特権アカウントの認証情報を保護する

認証情報マネージャを使用すると、特権アカウントの認証情報をセキュリティ侵害から保護できます。特権アカウントには、最も重要なシステム、サービス、および機密データへのアクセス権限があるため、これらのタイプのアカウントには安全な管理が必要です。
capam33
認証情報マネージャを使用すると、特権アカウントの認証情報をセキュリティ侵害から保護できます。特権アカウントには、最も重要なシステム、サービス、および機密データへのアクセス権限があるため、これらのタイプのアカウントには安全な管理が必要です。
特権アカウントの認証情報を保護する
Protecting Privileged Account Credentials
認証情報マネージャでは、以下のことができます。
  • 既存の認証情報のボールト
  • それら認証情報の部分の自動ロールオーバ
  • 新しい認証情報を生成するためのルールの指定
  • 認証情報の表示、認証情報を表示するための権限の付与、およびパスワード表示後に発生するアクションについてのルールの指定
特権アカウントを保護するには、いくつかの認証情報マネージャ オブジェクトを設定する必要があります。以下の図では、基本的な設定タスクを順番に示します。
認証情報マネージャ設定タスク フロー
Credential Manager Configuration Task Flow
認証情報マネージャを使用するには、以下の用語を理解しておいてください。
  • ターゲット サーバ/デバイス
    デバイスまたは「ターゲット サーバ」は、アクセス認証情報を必要とする、1 つまたは複数のターゲット アプリケーションをホストするアプリケーション サーバです。
    デバイス名は一意である必要があります。
  • ターゲット アプリケーション
    ターゲット アプリケーションは、Oracle データベースのすべての特権ユーザなどの 1 つのアプリケーションのすべての管理対象アカウントのコンテナです。ターゲット アプリケーションには、1 つ以上のターゲット アカウントを含めることができます。ターゲット アプリケーションでは、ターゲット アカウントにアクセスするためのメカニズムであるコネクタも定義します。コネクタを使用すると、同じサーバ内の複数のアプリケーションまたはエンティティに同じアカウント ユーザ名を含めることができます。たとえば、指定されたサーバが 2 つのデータベースをホストする場合、各データベースは一意のターゲット アプリケーションです。各データベースは、一意に識別されるユーザ アカウント
    dbasys
    を持つことができます。ターゲット アプリケーション名は、特定のデバイス内で一意である必要があります。
  • アプリケーション タイプ/ターゲット コネクタ
    アプリケーション タイプは、ターゲット コネクタを識別します。ターゲット コネクタは、認証情報マネージャがターゲットで認証情報を管理および変更できるようにするメカニズムです。ターゲット アプリケーションを設定するときは、ターゲット コネクタではなくアプリケーション タイプを選択して、ターゲット サーバで 1 つのアプリケーションを識別します。
    UI では、ターゲット コネクタではなく
    アプリケーション タイプ
    という用語を使用します。ターゲット アプリケーションのセットアップ中にアプリケーション タイプを選択するときは、関連するターゲット コネクタを設定しています。
    事前定義済みの一連のターゲット アプリケーションは、アプライアンスに含まれています。たとえば、Oracle データベースに接続するには、Oracle アプリケーション タイプ/ターゲット コネクタを設定し、Oracle ターゲット アカウントのパスワードを更新および確認します。
  • ターゲット アカウント
    ターゲット アカウントは、リモート サーバのアカウントを識別します。アカウントは、認証情報のセット(たとえば、ユーザ名とパスワードまたはユーザ証明書)を指定します。ターゲット アカウントを設定するときは、そのアカウントのターゲット アプリケーションを特定します。ターゲット アカウント ユーザ名は、特定のターゲット アプリケーションに対して一意である必要があります。 
  • ターゲット エイリアス(A2A 展開の場合のみ)
    エイリアスは、特定のターゲット アカウントを一意に識別します。アプリケーションが別のアプリケーションの認証情報をリクエストすると、リクエスト側アプリケーションはターゲット エイリアスを使用します。ターゲット エイリアスにより、ターゲット アプリケーションへのアクセス権限がある特権アカウントの名前をハード コーディングする必要がなくなります。