Logo Oracle Deutschland   DBA Community  -  November 2014
Cloud Control 12c: Named Credentials und Rollen
von Ralf Durben, Oracle Deutschland B.V. & Co. KG

Named Credentials stellen in Oracle Enterprise Manager Cloud Control ein wichtiges Instrument zur Zugriffskontrolle dar. Mit ihnen können Credentials (z.B. Benutzernamen und Passwörter oder SSH Keys) zentral gespeichert werden. Die Nutzung dieser Credentials kann den EM Benutzern derart ermöglicht werden, dass diese den Inhalt des Credentials, also zum Beispiel das Passwort nicht einsehen können (siehe Community Tipp: Mehr Sicherheit durch Named Credentials).

Typischerweise können EM Benutzer in verschiedene Benutzerklassen eingeteilt werden und so werden dann auch Privilegien, wie zum Beispiel das Arbeiten mit einer Zieldatenbank, nicht direkt sondern über Rollen vergeben. Die Rollen stellen also ein Mittel der Bündelung verschiedener Privilegien dar, die dann in einem Schritt (oder einem Kommando mit EMCLI) an einen EM Benutzer vergeben werden. Dieses ist vor allem auch sinnvoll, um das Anlegen neuer EM Benutzer zu vereinfachen.

Eine wichtige Form von Privilegien war bis Release 3 von Cloud Control (also 12.1.0.3) davon ausgenommen: die Named Credentials. Diese konnten nur direkt an EM Benutzer vergeben werden. Ab Release 4 (also 12.1.0.4) können Sie das Nutzungsrecht für Named Credentials auch an Rollen vergeben, allerdings nur an eine neue Form von Rollen: Private Rollen. Diese legen Sie an, indem Sie im ersten Schritt des Wizards zum Anlegen einer neuen Rolle das Häkchen bei "Private Role" aktivieren.



In einem Beispiel habe ich in der vorliegenden Umgebung zwei Rollen definiert:

  • Normale Rolle: TESTROLLE1
  • Private Rolle: TESTROLLE2
Im nächsten Schritt soll das Zugriffsrecht eines Named Credentials an eine Rolle vergeben werden. Dazu wird das Named Credential unter "Setup -> Security -> Named Credentials" aufgerufen. Dann klicken Sie auf den Button "Manage Access" und dann auf "Add Grant". Es werden als Rollen nur private Rollen angeboten, hier die Rolle "TESTROLLE2".



Private Rollen können nur von EM Benutzern erstellt werden, die das Privileg "CREATE ROLE" besitzen und werden von diesem Benutzer verwaltet. Die Verwaltung einer Rolle kann jedoch auch an andere EM Benutzer vergeben werden, indem das Zugriffsrecht mit "ADMIN OPTION" vergeben wird.

Fazit

Mit den neuen privaten Rollen in Cloud Control 12.1.0.4 können Sie jetzt auch die Nutzung von Named Credentials gebündelt über Rollen vergeben und so die Verwaltung von EM Benutzern stark vereinfachen.

Lizenzhinweis

Die Nutzung von Rollen in Cloud Control ist im Prinzip Bestandteil der Basisfunktionalität und nicht separat lizenzpflichtig. Die Nutzung von Privilegien, die im Zusammenhang mit separat lizenzierungspflichtigen Management Packs stehen bleibt auch dann lizenzierungspflichtig, wenn diese mit Rollen verwaltet werden.


Zurück zum Anfang des Artikels

Zurück zur Community-Seite