認証のガイドライン
外部認証の有効化
Enterprise Managerには、認証の方法が複数あります。事前定義された方法に加えて、カスタマイズされたプロバイダまたはモジュールをEnterprise Managerの認証にプラグインできます。デフォルトのシステム認証の方法は、標準のリポジトリ・ベースの認証です。事前定義済の方法にはさらに次のものがあります。
-
Oracle Single Sign-On(OSSO)
-
エンタープライズ・ユーザー・セキュリティ(EUS)
-
Oracle Access Managerシングル・サインオン(OAM SSO)との統合
-
ダイレクトなLDAP統合(Oracle Internet Directory、Microsoft Active Directory)
-
SAML (Security Assertion Markup Language)
事前定義済プロバイダを使用するようにEnterprise Managerを構成する方法の詳細は、認証の構成を参照してください。
拡張された認証モジュールのいずれかを使用することで、エンタープライズ全体にわたる一元的なアイデンティティ管理を利用できます。こうすることで、パスワードのセキュリティ・コンプライアンス、パスワード変更およびリセットについて、外部のアイデンティティ管理システムに依存できるようになります。外部認証を使用してEnterprise Managerでユーザーを作成するには、作成時に「外部」フラグを選択します。Enterprise Managerでの各新しいユーザーの作成の間、Oracle Access Manager (OAM)、LDAPまたはOracle Internet Directory (OID)などの外部のアイデンティティ・ストアを介すか、または内部的にEnterprise Managerリポジトリを介すかについて、認証のユーザー・モードを決定するように求められます。
アイデンティティ管理システムからアカウントが削除されると、Enterprise Managerでは認証しなくなりますが、手動で削除する必要があります。アイデンティティ管理システムからユーザーが削除されたら、スクリプトまたはジョブを実行して、Enterprise Managerからユーザーを削除することが理想的です。
外部認証を使用した場合、Enterprise Managerではアイデンティティ管理システム・グループに名前でマッピングされる外部ロールを作成できます(Enterprise ManagerロールDBAはLDAPグループのDBAにマッピングされます)。そのため、外部グループ・メンバーシップに基づいた同期ユーザー・アクセスおよび権限が可能です。
ターゲット認証では、Enterprise Managerを介して管理されたホスト、データベースまたはアプリケーション・ターゲットへのアクセスが可能になります。強力なターゲット認証方法、名前付き資格証明を使用して、データベース・パスワード・プロファイルを構成することは、セキュアなターゲット認証を確保する数少ない方法です。
ターゲットと認証のセキュリティを確保するには、強力なホストおよびデータベース認証方法を選択します。ターゲット・アクセスの資格証明は暗号化され、Enterprise Managerに保存されます。Enterprise Managerでは、現在、ホスト用のSSHキーやデータベース用のKerberosチケットなどの強力な認証がサポートされています。これらの資格証明は、ジョブ、デプロイメント・プロシージャおよび他のサブシステムで使用できます。