ただし、Oracle Application Server Single Sign-Onを使用してEnterprise Managerのユーザーを認証するようにEnterprise Managerを構成できます。ユーザーには、Enterprise Managerのログオン・ページではなく、Oracle Application Server Single Sign-Onの標準のログオン・ページが表示されます。管理者は、このログオン・ページで各自のOracle Application Server Single Sign-On資格証明を使用してOracle Enterprise Managerコンソールにアクセスできます。

ノート:

• Enterprise Managerは、Oracle Application Server Single Sign-Onまたはエンタープライズ・ユーザー・セキュリティ機能のいずれかを使用する(両方は使用できない)ように構成できます。

• サーバー・ロード・バランサ(SLB)でシングル・サインオンを使用するようにEnterprise Managerを構成する場合、正しいモニタリング設定が定義されていることを確認します。

パートナー・アプリケーションは、OracleAS Single Sign-Onサーバーに認証を委任するように設計されたアプリケーションです。次の項では、Enterprise ManagerをOracleAS Single Sign-Onパートナ・アプリケーションとして構成する方法について説明します。

• Enterprise Managerのパートナ・アプリケーションとしての登録

• シングル・サインオン構成の削除

• シングル・サインオン・ユーザーのEnterprise Manager管理者としての登録

• EM CLIを使用したシングル・サインオン・ユーザーの登録

• シングル・サインオン・ログオン・ページの省略

• デフォルトの認証方法の復元

Enterprise Managerのパートナ・アプリケーションとしての登録

Enterprise Managerをパートナ・アプリケーションとして手動で登録するには、次のステップを実行します。

1. 各OMSでemctl stop oms を実行し、すべてのOMSを停止します。
2. 次のURLを入力してSSO管理ページにナビゲートします。

   https://sso_host:sso_port/pls/orasso
   

3. orcladminユーザーとしてログインし、「SSOサーバー管理」をクリックします。
4. 「パートナ・アプリケーション管理」をクリックして「パートナ・アプリケーションの追加」をクリックします。
5. 「パートナ・アプリケーションの追加」ページで次の情報を入力します。

   Name: <EMPartnerName>
   Home URL: protocol://em_host:em_port
   Success URL: protocol://em_host:em_port/osso_login_success 
   Logout URL: protocol://em_host:em_port/osso_logout_success
   Administrator Email: user@example.com
   

   ノート1: host、portおよびprotocolは、使用されるEnterprise Managerのホスト、ポートおよびプロトコル(httpまたはhttps)のことです。

   ノート2: em_host、em_port、emailおよびEnterprise Managerパートナ名は適切な値に置き換える必要があります。この例のとおりに入力しないでください。

6. パートナ・アプリケーション管理ページに戻り、<EMPartnerName>の「編集」アイコンをクリックします。

   「ID」、「トークン」、「暗号化キー」、「ログインURL」、「シングル・サインオフURL」、「ホームURL」の値を記録し、ファイルosso.txtに次の内容を含めます。

   sso_server_version= v1.2
   cipher_key=<value of EncryptionKey>
   site_id=<value of ID>
   site_token=<value of Token>
   login_url=<value of Login URL>
   logout_url=<value of Single Sign-Off URL>
   cancel_url=<value of Home URL>
   sso_timeout_cookie_name=SSO_ID_TIMEOUT
   sso_timeout_cookie_key=9E231B3C1A3A808A
   

7. ORACLE_HOME環境変数をWebTier Oracleホームの場所に設定します。

   setenv ORACLE_HOME /scratch/13c/MWHome/Oracle_WT

   次のように実行します。

   $ORACLE_HOME/ohs/bin/iasobf <location of osso.txt> <location of osso.conf>

8. OMSごとに次のコマンドを実行します。

   emctl config auth sso -ossoconf <osso.conf file loc> -dasurl <DAS URL> [-unsecure] [-domain <domain>]-ldap_host <ldap host> -ldap_port <ldap port> -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] -user_base_dn <user base DN> -group_base_dn <group base DN> [-logout_url <sso logout url>]
   

   ldap_host、ldap_port、ldap_principalおよびldap_credentialは、SSOのLDAPの詳細です。

   このコマンドの出力例を次に示します。

   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
   SSO Configuration done successfully. Please restart Admin & Managed Servers.
   

9. OMSごとに次のコマンドを実行します。

   emctl stop oms -all
   emctl start oms

シングル・サインオン構成の削除

シングル・サインオン構成を削除するには、次のようにします。

1. OMSごとに次のコマンドを実行します。

   emctl config auth repos
   

   コマンドの出力例:

   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
   Configuring Repos Authentication ... Started
   Configuring Repos Authentication ... Successful
   
   

   httpd.conf (WebGateのインストール時)などのファイルを更新した場合、またはその他の必要なファイルは、このステップ中のロールバックのために、事前にバックアップする必要があります。複数OMS環境を使用している場合、残りのサーバーで、emctl config auth reposを実行する必要があります。

2. 各OMSで次のコマンドを発行し、すべてのOMSを再起動します。

   emctl stop oms -all
   emctl start oms

シングル・サインオン・ユーザーのEnterprise Manager管理者としての登録

シングル・サインオン・ログオン・ページを使用するようにEnterprise Managerを構成すると、シングル・サインオン・ユーザーをEnterprise Manager管理者として登録できます。シングル・サインオン・ユーザーを登録するには、次のインタフェースを使用します。

• Enterprise Managerグラフィカル・ユーザー・インタフェース

• Enterprise Managerコマンドライン・インタフェース

グラフィカル・ユーザー・インタフェースを使用したシングル・サインオン・ユーザーの登録

グラフィカル・ユーザー・インタフェースを使用してシングル・サインオン・ユーザーを登録するには、次のステップを実行します。

1. Enterprise ManagerコンソールのURLに移動します。

   ブラウザはシングル・サインオンの標準ログオン・ページにリダイレクトされます。

2. 有効なシングル・サインオン・ユーザーの資格証明を入力します。ノート: このステップでは、SSOユーザーがEnterprise Managerに登録済である必要があります。

   SSOユーザーがEnterprise Managerユーザーとしてまだ登録されていない場合、次の手順を使用して作成できます。

   1. OMSに直接接続し、Enterprise Managerに移動します。たとえば、https://oms_host:oms_https_port/emです。

   2. リポジトリ・ユーザーとしてログインします。

   3. 「設定」メニューから、「セキュリティ」、「管理者」の順に選択します。

   4. SSOユーザーを作成します。

3. スーパー管理者としてEnterprise Managerにログインします。
4. 「設定」メニューから、「セキュリティ」、「管理者」の順に選択し、管理者ページを表示します。

   Enterprise Managerはシングル・サインオンを使用するように構成されているため、管理者の作成ウィザードの最初のページには、管理者を外部ユーザーとリポジトリ・ユーザーのいずれで作成するかのオプションが表示されます。

5. 「外部ユーザーのアイデンティティ・ストア」を選択し、ウィザードの次のページに進みます。
6. 外部ユーザー・アイデンティティ・ストア・ユーザーの名前と電子メール・アドレスを入力するか、懐中電灯アイコンをクリックしてOracle Internet Directoryでユーザー名を検索します。
7. ウィザードの残りのページを使用してEnterprise Manager管理者のロール、システム権限、その他の特徴を定義してから「終了」をクリックします。

   Enterprise Managerには、管理者アカウントの特徴をリストする概要ページが表示されます。

8. 「終了」をクリックして、新しいEnterprise Manager管理者を作成します。

   これで、外部ユーザー・アイデンティティ・ストア・ユーザーがEnterprise Manager管理者のリストに含まれます。Enterprise Managerコンソールからログアウトし、シングル・サインオン・ログオン・ページで外部ユーザー・アイデンティティ・ストア・ユーザーの資格証明を使用してログインしなおすことで、アカウントを検証できます。

EM CLIを使用したシングル・サインオン・ユーザーの登録

次のEM CLIコマンドを使用してシングル・サインオン・ユーザーを作成できます。

emcli create_user -name=ssouser -type=EXTERNAL_USER

このコマンドは、ssouserという名前でユーザーを作成します。このユーザーは、シングル・サインオン・ユーザーと照らし合せて認証されます。

引数	説明
-name	管理者の名前。
-type	ユーザーのタイプ。このパラメータのデフォルト値はEM_USERです。その他に次の値が可能です。 EXTERNAL_USER: シングル・サインオン・ベースの認証に使用されます。 DB_EXTERNAL_USER: エンタープライズ・ユーザー・ベースのセキュリティ認証に使用されます。
-password	新規に作成した管理者のパスワード。
-roles	該当の管理者に付与できるロールのリスト。
-email	該当の管理者の電子メール・アドレスのリスト。
-privilege	管理者に付与できるシステム権限。このオプションは、複数回指定できます。
-profile	データベース・プロファイルの名前。これはオプションのパラメータです。使用されるデフォルトのプロファイルはDEFAULTです。
-desc	追加するユーザーの説明です。
-expired	このパラメータは、パスワードを「期限切れ」ステータスに設定する場合に使用されます。これはオプションのパラメータであり、デフォルトではFalseに設定されます。
-prevent_change_password	このパラメータをTrueに設定すると、ユーザーはパスワードを変更できません。これはオプションのパラメータであり、デフォルトではFalseに設定されます。
-input_file	このパラメータにより、管理者は、入力ファイルにこれらの引数の値を提供できます。値の形式はname_of_argument:file_path_with_file_nameになります。

例1

emcli create_user
         -name="new_admin"
         -email="john.doe@example.com;jane.doe@example.com"
         -roles="public"
         -privilege="view_job;923470234ABCDFE23018494753091111"
         -privilege="view_target;<host>.com:host" 

この例では、new_adminというEnterprise Manager管理者を作成します。この管理者には、ID 923470234ABCDFE23018494753091111のジョブを表示する機能と、ターゲット<host>.com:hostを表示する機能の2つの権限があります。管理者new_adminにはPUBLICロールが付与されます。

例2

   emcli create_user
         -name="User1"
         -type="EXTERNAL_USER"
         -input_file="privilege:/home/user1/priv_file"

         Contents of priv_file are:
           view_target;<host>.com:host

この例では、Enterprise Managerユーザーとして外部で作成されたuser1を作成します。user1には、<host>.com:hostに対する表示権限があります。

例3

   emcli create_user
         -name="User1"
         -desc="This is temp hire."
         -prevent_change_password="true"
         -profile="MGMT_ADMIN_USER_PROFILE"

この例では、user1をEnterprise Managerユーザーとして、説明付きで設定します。prevent_change_passwordは、user1によってパスワードを変更できないようにtrueに設定され、profileはMGMT_ADMIN_USER_PROFILEに設定されます。

例4

   emcli create_user
         -name="User1"
         -desc="This is temp hire."
         -expire="true" 

この例では、user1をEnterprise Managerとして、説明付きで設定します。パスワードの有効期限はすぐに切れるように設定されるため、ユーザーが初めてログインすると、パスワードの変更が求められます。

シングル・サインオン・ログオン・ページの省略

OMSがSSO、OAMまたはその他の認証方法を使用するよう構成されている場合、特定の状況でシングル・サインオンまたはOAM認証をバイパスすることもできます。SSOログオン・ページをバイパスするには、次のURLに接続します。

1. https://ms_host:ms_https_port/emに接続します。

   ms_hostとms_https_portは、WLS管理対象サーバーのホスト名とポートです。これらのパラメータは、<EM_INSTANCE_HOME>/emgc.propertiesファイルにあります。このファイルでは、EM_INSTANCE_HOSTとMS_HTTPS_PORTとリストされています。

2. リポジトリ・ユーザーの資格証明を使用してログインします。

デフォルトの認証方法の復元

1. OMSごとに次のコマンドを実行します。

   emctl config auth repos
   

   コマンドの出力例:

   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
   Configuring Repos Authentication ... Started
   Configuring Repos Authentication ... Successful
   If you have updated files like httpd.conf (for example, while installing WebGate), rollback them.
   If this is a multi-OMS environment, execute this command on remaining servers.
   After that, restart OMS(s) using: 'emctl stop oms -all' and 'emctl start oms'
   

2. OMSごとに次のコマンドを実行します。

   emctl stop oms -all
   emctl start oms

エンタープライズ・ユーザー・セキュリティベースの認証の構成

エンタープライズ・ユーザー・セキュリティで使用するためにEnterprise Managerを構成する手順は、エンタープライズ・ユーザー・セキュリティベースの認証の構成を参照してください。

デフォルトの認証方法への復元

次の項では、Enterprise Managerで使用されるデフォルトの認証方法を復元する手順について説明します。

シングル・サインオン・ログオン・ページの省略

OMSがSSO、OAMまたはその他の認証方法を使用するよう構成されている場合、シングル・サインオンまたはOAM認証を省略する必要がある場合があります。SSOログオン・ページを省略するには、次のURLに接続します。

1. https://ms_host:ms_https_port/emに接続します。

   ms_hostとms_https_portは、WLS管理対象サーバーのホスト名とポート番号です。これらのパラメータは、EM_INSTANCE_HOME/emgc.propertiesファイルに含まれています。このファイルでは、EM_INSTANCE_HOSTとMS_HTTPS_PORTとリストされています。

2. リポジトリ・ユーザーの資格証明を使用してログインします。

デフォルトの認証方法の復元

1. OMSごとに次のコマンドを実行します。

   emctl config auth repos
   

   コマンドの出力例:

   Oracle Enterprise Manager 24ai Release 1
   Copyright (c) 1996, 2024 Oracle Corporation.  All rights reserved.
   Configuring Repos Authentication ... Started
   Configuring Repos Authentication ... Successful
   If you have updated files like httpd.conf (for example, while installing WebGate), rollback them.
   If this is a multi-OMS environment, execute this command on remaining servers.
   After that, restart OMS(s) using: 'emctl stop oms -all' and 'emctl start oms'
   

2. OMSごとに次のコマンドを実行します。

   emctl stop oms -all
   emctl start oms