1. 管理者ガイド
  2. Oracle Key Vaultユーザーの管理

9 Oracle Key Vaultユーザーの管理

Oracle Key Vaultユーザーは、システムの管理、エンドポイントのエンロール、ユーザーおよびエンドポイントの管理、セキュリティ・オブジェクトへのアクセス権の制御、およびその他のユーザーへの管理ロールの付与を行います。

  • ユーザー・アカウントの管理
    Oracle Key Vaultユーザー・アカウントを作成し、それらのユーザーにKey Vault管理ロール、エンドポイント権限およびエンドポイント・グループ権限を付与し、それらのユーザーをユーザー・グループに追加できます。エンドポイントとエンドポイント・グループを管理するための権限をユーザーに付与することもできます。
  • 管理ロールとユーザー権限の管理
    Oracle Key Vaultには、ユーザーに付与(または変更)することや、ユーザーから取り消すことができる事前定義済のロールと権限があります。
  • ユーザー・パスワードの管理
    管理者またはユーザーは、ユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。
  • ユーザーの電子メールの管理
    Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。
  • ユーザー・グループの管理
    共通の目的を持つユーザーを、指定されたユーザー・グループに編成できます。
  • supportおよびrootパスワードの管理
    Oracle Key VaultサーバーでSSHを使用して、supportパスワードまたはrootパスワードを変更できます。

ユーザー・アカウントの管理

Oracle Key Vaultユーザー・アカウントを作成し、それらのユーザーにKey Vault管理ロール、エンドポイント権限およびエンドポイント・グループ権限を付与し、それらのユーザーをユーザー・グループに追加できます。エンドポイントとエンドポイント・グループを管理するための権限をユーザーに付与することもできます。

親トピック: Oracle Key Vaultユーザーの管理

Oracle Key Vaultユーザー・アカウントについて

Oracle Key Vaultのユーザーの役割は、エンドポイントの登録やエンロールなど複数あります。

ユーザーの重要な役割は、Oracle Key Vaultエンドポイントを登録およびエンロールし、そのユーザーがOracle Key Vaultの使用によって自分のセキュリティ・オブジェクトを管理できるようにすることです。

Oracle Key Vaultユーザーには、次の3つのタイプがあります。

  • システム管理者、キー管理者または監査マネージャという3つの管理ロールのうち、1つ以上を持っている管理ユーザー
  • エンドポイント作成、エンドポイント管理、エンドポイント・グループ作成、エンドポイント・グループ管理のいずれかの権限またはモニタリング権限を持つユーザー
  • 管理ロールは持っていないが、セキュリティ・オブジェクトへのアクセス権を持っている通常のユーザー

Oracle Key Vaultにおける義務の分離とは、管理ロールまたは権限を持っているユーザーは、自分のロールや権限に関連する機能へのアクセス権を持っているが、その他のロールや権限に関連する機能へのアクセス権は持っていないという意味です。たとえば、「System」タブにフルアクセスが許可されるのはシステム管理者ロールのユーザーのみで、キー管理者ロールや監査マネージャ・ロールのユーザーには許可されません。キー管理者ロールまたはエンドポイント・グループ作成権限を持つユーザーは、エンドポイント・グループを作成できます(ただし、エンドポイントは作成できません)。エンドポイント・グループの作成に必要なユーザー・インタフェース要素は、エンドポイント・グループを作成する権限があるユーザーにのみ表示されます。

管理ロールを持たないユーザーには、その役割に固有のセキュリティ・オブジェクトへのアクセス権を付与できます。たとえば、特定の仮想ウォレットへのユーザー・アクセス権を付与できます。このユーザーは、Oracle Key Vault管理コンソールにログインして、自分のセキュリティ・オブジェクトを追加、管理および削除できますが、システム・メニュー、他のユーザーおよびエンドポイントの詳細、それらのウォレットまたは監査レポートは確認できません。

ユーザー義務の分離をお薦めしますが、1人のユーザーにすべての管理ロールを付与して、すべての管理機能を実行させることができます。

ノート:

ユーザー義務の分離を強制適用する場合は、「Enforce Separation of Administrator Roles」オプションを有効にします。

Oracle Key Vaultでは、ユーザー名を別のユーザーまたはエンドポイントと同じ名前にすることはできません。マルチマスター・クラスタ環境でユーザーを作成する場合は、同じ名前が付いたユーザーが同時に別のノードで作成される可能性があります。この場合、Oracle Key Vaultではネーミングの競合がチェックされ、その名前の最初のユーザー・アカウントより後に作成されたユーザー・アカウントの名前が自動的に変更されます。2番目のユーザーについては生成された名前を受け入れるか、ユーザーを削除して別の名前で再作成する必要があります。

Oracle Key Vaultでは、ユーザー・パスワードおよびユーザー・ロックアウト動作に影響する特定のパラメータを構成できます。

親トピック: ユーザー・アカウントの管理

ユーザー・アカウント・プロファイル・パラメータ

ユーザー・アカウント・プロファイル・パラメータを構成すると、Oracle Key Vaultローカル・ユーザーのユーザー・パスワードおよびユーザー・アカウント・ロックアウト動作について特定のルールを適用できます。LDAPユーザーについては、ユーザー・アカウント管理ポリシーはLDAPディレクトリ・サーバーにおいて管理されます。

親トピック: ユーザー・アカウントの管理

ユーザー・アカウント・プロファイル・パラメータについて

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultローカル・ユーザーのアカウント・ロックアウト動作を管理します。

企業のセキュリティ要件を最大限に満たすように、次の表で示すユーザー・アカウント・プロファイル・パラメータを構成できます。

表9-1 ユーザー・アカウント・プロファイル・パラメータ

パラメータ 説明 デフォルト値

Failed Login Attempts

ユーザー・アカウントにログインしようとして失敗しそのアカウントがロックされるまでの連続失敗回数。

3

Password Life Time (in days)

認証に同じパスワードを使用できる日数。

180

Password Grace Time (in days)

警告が発行されて猶予期間が開始した後にログインが許可される日数。

5

Password Reuse Max

現在のパスワードを再使用できるようになるまでに必要なパスワード変更回数。

UNLIMITED

Password Reuse Time (in days)

パスワードを再使用できるようになるまでの日数。

365

Password Lock Time (in days)

ログインしようとして連続して失敗した回数が指定回数を超えた後にアカウントがロックされる日数。この期間が経過すると、そのアカウントのロックは解除されます。

1
ユーザー・アカウント・プロファイル・パラメータの管理

Oracle Key Vaultではユーザー・アカウント・プロファイル・パラメータを管理できます。

Oracle Key Vault管理コンソールを使用してユーザー・アカウント・プロファイル・パラメータを変更できます。
  1. HTTPSを使用するWebブラウザで、Oracle Key VaultサーバーのIPアドレスを入力します。
  2. Oracle Key Vaultにログインしないでください。
  3. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。
    「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
  4. 「Recovery Passphrase」フィールドに、リカバリ・パスフレーズを入力します。
  5. 「Login」をクリックします。
  6. 表示されたページで「Account Management」タブを選択します。
    「User Account Profile Parameters」ペインが「Administrator Management」および「Manage User Administrator Roles」ペインとともに表示されます。
  7. 必須フィールドに必要なパラメータ値を入力します。
  8. 「Save」をクリックします。

    「User Account Profile Parameters」ペインで「Save Defaults」をクリックすると、プロファイル・パラメータがデフォルト値に戻ります。

    ノート:

    リカバリ・パスフレーズの変更の進行中は、プロファイル・パラメータ値を変更できません。

ユーザー・アカウントに対するマルチマスター・クラスタの影響

Oracle Key Vaultマルチマスター・クラスタ環境は、様々な形でユーザーに影響します。

これらには、実行できるアクティビティを拡張し、それらの名前がクラスタ環境内の他のオブジェクトと競合しないようにすることが含まれます。

親トピック: ユーザー・アカウントの管理

ユーザー・アカウント・プロファイル・パラメータに対するマルチマスター・クラスタの影響

マルチマスター・クラスタ環境においては、Oracle Key Vault管理コンソールからユーザー・アカウント・プロファイル・パラメータを変更すると、その変更がすべてのクラスタ・ノードに適用されます。

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultローカル・ユーザーのアカウント・ロックアウト動作を管理します。

マルチマスター・クラスタ環境においては、Oracle Key Vault管理コンソールからユーザー・アカウント・プロファイル・パラメータを変更すると、その変更がすべてのクラスタ・ノードに適用されます。ただし、これらのアカウント・プロファイル設定は、各クラスタ・ノードに個別に適用されます。クラスタ・ノードでユーザー・アカウントのステータスが変更された場合、他のノードでのユーザー・アカウントのステータスは影響を受けません。たとえば、ユーザー・アカウントがクラスタ・ノードでロックされた場合でも、他のクラスタ・ノードでロックが解除されたままになることがあります。

この動作は、Oracle Key Vaultローカル・ユーザーにのみ適用されます。LDAPユーザーの場合、アカウント・ステータスはLDAPディレクトリの外部で管理され、クラスタ・ノード間で一貫性が保たれます。

ノート:

クラスタのアップグレードが進行中の場合は、ユーザー・アカウント・プロファイル・パラメータを変更できません。
システム管理者ユーザーに対するマルチマスター・クラスタの影響

システム管理者ロールを付与されているユーザーは、クラスタ構成の管理を担当します。

マルチマスター・クラスタのシステム管理者ロールには、次の職責があります。

  • 単一のOracle Key Vaultサーバーのすべてのシステム管理者職責
  • クラスタの初期化、最初のOracle Key Vaultサーバーの初期ノードへの変換
  • クラスタへのノードの追加および削除
  • クラスタ内のノードの無効化および有効化
  • クラスタ全体のシステム設定の管理
  • クラスタ操作およびクラスタのヘルス・インジケータの監視
  • ノード間のレプリケーションの有効化および無効化
  • データおよびネーミングの競合の監視と解決
  • クラスタ・アラートの監視および対応
  • クラスタ設定の管理

システム管理者権限を持つユーザーは、エンドポイントを作成して管理することもできます。エンドポイント作成権限を持つユーザーは自分のエンドポイントを作成できます。また、エンドポイント管理権限を持つユーザーは自分のエンドポイントを管理できます。

キー管理者ユーザーに対するマルチマスター・クラスタの影響

キー管理者ロールを付与されたユーザーは、エンドポイント・グループ、ユーザー・グループ、ウォレットおよびオブジェクトを管理します。

マルチマスター・クラスタでは、これらのアイテムが別々のノードおよび別々のデータ・センターにアップロードされると、名前の競合が発生する可能性があります。キー管理者は、ウォレット、KMIPオブジェクト、エンドポイント・グループおよびユーザー・グループのこれらの競合を解決するための情報をシステム管理者に提供します。

エンドポイント・グループ作成権限を持つユーザーは自分のエンドポイント・グループを作成できます。また、エンドポイント・グループ管理権限を持つユーザーは自分のエンドポイント・グループを管理できます。

監査マネージャ・ユーザーに対するマルチマスター・クラスタの影響

監査マネージャ・ロールを付与されているユーザーは、監査設定の構成、およびOracle Audit Vaultとの統合を担当します。

マルチマスター・クラスタ環境では、このユーザーはクラスタ全体および個々のノードの監査設定を構成できます。監査マネージャ・ユーザーは、必要に応じて個々のノードに異なる設定を使用できます。ただし、このユーザーはクラスタ全体の監査設定を統一することもできます。

監査マネージャは、必要に応じてノード間で監査証跡をレプリケートできます。ただし、これによりノード間のトラフィックが大量になるため、監査マネージャは監査証跡レプリケーションを有効または無効にできます。デフォルトでは、監査証跡のレプリケーションはオフになっています。

管理ユーザーに対するマルチマスター・クラスタの影響

管理ユーザーは、システム管理者、キー管理者および監査マネージャの各ロールを含む管理ロールの任意の組合せを持つことができます。

初期ノードとして使用されるOracle Key Vaultサーバーで作成された管理ユーザー情報では、クラスタがシードされます。

クラスタに追加された新しいサーバーは、クラスタから管理ユーザー情報を取得します。サーバーをクラスタにインダクションするためにサーバーに作成された管理者情報は削除されます。

ノードがOracle Key Vaultクラスタに参加した後にノードで作成された管理ユーザーは、クラスタ全体で認識されます。個々のOracle Key VaultノードでOracle Key Vaultクラスタに追加される新しい管理ユーザーの名前は競合することがあります。ユーザー・アカウントが作成されるときに、Oracle Key Vaultによって管理ユーザー名の競合が自動的に解決されます。ユーザーおよびエンドポイントの競合が「Conflicts Resolution」ページに表示され、管理者は競合するエンドポイントの名前を変更できます。ユーザー名の競合がある場合は、自動的に生成されたユーザー名を受け入れるか、ユーザーを削除して再作成する必要があります。ユーザー・アカウントは使用できず、名前解決が完了するまでPENDING状態になります。PENDING状態のユーザー・アカウントは削除できません。

システム・ユーザーに対するマルチマスター・クラスタの影響

システム・ユーザーは、各Oracle Key Vaultアプライアンス、サーバーおよびノードのオペレーティング・システムを担当します。

最初にOracle Key Vaultサーバーをインストールし、後でOracle Key Vaultクラスタのノードになるように構成します。サーバー構成の一部として、オペレーティング・システム・ユーザー(supportおよびroot)が作成されます。これらのユーザーは、サーバーがクラスタに参加した後も変更されません。

セキュリティ要件が別途指定されていないかぎり、すべてのOracle Key Vaultノードに同じsupportおよびrootのパスワードを使用する必要があります。レプリケートされるOracle Key Vaultの管理アカウントとは異なり、supportおよびrootアカウントはオペレーティング・システム・ユーザーであり、それらのパスワードはクラスタ間で自動的に同期されません。このため、各ノードでsupportまたはrootのユーザー・パスワードが異なる可能性があり、クラスタの複数ノードの管理が困難になります。

Oracle Key Vaultユーザー・アカウントの作成

システム管理者ロールを持っているユーザーは、Oracle Key Vault管理コンソールからユーザー・アカウントを作成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    既存のユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. 「Manage Users」ページで、「Create」をクリックします。

    「Create User」ページが表示されます。

    21_create_user.pngの説明が続きます
    図21_create_user.pngの説明

  4. 「User Name」にユーザー名を入力します。
    オブジェクトのネーミング・ガイドライン」を参照してください。ユーザー名がOracle Key Vaultエンドポイント名と同じでないことを確認してください。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
    Make Uniqueは、マルチマスター・クラスタ環境でのユーザー名のネーミングの競合を制御するために役立ちます。サーバーがクラスタ・ノードに変換されると、ユーザー名の文字制限が128文字から120文字に減少し、競合があった場合に自動的に名前を変更できるようになります。クラスタ・ノードへのOracle Key Vault変換の前に作成されたユーザーは、ネーミングの競合による影響を受けません。
    • 「Make Unique」を選択すると、ユーザー・アカウントは即時にアクティブになり、このユーザーは操作を実行できます。
    • 「Make Unique」を選択しない場合、ユーザー・アカウントはPENDING状態で作成されます。その後、Oracle Key Vaultが名前解決操作を開始し、ユーザー・アカウントがクラスタ全体で一意の名前に変更されることがあります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ユーザー・アカウントは一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたユーザー・アカウント名を受け入れるか、ユーザー・アカウント名を変更する必要があります。ユーザー・アカウント名を変更すると、名前解決操作が再起動され、ユーザー・アカウントがPENDING状態に戻ります。PENDING状態のユーザー・アカウントは、ほとんどの操作の実行に使用できません。
  6. オプションで、「Full Name」にユーザーのフルネームを追加します。
  7. パスワードは、次のいずれかを選択します。

    • Auto Generate Password: このオプションを選択すると、パスワードが自動的に生成されてユーザーに送信されます。ユーザーは、Oracle Key Vault: System Generated User Passwordという件名の電子メール・メッセージを受信します。ユーザーがOracle Key Vault管理コンソールに初めてログインすると、パスワードの変更を求められます。

      このオプションを使用するには、SMTPサーバー構成を設定する必要があります。

    • PasswordおよびRe-enter password: 有効なパスワードを入力します。パスワードは8文字から30文字までの長さにする必要があり、大文字、小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、感嘆符(!))をそれぞれ1つ以上含める必要があります。また、パスワードの先頭または最後の文字として使用しない場合は、パスワードに空白文字( )を含めることができます。

  8. 「Save」をクリックします。

    「Manage Users」ページが表示され、新しいユーザーがリストされます。ユーザーがPENDING状態の場合は、次の例のように、ACTIVE状態に遷移するまで「Users being created」セクションに残ります。


    21_pending_users.pngの説明が続きます
    図21_pending_users.pngの説明

関連トピック

親トピック: ユーザー・アカウントの管理

ユーザー・アカウントの詳細の表示

すべての管理ユーザーは、Oracle Key Vaultユーザー・アカウントとその詳細のリストを表示できます。

3つの管理ロールのいずれも持っていないユーザーは、自分のユーザー詳細のみを確認できます。「User Details」ページに、Oracle Key Vaultユーザーの統合ビューが表示されます。このページで、すべてのユーザー管理タスクが実行されます。

  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    既存のユーザーのリストが表示された「Manage Users」ページが表示されます。列(ユーザー名、フルネームまたはロール)でリストをソートおよび検索できます。

  3. ユーザー名をクリックして、「User Details」ページを表示します。

関連トピック

親トピック: ユーザー・アカウントの管理

Oracle Key Vaultユーザー・アカウントの削除

Oracle Key Vaultユーザーを削除すると、そのユーザーがOracle Key Vaultに含まれていたユーザー・グループからユーザーが削除されます。

この操作によって、このユーザーが管理するセキュリティ・オブジェクトが削除されることはありません。管理者はPENDING状態でないユーザーのみを削除できます。
  1. システム管理者ロールおよび削除されているユーザーと同じロールを持っているユーザーが管理ロールを持っている場合、そのユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    既存のユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. 削除するユーザーのチェック・ボックスを選択します。
  4. 「Delete」をクリックします。
  5. 確認のダイアログ・ボックスで、「OK」をクリックします。
  6. 「Save」をクリックします。

親トピック: ユーザー・アカウントの管理

管理ロールとユーザー権限の管理

Oracle Key Vaultには、ユーザーに付与(または変更)することや、ユーザーから取り消すことができる事前定義済のロールと権限があります。

親トピック: Oracle Key Vaultユーザーの管理

管理ロールとユーザー権限の管理について

追加したユーザー・アカウントに対する管理ロールまたはユーザー権限は、付与または変更できます。

エンドポイント作成権限、エンドポイント管理権限またはモニタリング権限を他のユーザーに対して付与、変更または取り消すには、システム管理ロールを持つユーザーである必要があります。エンドポイント・グループ作成権限とエンドポイント・グループ管理権限を他のユーザーに対して付与、変更または取り消すには、キー管理ロールを持つユーザーである必要があります。また、不要になったときには権限を取り消すこともできます。エンドポイント作成権限、エンドポイント管理権限、モニタリング権限、エンドポイント・グループ作成権限およびエンドポイント・グループ管理権限を持つユーザーは、この権限を他のユーザーに対して付与する(または取り消す)ことはできません。

マルチマスター・クラスタ環境を使用している場合は、PENDING状態のユーザーに対する管理ロールの付与、変更および削除はできません。

マルチマスター・クラスタ環境を使用している場合は、PENDING状態のユーザーに対する権限の付与、変更および取消しはできません。

ノート:

Oracle Key Vault環境で「Enforce Separation of Administrator Roles」オプションが有効になっている場合は、複数の管理ロールをユーザーに付与できません。このオプションを有効にしたときは、複数のロールがあるすべてのユーザーから、1つを除くすべての管理ロールを取り消す必要があります。「Enforce Separation of Administrator Roles」オプションが有効になっている間に複数の管理ロールがあるユーザーは、1つを除くすべてのロールが取り消されるまで、それらのどのロールも行使できません。「Enforce Separation of Administrator Roles」オプションは、デフォルトでは無効になっています。

親トピック: 管理ロールとユーザー権限の管理

ユーザーの管理ロールの付与または変更

「Manage Users」ページを使用して、ユーザー管理ロールを付与または変更できます。

  1. 「Allow Forward Grant」オプションを使用して付与したのと同じロールがあるユーザーとして、Oracle Key Vault管理コンソールにログインします。

    たとえば、ユーザーがシステム管理者ロールを必要とする場合、付与するユーザーは「Allow Forward Grant」オプションと同じロールを持つ必要があります。

  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

    218_manage_users.pngの説明が続きます
    図218_manage_users.pngの説明

  3. 「User Name」列のユーザーの名前をクリックします。

    「User Details」ページが表示されます。「User Details」ページに、Oracle Key Vaultユーザーの統合ビューが表示されます。ここには、ユーザー名、電子メール、管理ロール、ユーザー権限、ユーザー・グループのメンバーシップ、ユーザーがエンドポイント管理権限を持っているエンドポイント、ユーザーがエンドポイント・グループ管理権限を持っているエンドポイント・グループ、ウォレットへのアクセス権などのユーザー情報が表示されます。

    2110_user_details.pngの説明が続きます
    図2110_user_details.pngの説明

  4. ロールを付与するには、付与するロールの「Roles」ボックスを選択します。

    ロールを変更するには、以前のロールのボックスの選択を解除して、新しいロールの横にあるボックスを選択します。付与する必要があるロールがリストに表示されない場合は、そのロールがないユーザーとしてログインしているため、そのロールを付与する権限がありません。

  5. このユーザーがロールを他のユーザーに付与できるように、「Allow Forward Grant」ボックスを選択します。このオプションは、ロールを選択した後にのみ表示されます。

    デフォルトでは、ユーザーは、他のユーザーへのロールの付与や、他のユーザーからのロールの取消しはできません。ユーザーが別のユーザーに対してロールを付与したり、ロールを取り消すには、「Allow Forward Grant」オプションを選択する必要があります。

  6. 「Save」をクリックします。

    LDAPユーザーに対して、管理者ロールの直接的な付与や取消しはできません。LDAPユーザーに管理ロールを付与するには、LDAPグループ・マッピングを使用してください。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

エンドポイント作成権限の付与

エンドポイント作成権限によって、ユーザーは自分のエンドポイントを作成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    エンドポイント作成権限を持つユーザーが、その権限を別のユーザーに付与することはできません。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. エンドポイント作成権限を付与するユーザーを選択します。
  4. 「User Details」の下で、「Create Endpoint」チェック・ボックスを選択します。
  5. 「Save」をクリックします。

ノート:

エンドポイント作成権限があるローカルOracle Key Vaultユーザーがエンドポイントを作成すると、Oracle Key Vaultによって、そのエンドポイントに対するエンドポイント管理権限がそのローカル・ユーザーに付与されます。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

エンドポイント管理権限の付与

エンドポイント管理権限によって、ユーザーは自分のエンドポイントを管理できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    エンドポイント管理権限を持つユーザーが、その権限を別のユーザーに付与することはできません。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. エンドポイント管理権限を付与するユーザーを選択します。
  4. 「Access on Endpoints」領域で、「Add」をクリックします。
  5. 「Add Endpoint Access to User」ページの「Select Endpoint」で、ユーザーにエンドポイント管理権限を付与するエンドポイントを選択します。
  6. 「Save」をクリックします。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

エンドポイント・グループ作成権限の付与

エンドポイント・グループ作成権限によって、ユーザーは自分のエンドポイント・グループを作成できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ作成権限を持つユーザーが、その権限を別のユーザーに付与することはできません。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. エンドポイント・グループ作成権限を付与するユーザーを選択します。
  4. 「User Details」の下側にある「Create Endpoint Group」チェック・ボックスを選択します。
  5. 「Save」をクリックします。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

エンドポイント・グループ管理権限の付与

エンドポイント・グループ管理権限によって、ユーザーは自分のエンドポイント・グループを管理できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    エンドポイント・グループ管理権限を持つユーザーが、その権限を別のユーザーに付与することはできません。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. エンドポイント・グループ管理権限を付与するユーザーを選択します。
  4. 「Access on Endpoint Groups」領域で、「Add」をクリックします。
  5. 「Add Endpoint Group Access to User」ページの「Select Endpoint Group」領域で、ユーザーにエンドポイント・グループ管理権限を付与するエンドポイント・グループを選択します。
  6. 「Save」をクリックします。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

モニタリング権限の付与

モニタリング権限により、ユーザーはOracle Key Vaultサーバーまたはノードのシステム情報およびメトリックを表示できます。Oracle Key Vaultデプロイメント内のすべてのシステムがリリース21.10.0.0.0以降の場合、ユーザーにモニタリング権限を付与できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. モニタリング権限を付与するユーザーを選択します。「User Details」ページが表示されます。
  4. 「Privilege」セクションで「Monitor」チェック・ボックスを選択します。
  5. 「Save」をクリックします。

親トピック: 管理ロールとユーザー権限の管理

ユーザーからの管理ロールまたは権限の取消し

「Manage User」ページを使用すると、ユーザーからロールまたは権限を取り消すことができます。

  1. 取り消す管理ロールまたは権限に応じて、Oracle Key Vault管理コンソールに次のようにログインします。
    • 管理ロール: 「Allow Forward Grant」オプションと同じロールを持つユーザーとしてログインします。ロールの付与と取消しができるのは、自分が管理者であり、「Allow Forward Grant」オプションを指定されている場合のみです。
    • エンドポイント作成またはエンドポイント管理権限: システム管理者ロールを持つユーザーとしてログインします。
    • エンドポイント・グループ作成またはエンドポイント・グループ管理権限: キー管理者ロールを持つユーザーとしてログインします。
    • モニタリング権限: システム管理者ロールを持つユーザーとしてログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

    218_manage_users.pngの説明が続きます
    図218_manage_users.pngの説明

  3. ロールまたは権限を取り消すユーザー名をクリックします。

    「User Details」ページが表示されます。

  4. 次のようにして権限を取り消します。
    • 管理ロールまたはエンドポイント作成権限、エンドポイント・グループ作成権限、モニタリング権限: ロール、エンドポイント権限またはモニタリング権限のボックスの選択を解除します。
    • エンドポイント管理権限: システム管理者ロールを持つユーザーとしてログインする際、「Access on Endpoint」領域までスクロールし、エンドポイントのチェック・ボックスを選択して「Remove」をクリックします。
    • エンドポイント・グループ管理権限: キー管理者ロールを持つユーザーとしてログインする際、「Access on Endpoint Group」領域までスクロールし、エンドポイント・グループのチェック・ボックスを選択して「Remove」をクリックします。
  5. 「Save」をクリックします。

    リリース21.4より前のバージョンからOracle Key Vaultをアップグレードした場合、すべての管理ユーザー(監査マネージャ、キー管理者またはシステム管理者のロールを持つユーザー)は、「Allow Forward Grant」オプションが選択されています。これらのユーザーについて、ロールを他のユーザーに付与できないようにする場合、そのユーザーからこのオプションをすぐに取り消す必要があります。通常のユーザー管理ページから、1人を除くすべてのユーザーから「Allow Forward Grant」オプションを削除できます。最後のユーザーから「Allow Forward Grant」オプションを削除するには、「Administrative Management」ページを使用する必要があります。「Administrative Management」ページには、リカバリ・パスフレーズを必要とする「System Recovery」オプションを使用してアクセスできます。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

仮想ウォレットへのユーザー・アクセス権の付与

キー管理者ロールを持っているユーザーは、ユーザー、エンドポイントおよびそれぞれのグループのセキュリティ・オブジェクトへのアクセス権を制御します。

すべてのユーザーに、組織におけるその機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

ウォレットがPENDING状態の場合、仮想ウォレットへのアクセス権限を付与できません。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. アクセス権を付与するユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Access to Wallets」セクションの「Add」をクリックします。

    「Add Access to User」ページが表示されます。

  5. 「Select Wallet」の下で、ウォレットを選択します。
  6. 「Select Access Level」で、選択したウォレットへのアクセス・レベル(「Read Only」「Read and Modify」または「Manage Wallet」)を設定します。

    付与するレベルがわかっている場合は、ウォレットへのアクセス権を付与するときにアクセス・レベルを設定します。ウォレット・メニューからアクセス・レベルを設定または変更することもできます。

  7. 「Save」をクリックします。

関連トピック

親トピック: 管理ロールとユーザー権限の管理

管理者ロールの分離の強制適用

リカバリ・パスフレーズ・オプションを使用すると、管理者ロールを強制的に分離できます。

Oracle Key Vault管理コンソールを使用して、管理者ロールの分離を強制適用し、ユーザーが保持する管理者ロールが最大でも1つになるようにすることができます。
  1. HTTPSを使用するWebブラウザで、Oracle Key VaultサーバーのIPアドレスを入力します。
  2. Oracle Key Vaultにログインしないでください。
  3. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。
    「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。
  4. 「Recovery Passphrase」フィールドに、リカバリ・パスフレーズを入力します。
  5. 「Login」をクリックします。
  6. 表示されたページで「Account Management」タブを選択します。
    「Enforce Separation of Administrator Roles」ペインが表示されます。
  7. このオプションを有効または無効にするには、「Enforce Separation of Administrator Roles」オプションを選択します。
  8. 「Save」をクリックします。

親トピック: 管理ロールとユーザー権限の管理

ユーザー・パスワードの管理

管理者またはユーザーはユーザーのパスワードを変更できます。パスワードを自動的にリセットすることもできます。

親トピック: Oracle Key Vaultユーザーの管理

ユーザー・パスワードの変更について

有効なOracle Key Vaultユーザーなら誰でも、自分のパスワードを変更できます。

別のユーザーのパスワードのリセットは、自分にそのユーザーと同じかそれ以上の管理ロールがある場合に可能です。たとえば、監査マネージャ・ロールを持っているユーザーのパスワードを変更する場合、パスワードを変更するには、あらかじめ監査マネージャ・ロールを持っている必要があります。

次のユーザーとロールについて見てみましょう。

ユーザー システム管理者 キー管理者 監査マネージャ

OKV_ALL_JANE

あり

あり

あり

OKV_SYS_KEYS_JOE

あり

あり

-

OKV_SYS_SEAN

あり

-

-

OKV_KEYS_KATE

-

あり

-

OKV_AUD_AUDREY

-

-

あり

OKV_OLIVER

-

-

-

システム管理者とキー管理者のロールを持っているユーザーOKV_SYS_KEYS_JOEがログインして、他のユーザーのパスワードを変更するとします。次のような結果になります。

  • OKV_KEYS_KATE: OKV_SYS_KEYS_JOEは共通のキー管理者ロールを持っているため、OKV_KEYS_KATEのパスワードを変更できます。

  • OKV_AUD_AUDREY: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、OKV_SYS_KEYS_JOEOKV_AUD_AUDREYのパスワードを変更できません。

  • OKV_ALL_JANE: OKV_SYS_KEYS_JOEは監査マネージャ・ロールを持っていないため、ユーザーOKV_ALL_JANEのパスワードを変更できません。

  • OKV_OLIVER: OKV_SYS_KEYS_JOEは、ロールがないユーザーOKV_OLIVERのパスワードを変更できます。

ユーザーなら誰でも、自分のパスワードを変更できます。

権限がある場合は、次のいずれかの方法を使用して、別のユーザーのパスワードを変更できます。

  • 別のユーザーの新しいパスワードを指定し、ネットワーク通信を使用せずに、このユーザーに新しいパスワードを通知します。
  • ランダムに生成されたワンタイム・パスワードをユーザーの電子メール・アカウントに送信します。

関連トピック

親トピック: ユーザー・パスワードの管理

自分のパスワードの変更

すべてのユーザーが、自分のOracle Key Vaultアカウント・パスワードを変更できます。

  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Change Password」を選択します。

    アカウントの「Change Password」ページが表示されます。

    21_change_password.pngの説明が続きます
    図21_change_password.pngの説明

  3. 「Current Password」に現在のパスワードを入力します。
  4. 「New Password」「Re-enter New Password」に新しいパスワードを入力します。
  5. 「Save」をクリックします。

親トピック: ユーザー・パスワードの管理

別のユーザーのパスワードの変更

別のユーザーのパスワードの変更は、自分にシステム管理者ロール、またはパスワードのリセット対象のユーザーと同じかそれ以上の管理ロールがある場合に可能です。

  • 手動でのパスワードの変更
    ユーザーのパスワードを手動で変更した後、バンド外の方式を使用して、ユーザーに新しいパスワードを通知できます。
  • 電子メール通知によるパスワードの変更
    ランダムに生成されたワンタイム・パスワードをユーザーの電子メール・アカウントに送信することによって、ユーザーのパスワードを変更できます。

親トピック: ユーザー・パスワードの管理

手動でのパスワードの変更

ユーザーのパスワードを手動で変更した後、バンド外の方式を使用して、ユーザーに新しいパスワードを通知できます。

このパスワード変更方法は、「System Recovery」ページの「User Password Recovery」タブにある「Reset passwords using email only」オプションが選択されていない場合のみ使用できます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    「Manage Users」ページにユーザーのリストが表示されます。

  3. パスワードを変更するユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Reset Password」をクリックします。

    デフォルトでは、「Auto Generate Password」オプションが選択されています。パスワードを手動で変更できるようにその選択を解除します。

    21_change_password_manually.pngの説明が続きます
    図21_change_password_manually.pngの説明

    パスワード・プロンプトのかわりに「Email Address」フィールドが表示された場合は、電子メール通知のみでパスワードを変更するようにシステムが構成されています。

  5. 「New Password」「Re-enter New Password」に新しいパスワードを入力します。
  6. 「Save」をクリックします。
電子メール通知によるパスワードの変更

ランダムに生成されたワンタイム・パスワードをユーザーの電子メール・アカウントに送信することによって、ユーザーのパスワードを変更できます。

このワンタイム・パスワードは、Oracle Key Vaultからユーザーに直接送信できます。この機能を使用するには、電子メール設定でSMTPを構成する必要があります。「System Recovery」ページの「User Password Recovery」タブで「Reset passwords using email only」オプションを選択することで、パスワード・リカバリ機能でこの方法のみが使用されるようにしてください。
  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. パスワードを変更するユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Reset Password」をクリックします。

    「Reset User Password」ページが表示されます。

  5. 「Auto Generate Password」の横にあるボックスを選択します。

    SMTPが構成されている場合は、電子メール・アドレス・フィールドが表示されます。

  6. ユーザーの電子メール・アドレスを入力します。
  7. 「Send One-Time Password」をクリックします。

SMTPを構成せずに「Auto Generate Password」を選択すると、「Click here to configure SMTP」というリンクが表示されます。リンクをクリックして電子メール設定を構成し、このトピックのステップを繰り返します。

パスワードのリセット方法の使用の制御

電子メール通知によるパスワード・リセット操作のみが許可されるように、ユーザーが別のユーザーのパスワードを手動でリセットする機能を制限できます。

親トピック: ユーザー・パスワードの管理

パスワード・リセット方法の使用の制御について

Oracle Key Vaultを、ランダムに生成されたワンタイム・パスワードを電子メールで送信することでのみユーザーが別のユーザーのパスワードを変更できるように構成できます。

別のユーザーのパスワードの変更を実行するユーザーは、Oracle Key Vault管理者であるか、パスワードをリセットする必要があるユーザーと同じ権限またはより高い権限を持っている必要があります。

デフォルトでは、別のユーザーのパスワードを変更する方法は2つあります。

  • 手動。ユーザーの新規パスワードを作成します。このシナリオでは、変更を実行するユーザーとパスワードが変更されるユーザーの両方がパスワードを知っています(このユーザーが自分のパスワードを手動で変更するまで)
  • 自動。ユーザーに対して自動的に生成されたパスワードをトリガーし、そのユーザーがワンタイムの新しいパスワードを電子メールで受信します。このシナリオでは、そのユーザーのみが新しいパスワードを知っています。

電子メール通知による自動パスワード生成のみを有効にし、手動のパスワード・リセット操作を無効にできます。電子メール通知では、ユーザーのアカウントに関連付けられている電子メールIDが使用されます。この機能の利点は、新しく生成されたパスワードが、パスワードがリセットされたユーザーのみに知らされ、ユーザーのパスワード変更を開始したユーザーには知らされないことです。この機能が有効な場合は、ユーザーは引き続き自分のパスワードを変更できます。

この機能を無効にした場合は、ユーザー作成の方法として、手動パスワード・リセット操作および自動パスワード・リセット操作の両方が許可されます。

パスワードのリセット操作の使用の構成

システム・リカバリ・パスフレーズにアクセスできるユーザーは、パスワード・リセット操作の使用を構成できます。

  1. Oracle Key Vault管理コンソールに移動しますが、ログインしません。
  2. 「System Recovery」ボタンをクリックします。
  3. 求められた場合は、システム・リカバリ・パスフレーズを入力します。
  4. 「User Password Recovery」タブを選択します。
  5. 「User Password Recovery」ページで、「Reset passwords using email only」オプションを選択して、このオプションを有効または無効にします。
  6. 「Save」をクリックします。

ユーザー・アカウントのロック解除

ユーザーのパスワードをリセットすることで、ユーザー・アカウントのロックを解除できます。

ログインしようとして複数回失敗すると、ユーザー・アカウントがロックされる場合があります。

マルチマスター・クラスタでは、ユーザー・アカウント・プロファイル・パラメータ「Failed Login Attempts」が各ノードで別々に強制適用されます。あるクラスタ・ノードでユーザー・アカウントがロックされる場合でも、他のクラスタ・ノードではそのユーザー・アカウントのロックが解除されたままになることがあります。このような場合、ユーザーは別のノードから自分のパスワードをリセットすることも、別の管理者がユーザーのパスワードをリセットすることもできます。ユーザー・パスワードをリセットすると、すべてのクラスタ・ノードでそのユーザー・アカウントのロックが解除されます。

関連トピック

親トピック: ユーザー・パスワードの管理

ユーザーの電子メールの管理

Oracle Key Vaultユーザーは、システムの変更などのアラートを受信できるように、現在の電子メールをファイルに保存する必要があります。

親トピック: Oracle Key Vaultユーザーの管理

ユーザーの電子メール・アドレスの変更

ユーザー・アカウントを作成した後、ユーザーの電子メール・アドレスを追加または変更できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。

    ユーザーのリストが表示された「Manage Users」ページが表示されます。

  3. 「User Name」列のユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Email」に電子メール・アドレスを入力します。
  5. 「Save」をクリックします。
  • 自分の電子メールの変更
    すべてのユーザーが、自分のOracle Key Vaultアカウントの電子メールを変更できます。
  • 別のユーザーの電子メールの変更
    ユーザー・アカウントを作成した後、システム管理者ロールがあり、「System Recovery」ページの「User Password Recovery」タブにある「Reset passwords using email only」オプションが選択されていない場合は、別のユーザーの電子メールを変更できます。

親トピック: ユーザーの電子メールの管理

自分の電子メールの変更

すべてのユーザーが、自分のOracle Key Vaultアカウントの電子メールを変更できます。

  1. Oracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Details」を選択します。

    自分のアカウントの「Users Details」ページが表示されます。

  3. 「Email」に自分の新しい電子メール・アドレスを入力します。
  4. 「Save」をクリックします。
別のユーザーの電子メールの変更

ユーザー・アカウントを作成した後、システム管理者ロールがあり、「System Recovery」ページの「User Password Recovery」タブにある「Reset passwords using email only」オプションが選択されていない場合は、別のユーザーの電子メールを変更できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。
    ユーザーのリストが表示された「Manage Users」ページが表示されます。
  3. 「User Name」列のユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Email」に電子メール・アドレスを入力します。
  5. 「Save」をクリックします。

ユーザーに対する電子メール通知の無効化

「User Details」ページでユーザーの電子メール通知を無効化できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択して、左側のナビゲーション・バーの「Manage Users」を選択します。
    ユーザーのリストが表示された「Manage Users」ページが表示されます。
  3. 「User Name」列のユーザーの名前をクリックします。

    「User Details」ページが表示されます。

  4. 「Do not receive email alerts」チェック・ボックスを選択します。
  5. 「Save」をクリックします。

親トピック: ユーザーの電子メールの管理

ユーザー・グループの管理

共通の目的を持つユーザーは、指定したユーザー・グループに整理できます。

親トピック: Oracle Key Vaultユーザーの管理

ユーザー・グループの管理について

キー管理者ロールを持つユーザーは、ユーザー・グループを作成、変更および削除できます。

これにより、仮想ウォレットへのアクセスを管理できます。ユーザー・グループの作成後、その詳細を変更できます。

ユーザー・グループの主な目的は、セキュリティ・オブジェクトへのアクセス制御を簡略化することです。一連のユーザーが共通の一連のセキュリティ・オブジェクトにアクセスする必要がある場合は、各ユーザーまたは各セキュリティ・オブジェクトにアクセス権を付与するのではなく、これらのユーザーをグループに割り当て、そのグループにアクセス権を付与できます。特定のユーザーがセキュリティ・オブジェクトにアクセスする必要がなくなった場合は、グループからユーザーを削除できます。新しいユーザーをグループに追加できます。セキュリティ・オブジェクトへのグループのアクセス・レベルはいつでも変更できます。

親トピック: ユーザー・グループの管理

ユーザー・グループに対するマルチマスター・クラスタの影響

ユーザー・グループは、ユーザー・ロールおよび権限をグループ化するためにOracle Key Vaultサーバーおよびクラスタ・レベルで使用されます。

新しいサーバーがクラスタに導入されると、Oracle Key Vaultによって、クラスタ内にあるすべてのユーザー・グループ情報がレプリケートされます。クラスタ内の新しいユーザー・グループは読取り/書込みペアから作成できます。

ノードがOracle Key Vaultクラスタに追加された後にノードで作成されたユーザー・グループは、クラスタ全体で認識されます。2つの異なるノードで作成されたユーザー・グループには、名前の競合がある場合があります。ユーザー・グループ名の競合は自動的に解決されます。これらの競合は「Conflicts Resolution」ページに表示され、管理者は名前の変更を選択できます。

ノート:

  • ユーザー・グループがPENDING状態の場合、ユーザーを追加または削除してメンバーシップを変更することはできません。同様に、保留中状態のユーザーは、ACTIVE状態のユーザー・グループに追加したり、ユーザー・グループから削除することはできません。
  • ウォレットがPENDING状態の場合、ユーザーおよびユーザー・グループのアクセス・マッピングを変更できません。同様に、PENDING状態のユーザーおよびユーザー・グループは、ウォレットがACTIVE状態であっても、ウォレット・アクセス・マッピングへの追加や、ウォレット・アクセス・マッピングからの削除ができません。

関連トピック

親トピック: ユーザー・グループの管理

ユーザー・グループの作成

一連のユーザーが、セキュリティ・オブジェクトの共通セットを管理する必要がある場合は、ユーザー・グループを作成できます。

グループの作成時またはグループの作成後に、ユーザーをグループに追加できます。

  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。

    既存のユーザー・グループが表示された「User Groups」ページが表示されます。

    21_user_groups.pngの説明が続きます
    図21_user_groups.pngの説明

  3. 「Create」をクリックします。

    「Create User Group」ページが表示されます。

    21_create_user_group.pngの説明が続きます
    図21_create_user_group.pngの説明

  4. 「Name」フィールドで、新規グループの名前を入力します。
  5. マルチマスター・クラスタを使用している場合は、「Make Unique」チェック・ボックスを選択するかどうかを決定します。
    「Make Unique」は、マルチマスター・クラスタ環境全体でネーミングの競合を制御するために役立ちます。Oracle Key Vaultをクラスタ・ノードに変換する前に作成されたユーザー・グループは、名前の競合による影響を受けません。
    • 「Make Unique」を選択すると、グループ名が即時にアクティブになり、このユーザー・グループはユーザー操作で使用できます。「Make Unique」をクリックすると、グループに追加できるユーザーのリストが表示されます。
    • 「Make Unique」を選択しない場合、ユーザー・グループはPENDING状態で作成されます。その後、Oracle Key Vaultは名前解決操作を開始し、クラスタ全体で一意の名前にユーザー・グループ名が変更される場合があります。ネーミングの競合がある場合、競合はクラスタ内のノードの「Conflicts」ページに報告されます。ユーザー・グループ名が一意の名前に変更されます。クラスタの読取り/書込みノードに移動し、変更されたユーザー・グループ名を受け入れるか、ユーザー・グループ名を変更する必要があります。ユーザー・グループ名を変更すると、名前解決操作が再起動され、ユーザー・グループはPENDING状態に戻ります。PENDING状態のユーザー・グループは、ほとんどの操作の実行に使用できません。
  6. 「Description」に、必要に応じてユーザー・グループの説明を入力します。
  7. 「Save」をクリックします。

関連トピック

親トピック: ユーザー・グループの管理

ユーザー・グループへのユーザーの追加

既存のユーザーがユーザー・グループと同じセキュリティ・オブジェクトを管理する必要がある場合、そのユーザーをグループに追加できます。

ユーザーとユーザー・グループの両方がACTIVE状態の場合、グループの作成時またはグループを作成した後に、ユーザーをグループに追加できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。

    既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

  3. ユーザー・グループの「Edit」の鉛筆アイコンをクリックします。

    「User Group Details」ページが表示されます。

  4. 「User Group Members」ペインの「Add」をクリックします。
    ユーザー・グループのメンバーではない既存のユーザーのリストが表示された「Add User Group Members」ページが表示されます。
  5. 追加するユーザーのボックスを選択します。
  6. 「Save」をクリックします。

親トピック: ユーザー・グループの管理

仮想ウォレットへのユーザー・グループ・アクセス権の付与

機能のニーズの変化に応じて、ユーザー・グループの仮想ウォレットへのアクセス・レベルを変更できます。

ただし、ユーザー・グループとウォレットがACTIVE状態の場合は、アクセス・レベルのみを変更できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。

    既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

  3. 変更するユーザー・グループの「Edit」列の鉛筆アイコンをクリックします。

    「User Group Details」ページが表示されます。

  4. 「Access to Wallets」セクションの「Add」をクリックします。

    「Add Access to User Group」ページが表示されます。

  5. 「Select Wallet」で、ウォレットを選択します。
  6. 「Select Access Level」で、選択したウォレットへのアクセス・レベルを設定します。
    「Read Only」「Read and Modify」、または「Manage Wallet」を選択します。
  7. 「Save」をクリックします。

関連トピック

親トピック: ユーザー・グループの管理

ユーザー・グループの名前の変更

そのステータスに応じて、ユーザー・グループの名前を変更できます。

マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者ユーザーのみがユーザー・グループの名前を変更できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。
    「User Groups」ページが表示されます。
  3. 「User Groups」ページで、変更するユーザー・グループの「Edit」列にある鉛筆アイコンを選択します。
    「User Group Details」ページが表示されます。
  4. 「Name」フィールドに新しい名前を入力します。
    オブジェクトのネーミング・ガイドライン」を参照してください。このノードがマルチマスター・クラスタの一部で、「Make Unique」を選択しない場合、ユーザー・グループは名前変更後にPENDINGの状態になります。
  5. 「Save」をクリックします。

親トピック: ユーザー・グループの管理

ユーザー・グループの説明の変更

グループの説明は、グループの目的を識別するために役立ちます。

この説明は、グループの目的にあわせていつでも変更できます。マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者のみがユーザー・グループの説明を変更できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。
    「User Groups」ページが表示されます。
  3. 「User Groups」ページで、変更するユーザー・グループの「Edit」列の鉛筆アイコンを選択します。
    「User Group Details」ページが表示されます。
  4. 「Description」フィールドに新しい説明を入力します。
  5. 「Save」をクリックします。

親トピック: ユーザー・グループの管理

ユーザー・グループからのユーザーの削除

要件に応じて、ユーザーをユーザー・グループから削除できます。

マルチマスター・クラスタでは、ユーザーとユーザー・グループの両方がACTIVE状態の場合は、ユーザー・グループからユーザーを削除できます。これらのユーザーは、組織内でのそのユーザーの役割が変化してそのグループと同じセキュリティ・オブジェクトを管理する必要がなくなった場合には削除できます。
  1. キー管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。

    既存のユーザー・グループのリストが表示された「User Groups」ページが表示されます。

  3. ユーザー・グループの「Edit」の鉛筆アイコンをクリックします。

    「User Group Details」ページが表示されます。

  4. 「User Group Members」領域で、削除するユーザーを選択します。
  5. 「Remove」をクリックします。
  6. 「OK」をクリックして確定します。

親トピック: ユーザー・グループの管理

ユーザー・グループの削除

グループ内のユーザーが同じセキュリティ・オブジェクトにアクセスする必要がなくなった場合、ユーザー・グループを削除できます。

ユーザー・グループを削除すると、グループのウォレットおよびセキュリティ・オブジェクトへのアクセス権が自動的に削除されます。マルチマスター・クラスタでは、ユーザー・グループがPENDING状態の場合、作成者のみが削除できます。
  1. キー管理者ロールを付与されたユーザーとして、Oracle Key VaultのOracle Key Vault管理コンソールにログインします。
  2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Access」を選択します。

    「User Groups」ページが表示されます。

  3. 削除するユーザー・グループを選択します。
  4. 「Delete」をクリックします。
  5. 「OK」 をクリックして確定します。

親トピック: ユーザー・グループの管理

supportおよびrootパスワードの管理

Oracle Key VaultサーバーでSSHを使用して、supportパスワードまたはrootパスワードを変更できます。

親トピック: Oracle Key Vaultユーザーの管理

rootおよびsupportユーザー・パスワードの要件

rootおよびsupportユーザー・パスワードの次の要件を満たしていることを確認します。

  • パスワードは15文字以上にする必要があります。
  • パスワードには、少なくとも1つの大文字、1つの小文字、1つの数字および1つの特殊文字を含める必要があります。
  • パスワード内で同じ文字を3回以上連続して繰り返すことはできません。
  • パスワード内で同じクラスの文字を4回以上連続して繰り返すことはできません。たとえば、小文字が4文字以上連続している場合などです。
  • 新しいパスワードには、古いパスワードと異なる文字が8文字以上が必要です。

親トピック: supportおよびrootパスワードの管理

rootユーザー・パスワードの変更

提供された情報を使用して、rootユーザーのパスワードを変更できます。

オペレーティング・システム・ユーザーrootのパスワードを変更するには:
  1. SSHを有効にします。
    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
  2. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーをrootに切り替えます。
    ssh support@okv_server_IP_address
su - root
  3. passwdコマンドを使用します。プロンプトが表示されたら、rootユーザーの新しいパスワードを入力した後、再入力します。
    passwd

    Changing password for user root.
New password:
Retype new password: 
passwd: all authentication tokens updated successfully.
    パスワードが正常に設定されると、次のメッセージがコンソールに表示されます。
    All authentication tokens updated successfully.

親トピック: supportおよびrootパスワードの管理

supportユーザー・アカウントのパスワードの変更

Oracle Key Vaultのインストールの後、インストール後の構成タスクを実行する前に、サーバーのターミナル・コンソールでsupportアカウントのパスワードを変更できます。

インストール後のタスクの間にsupportアカウントのパスワードを設定した後、SSHを使用してsupportパスワードを変更できます。(Oracle Key Vaultのインストール時に、プロセスの一部としてこのアカウントを作成します。)supportユーザーは、次にログインしたときにパスワードの有効期限をすぎていると、パスワードの変更を求められます。有効期限は365日で120日前に警告が送られ、STIGが有効になっている場合は有効期限が60日で60日前に警告が送られます。

supportユーザーのパスワードを変更するには:

  1. SSHを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  2. SSHを介してユーザーsupportとしてOracle Key Vaultサーバーにログインします。
    ssh support@okv_server_IP_address
  3. passwdコマンドを使用します。プロンプトが表示されたら、supportユーザーの新しいパスワードを入力して再入力します。
    passwd

    Changing password for user support.
New password:
Retype new password: 
passwd: all authentication tokens updated successfully.
    パスワードが正常に設定されると、次のメッセージがコンソールに表示されます。
    All authentication tokens updated successfully.

親トピック: supportおよびrootパスワードの管理