1. セキュリティ・ガイド
  2. Enterprise Managerの保護
  3. 認可のガイドライン

認可のガイドライン

認可は、認証されたサブジェクトの権限と許可を検証する行為です。認可の悪用を避けるため、職務の分離のポリシーを実装する必要があります。つまり、関連する複数の機能に対する職責を1人のユーザーに与えないことです。

会社内のEnterprise Managerユーザーには幅広い人材がいて、異なるロールや目的を持っています。

Enterprise Managerには、様々な操作ロール用のロール・ベース認証を提供する、Oracle定義ロールがいくつかあります。パッチ適用、プロビジョニング、クラウド、コンプライアンスおよびプラグインのための、オペレータ、デザイナおよび管理者の分離機能を使用すると、粒度のより高いユーザーの認証が可能になります。「類似作成」機能を使用すると、必要に応じて操作をさらに強化または制限できます。

ノート:

既存のロールに対して「類似作成」操作を実行すると、新たに作成されたロールに元のロールのすべての権限を含めることができます。

ロール・ベース・アクセス制御(RBAC)を使用すると、権限の管理が容易になります(ロール付与の管理の方が権限付与の管理よりも簡単です)。即時利用可能なロールの完全なリストは、『Oracle Enterprise Manager管理者ガイド』の「権限とロール」の項を参照してください。

Enterprise Managerには、ターゲット権限およびリソース権限を指定する機能があります。ターゲット権限では、管理者はターゲットに対する操作を実行できます。新しいターゲット権限の一部としては、「表示可能な任意のターゲットに接続」、「任意の場所でのコマンドの実行」、「任意のエージェントとしてコマンドを実行」などがあります。ターゲット権限は、すべてのターゲットにも特定のターゲットにも適用できます。リソース権限では、Enterprise Managerの機能、ボタンまたはページへのアクセス権を付与します。新しいリソース権限の一部には、「バックアップ構成」、「クラウド・ポリシー」、「コンプライアンス・フレームワーク」、Enterprise Managerプラグイン、「ジョブ・システム」、「パッチ計画」、「自己更新」および「テンプレート・コレクション」があります。完全なリストは、権限とロール認可の構成を参照してください。これらの新しい権限を使用すると、職務と一致するファイングレイン権限が割り当てられた特定のロールを作成することによって、最低限の権限の原則を簡単に実装できます。

強化された監査システムでは、定期的に付与される権限を容易にモニターでき、どのユーザーがどの権限を行使したかを追跡できます。主な権限に関連する監査可能なアクションは次のとおりです。

  • ジョブ権限の付与

  • 権限の付与

  • ロールの付与

  • ターゲット権限の付与

  • システム権限の付与

  • ジョブ権限の取消し

  • 権限の取消し

  • ロールの取消し

  • ターゲット権限の取消し

  • システム権限の取消し

スーパー管理者には、ターゲット、レポート、テンプレートおよびジョブに対する特別な権限があります。ユーザーのクラスを参照してください。スーパー管理者権限は、慎重に付与する必要があります。次の問合せを使用して、スーパー管理者のリストを取得します。 

SELECT grantee FROM MGMT_PRIV_GRANTS WHERE PRIV_NAME = ‘SUPER_USER'

権限およびロールの管理のベスト・プラクティス

  • ユーザーに権限を付与するのではなく、意味のあるロールを作成し、ロールをユーザーに付与する。

  • ファイングレイン権限またはロールを必要なときのみ付与することによって、職責の実行を必要とするユーザーに最小セットの権限のみを付与する。

  • 完全なモニタリングおよびアカウンタビリティを実現するため、権限およびロールのアクションを監査する。

  • スーパー管理者の人数を制限する。

最低限の権限の原則を使用したロール/権限の定義

Enterprise Managerに用意されている粒度の高い権限では、最低限の権限の原則を実装できます。この原則では、管理者は正当な目的で必要とされる情報またはリソースにのみアクセスできるようにすることを推奨しています。

権限伝播グループの使用

グループおよびシステムを使用してターゲットを編成すると、セキュリティ管理のオーバーヘッドを削減するうえで役立ちます。Enterprise Managerには、権限の管理や認可を簡素化するうえで役立つ2種類のグループがあります。ロールをユーザーではなくグループに付与し、権限伝播グループを使用することで、直接の付与を減らし、ユーザーが必要に応じてターゲットにアクセスできるようにできます。

権限伝播グループを使用すると、割り当てられた権限をグループのすべてのメンバーに伝播することによって、グループ管理に伴う権限の割当て、取消しおよび管理が容易になります。たとえば、1人のユーザーに権限伝播グループSalesへのアクセス権が付与されると、メンバーはグループ内のすべてのターゲットへのアクセス権が得られます。

管理グループは、グループへの結合時にターゲットに対するモニタリング設定の適用を自動化する権限伝播グループです。ターゲットはグループに直接割当てできませんが、メンバーシップ基準に基づいて自動的に追加されます。

システムも権限伝播であり、特定のアプリケーションまたは機能の関連ターゲットをすべて1つのシステムにグループ化できます。

グループおよびシステムのベスト・プラクティス

  • ユーザーに権限を付与するのではなく、意味のあるロールを作成し、ロールをユーザーに付与する。

  • ファイングレイン権限またはロールを必要なときのみ付与することによって、職責の実行を必要とするユーザーに最小セットの権限のみを付与する。

  • 権限伝播グループおよびシステムを使用して、管理のオーバーヘッドを削減する