目次

• タイトルおよび著作権情報
• はじめに
  • 対象読者
  • ドキュメントのアクセシビリティについて
  • 関連ドキュメント
  • 表記規則
• 1 セキュリティの概要
  • セキュリティの脅威
  • セキュリティの原則
    • 職務の分離と最低限の権限の原則
    • 暗号化
    • 疑わしいアクティビティのモニタリング(監査)
    • 否認防止
• 2 セキュリティ機能
  • 認証の構成
    • サポートされている認証スキーム
    • 新規管理者の作成
      • リポジトリ・ベースの認証
        • 新規ユーザーの作成(コマンドライン)
      • デフォルトの認証方法への復元
        • シングル・サインオン・ログオン・ページの省略
        • デフォルトの認証方法の復元
    • 管理者の削除
    • エンタープライズ・ユーザー・セキュリティベースの認証
      • エンタープライズ・ユーザー(EUSユーザー)のEnterprise Managerユーザーとしての登録
        • Enterprise Managerコンソールを使用したエンタープライズ・ユーザーの登録
        • コマンドライン・インタフェースを使用したエンタープライズ・ユーザーの登録
    • Oracle Internet Directory(OID)
      • 前提条件
      • OID構成のテスト
    • Microsoft Active Directoryベースの認証
      • Microsoft Active Directoryの構成テスト
    • 外部ロールを使用した外部認可
      • 自動プロビジョニング
      • 外部ユーザー表示名での異なる名前の使用
        • Oracle Virtual Directoryでのユーザー名の変更の更新
    • LDAPユーザー属性のEnterprise Managerユーザー属性へのマッピング
    • Enterprise Managerでのユーザー表示名の変更
    • 他のLDAP/SSOプロバイダの構成
      • シングル・サインオン・ベースの認証の構成
        • Oracle AS SSO 10gを使用したシングル・サインオンの構成
          • Enterprise Managerのパートナ・アプリケーションとしての登録
          • シングル・サインオン構成の削除
          • シングル・サインオン・ユーザーのEnterprise Manager管理者としての登録
          • シングル・サインオン・ログオン・ページの省略
          • デフォルトの認証方法の復元
    • エンタープライズ・ユーザー・セキュリティベースの認証の構成
    • デフォルトの認証方法への復元
      • シングル・サインオン・ログオン・ページの省略
      • デフォルトの認証方法の復元
  • 権限とロール認可の構成
    • ユーザー、権限、ロールについて
      • ユーザーのクラス
      • オブジェクトの再割当て
      • 集計ターゲット権限
    • 権限およびロール
      • 管理者権限およびデータベース権限
      • 権限の付与
      • ファイングレイン・アクセス制御
      • ロールの作成
      • プライベート・ロール
      • ロールを使用した権限の管理
    • 権限伝播グループを使用した権限の管理
      • 例1: 様々なチームにターゲット・グループへの異なるレベルのアクセス権を付与
      • 例2: 開発者に、ターゲット・データベース・インスタンスへの表示アクセス権を付与します。
      • 権限のサマリー
  • セキュアな通信の構成
    • セキュアな通信について
    • Oracle Management Serviceのセキュリティの有効化
      • サーバー・ロード・バランサを使用するOMSの構成
        • サーバー・ロード・バランサの構成の削除
      • 新しい認証局の作成
        • 管理資格証明ウォレット
      • セキュリティ・ステータスとOMSポート情報の表示
      • Transport Layer Securityの構成
    • Oracle Management Agentの保護
    • エージェント登録パスワードの管理
      • Enterprise Managerコンソールを使用したエージェント登録パスワードの管理
      • emctlを使用した新しいエージェント登録パスワードの追加
    • 管理サービスへのHTTPアクセスの制限
    • セキュアな管理リポジトリおよびターゲット・データベースに接続するための管理サービスおよびエージェントの構成
    • カスタム構成
      • WebLogic Server用のカスタム証明書の構成
        • 各OMS用Javaキーストアまたはウォレットの作成
        • カスタムCA証明書の、エージェントのモニタリング・トラスト・ストアへのインポート
        • 各WLS用カスタム証明書の構成
        • WebLogic Serverからデモ証明書へのロールバック
      • OMSコンソール・アクセス用のカスタム証明書の構成
      • OMSアップロード・アクセス用のカスタム証明書の構成
    • セキュアな通信設定ツール
      • emctl secure oms
      • emctl secure agent
      • emctl secure wls
      • emctl status oms -details
    • サード・パーティの証明書の構成
      • HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成
      • HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成
  • ターゲット資格証明の構成と使用
    • 資格証明サブシステム
      • 名前付き資格証明
        • 名前付き資格証明を使用した典型的なシナリオ
        • アクセス制御
        • 名前付き資格証明の作成
        • 名前付き資格証明のアクセス制御
        • 認証スキーム
      • 特権資格証明
        • 特権資格証明の作成
      • モニタリング資格証明
      • 優先資格証明
        • グローバル優先資格証明
          • 必要な権限
          • 資格証明プリファレンスの階層
      • ホストおよびOracleホーム用の優先資格証明の保存
      • My Oracle Supportへのアクセス用の優先資格証明の保存
      • EM CLIを使用した資格証明の管理
      • ホスト認証機能
        • SSHキー・ベースのホスト認証の設定
        • 設定サンプル・セッション
        • SSHキー資格証明を使用したホスト優先資格証明の設定
        • ホスト資格証明の認証
        • PAM「emagent」サービスの構成
        • sudoおよびPowerBrokerのサポート
          • 認証ユーティリティ・ツールの構成
          • Sudo構成
          • Powerbroker構成
          • 権限委任設定の作成に必要な権限
          • 権限委任の作成
          • Enterprise Managerからの権限委任テンプレートの設定
          • EM CLIを介した権限委任の設定
          • 権限委任設定のテスト
          • PowerBrokerのエージェント・サポート
          • SudoまたはPowerBroker資格証明を使用したエージェントの起動
        • 権限委任設定の作成
    • OCI資格証明の構成およびテスト
      • OCI資格証明のテスト
  • 暗号化キーの構成と使用
    • emkeyの構成
    • emctlコマンド
      • emctl status emkey
      • emctl config emkey -copy_to_credstore
      • emctl config emkey -copy_to_file_from_credstore
      • emctl config emkey -copy_to_file_from_repos
      • emctl config emkey -copy_to_credstore_from_file
      • emctl config emkey -copy_to_repos_from_file
      • emctl config emkey -remove_from_repos
    • シナリオのインストールおよびアップグレード
      • 管理リポジトリのインストール
      • 最初のOracle Management Serviceのインストール
      • 10.2または11.1から12.1へのアップグレード
      • 管理リポジトリの再作成
  • 監査の構成と管理
    • 資格証明の監査
    • デフォルト監査アクション
    • Enterprise Manager監査システムの構成
    • 監査データ・エクスポート・サービスの構成
    • 監査設定のアップグレード
    • 監査データの検索
    • 監査対象操作のリスト
    • インフラストラクチャの監査
      • WebLogic Serverの監査可能イベント
  • セキュリティのその他の考慮事項
    • Oracleアカウントのパスワードの変更
      • SYSMANユーザー・パスワードの変更
        • 現在のSYSMANパスワードがわかっている場合。
        • 現在のSYSMANパスワードが不明な場合
        • SYSMANパスワードを使用したOAS構成の更新
      • MGMT_VIEWユーザー・パスワードの変更
      • EUS_ENGINE_USERユーザー・パスワードの変更
    • ブラウザ固有のセキュリティ証明書アラートへの対応
      • サード・パーティの証明書のワークフロー
      • Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応
      • Mozilla Firefoxの新しいサイトの証明書ダイアログ・ボックスへの対応
      • Google Chromeのセキュリティ・アラート・ダイアログ・ボックスへの対応
      • Safariのセキュリティ・ダイアログ・ボックスへの対応
  • 特権アクセス管理の統合
    • 概要
    • ユーザー・ロールの理解
    • 前提条件
    • 構成
    • 複数OMS環境の構成
    • EMでエクスポートされているPAM構成
    • 一般的なユース・ケース
    • Enterprise ManagerとのPAM統合に関するよくある質問
      • PAM統合スクリプトのコンポーネントは何ですか?
      • Enterprise ManagerはPAM統合スクリプトで発生したエラーをどのように読み取りますか?
      • PAM統合スクリプトはEM内にどのように格納され、EMはスクリプトの改ざんをどのように処理しますか?
      • スクリプト出力をEnterprise Manager資格証明オブジェクトにマップする方法
      • config_cred_provider emcliコマンドで渡されるパラメータは何ですか?
      • EMのPAM統合機能で使用される使用可能なグローバル・パラメータは何ですか?
      • EMにPAMプロバイダを登録するためにスクリプトに設定されるファイル権限は何ですか?
      • PAM統合スクリプトの長時間実行を回避する方法
• 3 Enterprise Managerの保護
  • セキュアなインフラストラクチャおよびインストールのガイドライン
    • インフラストラクチャおよびオペレーティング・システムの保護
      • インフラストラクチャおよびオペレーティング・システムを保護するためのベスト・プラクティス
    • Oracle Management Repositoryの保護
      • 高度なセキュリティ・オプションの有効化
        • ネットワーク・アクセスの制限
        • SYSアクションの監査
        • ユーザー・アカウントの保護
        • 暗号化キーの保護とバックアップ
          • Oracle Management Repositoryを保護するためのベスト・プラクティス
    • Oracle Management Agentの保護
    • セキュアな通信
      • Oracle Management Agentを保護するためのベスト・プラクティス
      • ICMPの有効化
      • Oracle Management Agentのファイアウォール用の構成
      • Oracle Management Serviceのファイアウォール用の構成
    • セキュリティ・コンソール
      • 概要
      • プラガブル認証
        • プラガブル認証の概要
        • プラガブル認証の構成
      • ファイングレイン・アクセス制御
        • 概要
        • ユーザーのクラス
        • ファイングレイン・アクセス・コントロール管理者
        • ファイングレイン・アクセス・コントロール権限
        • ファイングレイン・アクセス制御
        • ファイングレイン・アクセス制御権限の集計への伝播
      • セキュアな通信
        • セキュアな通信の概要
          • Oracle Management Serviceのセキュリティの有効化
          • Oracle Management Agentの保護
          • 管理サービスへのHTTPアクセスの制限
          • エージェント登録パスワードの管理
          • セキュアな通信の現在の構成
        • データベースの暗号化構成
      • 資格証明管理
      • 包括的な監査
      • アクティブ・ユーザー・セッション数
      • ベスト・プラクティス分析
  • SSL通信のガイドライン
    • TLSv1.2プロトコルの有効化
    • 通信のセキュアロック・モード
      • OMSとエージェントの保護およびロック
    • 暗号構成の変更(必要な場合)
      • サード・パーティの証明書
      • Oracleウォレット
        • Oracle Walletの作成
    • 通信を保護するためのベスト・プラクティス
  • 認証のガイドライン
    • 外部認証の有効化
      • 認証のベスト・プラクティス
  • 認可のガイドライン
    • 権限およびロールの管理のベスト・プラクティス
    • 最低限の権限の原則を使用したロール/権限の定義
    • 権限伝播グループの使用
      • グループおよびシステムのベスト・プラクティス
  • 監査のガイドライン
    • 監査のベスト・プラクティス
  • ターゲット資格証明の管理のガイドライン
    • モニタリング・ユーザーおよびモニタリング以外のユーザーの資格証明パスワード管理の自動化
      • モニタリング・ユーザーのパスワード管理の自動化
      • モニタリング以外のユーザーのパスワード管理の自動化
    • 資格証明のベスト・プラクティス
  • Oracle Enterprise Manager FIPS140-2の設定
    • FIPSモードのOracle HTTP Server
    • FIPSモードのEMリポジトリ・データベース
    • Oracle WebLogic Server
    • FIPSモードのOracle EMエージェント
    • FIPSモードで新しいOMSをさらに追加するステップ
• 4 Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス
  • データベース・モニタリング・ユーザー・アクセス
    • SYSDG権限によるモニタリング
  • 柔軟なデータベース・アクセス制御
    • データベース管理ロールおよび責任
    • アプリケーションDBAアクセス
      • アプリケーションDBAアカウントの作成
      • 名前付き資格証明の作成
    • アプリケーション開発者アクセス
      • データベースに対するアプリケーション開発者アクセスの付与
      • データベース名前付き資格証明に対するアプリケーション開発者アクセスの付与
    • データベース管理者アクセス
      • データベース管理者アカウントの作成
      • 名前付き資格証明の作成
      • ロールおよび権限伝播グループによる権限の付与
    • プラガブル・データベース管理者アクセス
      • プラガブル・データベース管理者アカウントの作成
      • プラガブル・データベース管理者のデータベース権限の付与
      • 名前付き資格証明の作成
    • 権限グループ
      • データベース・アプリケーションDBA
      • データベース・アプリケーション開発者
      • 「データベース高可用性の管理」権限グループ
      • 「データベース高可用性の表示」権限グループ
      • データベース・パフォーマンス権限グループの管理
      • データベース・パフォーマンス権限グループの表示
      • データベース・スキーマ権限グループの管理
      • データベース・スキーマ権限グループの表示
      • 「データベース・セキュリティの管理」権限グループ
      • 「データベース・セキュリティの表示」権限グループ
      • 「データベース記憶域の管理」権限グループ
      • データベース記憶域権限グループの表示
  • データベースへのセキュアな通信(TCPS)アクセス
    • TCPSの構成
    • ターゲット・データベースとの通信用のサード・パーティCA証明書の構成
  • KerberosおよびRADIUS認証
    • Kerberos Keytab
    • サポートされている任意の資格証明タイプを使用したワンタイム・データベース・ターゲット・ログイン
    • RADIUS
    • 優先資格証明としてのKerberos/RADIUSベースの名前付き資格証明の設定
  • アカウント管理
  • TDE対応Oracle DatabasesのOracle Enterprise Managerサポート
• 5 トラブルシューティング
  • Enterprise Managerでの認証問題のトラブルシューティング
    • WebLogicデバッグ・フラグの有効化
    • ldap_trace.logATNファイルでのエラーのデバッグ
    • 無効な資格証明
    • LDAPサーバーでのタイムアウト
    • ldap_trace.logATN以外でのエラー
• 6 参照
• A Oracleで定義されているロール
  • EM_ALL_ADMINISTRATOR
  • EM_ALL_DESIGNER
  • EM_ALL_OPERATOR
  • EM_ALL_VIEWER
  • EM_ALL_VIEWER
  • EM_CLOUD_ADMINISTRATOR
  • EM_COMPLIANCE_DESIGNER
  • EM_COMPLIANCE_OFFICER
  • EM_CPA_ADMIN
  • EM_HOST_DISCOVERY_OPERATOR
  • EM_INFRASTRUCTURE_ADMIN
  • EM_PATCH_ADMINISTRATOR
  • EM_PATCH_DESIGNER
  • EM_PATCH_OPERATOR
  • EM_PLUGIN_AGENT_ADMIN
  • EM_PLUGIN_OMS_ADMIN
  • EM_PLUGIN_OMS_ADMIN
  • EM_PROVISIONING_DESIGNER
  • EM_PROVISIONING_OPERATOR
  • EM_SSA_ADMINISTRATOR
  • EM_SSA_USER
  • EM_TARGET_DISCOVERY_OPERATOR
  • EM_TC_DESIGNER
  • EM_USER
  • PUBLIC
• B SYSDBA権限がない場合のデータベース・ターゲットへのユーザー・アクセス
  • 管理者の作成
  • データベース・パフォーマンス・ページへのアクセスを必要とするユーザー
  • AWRまたはADDMへのアクセスを必要とするユーザー
  • SQLアクセス・アドバイザへのアクセスを必要とするユーザー
  • SQLチューニング・アドバイザへのアクセスを必要とするユーザー
• C 権限
• D 監査操作
• E Enterprise Managerリポジトリとの通信用のTLSv1.2の構成
• F 新しいセキュリティ証明書の追加