セキュリティの管理

この記事には、以下のトピックが含まれています。
casm173
この記事には、以下のトピックが含まれています。
セキュリティ
ユーザに CA APM (ITAM)へのアクセスを許可する前に、セキュリティをセットアップして、製品へのアクセスを制御し、リポジトリの不正な変更や不適切な変更を防止すると共に、ユーザが必要なデータを利用できるようにしてください。 たとえば、あるユーザにはモデルおよびアセットへのアクセス権を与え、別のユーザにはリーガル ドキュメントへのアクセス権を与えます。
セキュリティのセットアップには、以下のタスクが含まれます。
  1. ユーザ。 製品にアクセスできるユーザを定義します。
  2. ユーザ ロール - 類似したタスクを実行するユーザのグループを定義します。
  3. 認証。 ユーザのログイン時の認証方法を定義します。
  4. 検索 - ユーザが使用できる検索を定義します。
  5. 設定 - ユーザが許可されていないタスクを実行できないようにします。
CA APM では、1 人または複数の管理者がこれらのセキュリティ タスクを実行します。 「
uapmadmin
」というユーザ ID を持つシステム管理者は、グローバル システム管理者として行動し、製品のセキュリティを全面的に完全に制御することができます。
Web インターフェースを使用して、企業全体にセキュリティを適用します。 これらのタスクは、データベースに関するスキルがほとんどなくても実行できます。
ユーザ
新しいユーザを製品に追加し、ユーザ ID とパスワードを割り当てる際は、ユーザ セキュリティを確立します。 有効なユーザ ID とパスワードを持たないユーザは、ログインできません。 ユーザごとにユーザ レコードが確立され、このレコードは ca_contact テーブルと関連付けられます。
ユーザは、次の方法で製品に追加できます。
  1. ユーザをインポートする。
  2. ユーザを手動で定義する。
ユーザを手動で定義する場合は、そのユーザによる製品の使用をすぐに許可することができます。 しかし、ユーザをインポートする場合は、ユーザをインポートしないと、それらのユーザによる使用を許可できません。
ユーザを手動で定義すると、対応する CA EEM ユーザも作成されます。 CA EEM は、ユーザが CA APM にログインするときにユーザのユーザ名とパスワードを確認します。
すべての CA APM ユーザを定義したら、各ユーザに
ユーザ ロール
を割り当て、ロール アクセス権全体を割り当てることにより、それらのユーザがログインしたときに表示されるものとアクセスできるものを決定します。
ベスト プラクティス(ユーザおよびロール)
ユーザおよびロールを効率よく管理するために、以下のベスト プラクティスを使用してください。
  • ユーザは、ログインするために、有効なユーザ ID とパスワードを持ち、許可される必要があります。
  • 新しいロールをユーザに割り当てる前に、ロールからユーザを削除します。
    ユーザに複数のロールを割り当てることはできません。
  • ロールを削除する前に、そのロールにユーザが割り当てられていないことを確認します。
  • ロールを削除する前にユーザを削除します。
ユーザのインポートおよび同期化
このタスクを実行するユーザが、ユーザ管理アクセスが有効な役割に属することを確認します。
CA EEM を使用して外部のユーザ ストア(Active Directory など)からユーザのリストをインポートし、それらを同期化することによって CA APM の連絡先として保存することができます。 ユーザをインポートすることにより、ユーザを定義する時間を短縮することができ、ユーザ情報の正確さを確保することも容易になります。 ユーザをインポートして保存したら、それらのユーザによる製品へのアクセスを許可します。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ユーザ管理]メニューを展開します。
  3. [LDAP データ インポートおよび同期]をクリックします。
  4. マルチテナントを有効にしている場合は、ドロップダウン リストからテナントを選択します。
  5. [LDAP データ インポートおよび同期の開始]をクリックします。
    インポート プロセスが開始され、ユーザが外部ストアからインポートされます。 マルチテナントを有効にしている場合は、選択したテナントについてユーザが連絡先として ca_contact テーブルにインポートされます。 その後、インポートされたユーザによる製品へのアクセスを許可することができます。
[LDAP データ インポートおよび同期]は、通常の文字または数字で始まるユーザ名に対して機能します。 特殊文字で始まるユーザ名はインポートされません。
ユーザの定義
このタスクを実行するユーザが、ユーザ管理アクセスが有効な役割に属することを確認します。
CA APM のすべてのユーザを定義し、それらのユーザに製品へのアクセス権を提供してください。 ユーザを定義したら、そのユーザにロールを割り当てます。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ユーザ管理]メニューを展開します。
  3. [New User]をクリックします。
  4. 新しいユーザの情報および連絡先関連情報を入力します。
  5. (オプション)このユーザによる製品へのアクセスを許可するかどうかを指定します。
  6. [保存]をクリックします。
    ユーザが定義されます。
ユーザの許可
このタスクを実行するユーザが、ユーザ管理アクセスが有効な役割に属することを確認します。
ユーザが製品にログインして製品を使用できるように、ユーザを許可することができます。 ユーザを許可するには、ユーザを連絡先として保存する必要があります。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ユーザ管理]メニューを展開します。
  3. [ユーザの許可]をクリックします。
  4. 使用可能なユーザのリストを検索します。
  5. 許可するユーザを選択して、[OK]をクリックします。
    ユーザが[許可されたユーザ]リストに表示されます。
  6. ユーザ名の隣にある[編集]アイコンをクリックします。
  7. (オプション)連絡先を選択して、ユーザに連絡先の詳細を割り当てます。
    連絡先を選択しない場合は、そのユーザについて新しい連絡先が作成されます。
  8. (オプション)ユーザに割り当てるロールを選択します。
  9. [許可]をクリックします。
    選択したユーザによる製品へのログインが許可されます。
ユーザによるアクセスの拒否
このタスクを実行するユーザが、ユーザ管理アクセスが有効な役割に属することを確認します。
ユーザによるアクセスを拒否して、それらのユーザが製品にログインできないようにすることができます。 たとえば、新たに雇用したアセット技術者が適切なトレーニングを受けるまで、それらの技術者による製品の使用を防止したい場合があります。 ユーザによるアクセスを拒否すると、そのユーザの連絡先情報が製品から削除されます。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ユーザ管理]メニューを展開します。
  3. [ユーザの許可]をクリックします。
  4. [許可されたユーザ]リストからのアクセスを拒否するユーザを選択します。
  5. [許可の取り消し]をクリックします。
    ユーザが製品にログインできなくなります。
ユーザ ロール
ユーザ ロール
は、製品におけるセキュリティとユーザ インターフェース ナビゲーションを制御するプライマリ レコードです。 各ロールは、ユーザのビジネス上の役割に対して割り当てられているタスクを実行するために必要な機能のみをユーザに公開することにより、製品の限定ビューを定義します。 ユーザのデフォルト ロールと関連ユーザ インターフェース設定により、ユーザに使用可能なデータと機能が決定されます。 ユーザは 1 つのロールにのみ属することができます。
ユーザ ロールを定義して、機能およびフィールド レベルのリポジトリのアクセス権限を適用します。 各ロールに必要なアクセスのレベルを決定して、割り当てます。 同じジョブ機能を持つユーザをグループ化し、それらに対応するロールを割り当てます。 ロールを割り当てることにより、ユーザは、許可されていないタスク(データの追加や削除など)を実行できなくなります。 たとえば、管理者ロールのユーザにはすべてのレコードへのフル アクセスが必要ですが、アセット技術者ロールのユーザにはより少ないレコードへの限定されたアクセスが必要です。
製品には定義済みのシステム管理者ロールおよびユーザ ロールが含まれており、ユーザ管理の基礎として使用できます。
以下のようなタスクによって、ユーザ ロールをセットアップし、管理することができます。
  • ロールを定義する。
  • ロールをユーザに割り当てる。
  • ロールからユーザを削除する。
  • ロールを更新する。
  • ロールを削除する。
  • 設定をロールに割り当てる。
事前定義役割
この製品には、完全な制御権を持ち、すべてのオブジェクトおよびデータにアクセスできる、システム管理者ロールが用意されています。 このロールは、システム管理者連絡先と関連付けられ、削除することはできません。 このロールのユーザは、ビジネス要件に合わせてロールを追加したり更新したりすることができるだけでなく、オブジェクトを定義、更新、および削除することもできます。 システム管理者ロールに設定を割り当てることはできません。
また、ユーザの管理を容易にするために、以下のような事前定義ユーザ ロールも用意されています。
  • CA APM アセット技術者 - アセット情報のみを使用する作業に必要なデータと機能へのアクセス権を提供します。
  • CA APM 契約管理者 - リーガル ドキュメントおよび契約管理プロセスのみを使用する作業に必要なデータと機能へのアクセス権を提供します。
  • CA APM デフォルト ユーザ - 製品の限定ビューへの読み取り専用アクセス権を提供します。 このロールは、製品のほとんどのデータを表示できます。 ただし、このロールは、製品データを変更できません。
  • CA APM 実行者 - アセット フルフィルメント タスクに必要なデータと機能のみへのアクセス権を提供します。
  • CA APM 取得 - フルフィルメント プロセスから取得されるアセットの更新に必要なデータと機能のみへのアクセス権を提供します。
各事前定義ユーザ ロールは関連設定を持ち、特定の機能を実行するために必要なデータへのアクセス権を提供します。 各事前定義ロールに関連付けられている設定は、変更できます。 事前定義ロールは、新規インストール後にのみ利用可能になります。
ユーザ ロールの定義
このタスクを実行するユーザが、ロール管理アクセスが有効になっているロールに属していることを確認してください。
サイトに固有のビジネス要件を満たすカスタマイズされたユーザ ロールを定義できます。 たとえば、あるロールを、照合管理へのアクセス権を持つように定義し、別のロールを、アセット フルフィルメントへのアクセス権を持つように定義することができます。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ロール管理]メニューを展開します。
  3. [新規役割]をクリックします。
  4. ロールの情報を入力します。
    • ユーザ管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがユーザ管理機能([管理]-[ユーザ/役割管理]-[ユーザ管理])にアクセスできるようになります。 ユーザがユーザ管理機能とロール管理機能のいずれかまたは両方へのアクセス権を持つ場合にのみ、[ユーザ/ロール管理]サブタブを利用できます。
    • 役割管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがロール管理機能([管理]-[ユーザ/役割管理]-[ロール管理])にアクセスできるようになります。 ユーザがユーザ管理機能とロール管理機能のいずれかまたは両方へのアクセス権を持つ場合にのみ、[ユーザ/ロール管理]サブタブを利用できます。
    • システム構成アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがシステム設定機能([管理]-[システムの設定])にアクセスできるようになります。
    • Web サービス アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが CA APM Web サービス ドキュメントおよび WSDL([管理]-[Web サービス])にアクセスできるようになります。 このチェック ボックスをオフにする場合、このロールのユーザが外部クライアント アプリケーションから Web サービスにアクセスしようとすると、ログイン エラーになります。
    • フィルタ管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがフィルタ管理機能([管理]-[フィルタ管理])にアクセスできるようになります。
    • その他の情報設定へのアクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが[その他の情報設定]機能にアクセスできるようになります。 この機能により、ユーザは、選択したオブジェクトについての追加の関連情報にアクセスできます。 ユーザは、ページの左側にある[関係]の下のメニュー アイテムを選択することにより、この追加情報にアクセスできます。
    • Data Importer ユーザ アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがユーザ権限で[Data Importer]機能([管理]-[Data Importer])にアクセスできるようになります。 ユーザは、インポートを作成し、それらのユーザが作成したインポートを変更または削除することができます。 また、別のユーザによって作成されたインポートを表示することもできます。
    • Data Importer 管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが管理者権限で[Data Importer]機能([管理]-[Data Importer])にアクセスできるようになります。 管理者は、インポートを作成し、別のユーザが作成したインポートを変更または削除することができます。
    • 照合管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが照合ルール管理機能([管理]-[照合管理])にアクセスできるようになります。
    • アセット フルフィルメント アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられた CA Service Catalog ユーザが CA Service Catalog を使用してアセット フルフィルメントを実行できるようになります。
    • テナント管理アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザがマルチテナント管理機能([管理]-[テナント管理])にアクセスして、マルチテナントを有効にしたり、テナントを定義したり、サブテナントを定義したり、テナントグループを定義したりすることが可能になります。
    • 正規化アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが正規化ルール管理機能([ディレクトリ]-[リスト管理]-[正規化])にアクセスできるようになります。
    • 大量変更ユーティリティ アクセス
      このチェック ボックスをオンにすると、このロールに割り当てられたユーザが[大量変更ユーティリティ]機能にアクセスできるようになります。 この機能により、ユーザは、モデルのアセット ファミリを変更したり、アセットのモデルを変更したりすることができます。
  5. (オプション)テナントの読み取り/書き込み権限を指定します。 マルチテナントでは、ロールの目的が拡張され、ユーザがロールの範囲内でアクセスできるテナントまたはテナント グループを制御できます。 マルチテナントが有効になっている場合は、[テナント情報]セクションに[テナント読み取りアクセス]および[テナント書き込みアクセス]ドロップダウン リストが表示されます。
    [テナント情報]セクションは、マルチテナントが有効になっている場合にのみ表示されます。 マルチテナントを有効にする方法の詳細については、「マルチテナンシーの実装」を参照してください。 また、サービス プロバイダ以外のテナントと関連付けられたユーザは、自分のテナントと関連付けられたオブジェクトの作成または更新のみができます。 サービス プロバイダと関連付けられたユーザのみが、自身のテナント以外のテナントが所有しているオブジェクトを作成または更新することを許可されます。
    • すべてのテナント
      テナントに関する制限が含まれません。 このアクセス権を持つロールのユーザは、データベース内の任意のオブジェクト(パブリック オブジェクトを含む)を表示できます。 また、サービス プロバイダと関連付けられたユーザは、任意のテナントと関連付けられたオブジェクトを更新または作成することができます。 このアクセス権を持つサービス プロバイダ ユーザがオブジェクトを作成する場合は、新しいオブジェクトのテナントを選択する必要があります。
    • 連絡先のテナント
      (デフォルト値)ロールを連絡先のテナントと関連付けます。 このアクセス権を持つロールのユーザは、自分のテナントと関連付けられているオブジェクトのみを表示、作成、および更新するように制限されます。 このアクセス権を持つユーザがオブジェクトを作成する場合は、テナントを選択できません。 テナントは、連絡先のテナントに自動的に設定されます。
    • 連絡先のテナント グループ
      ロールを連絡先のテナント グループと関連付けます。 このアクセス権を持つロールのユーザは、自分のテナント グループのテナントと関連付けられているオブジェクトのみを表示、作成、および更新する(およびパブリック オブジェクトを表示する)ように制限されます。 このアクセス権を持つユーザがオブジェクトを作成する場合は、そのテナント グループに属している任意のテナントを選択できます。
    • 単一テナント
      ロールを指定されたテナントと関連付けます。 このオプションを選択する場合は、[テナント書き込み]フィールドまたは[テナント読み取り]フィールドのいずれかから特定のテナントを選択します。 このアクセス権を持つロールのユーザは、選択したテナントと関連付けられているオブジェクトのみを表示、作成、および更新する(およびパブリック オブジェクトを表示する)ように制限されます。 このアクセス権を持つユーザがオブジェクトを作成する場合は、テナントを選択できません。 テナントは、選択したテナントに自動的に設定されます。
      サービス プロバイダ ユーザのみが、自分のテナント以外のテナントのデータを作成または更新できます。 別のテナントへの単一テナント アクセス権を持つロールのテナント ユーザは、読み取りアクセスに制限されます。
    • テナント グループ
      ロールを指定されたテナント グループと関連付けます。 このオプションを選択する場合は、[テナント グループ書き込み]フィールドまたは[テナント グループ読み取り]フィールドのいずれかから特定のテナント グループを選択します。 このアクセス権を持つロールのユーザは、そのテナント グループに含まれる任意のテナントに属しているオブジェクトのみを表示するように制限されます。 また、サービス プロバイダと関連付けられたユーザは、そのグループに含まれる任意のテナントと関連付けられたオブジェクトを更新または作成することができます。 このアクセス権を持つサービス プロバイダ ユーザがオブジェクトを作成する場合は、新しいオブジェクトのテナントを選択する必要があります。
    • パブリックの更新(チェック ボックス)
      [すべてのテナント]を選択する場合にのみ利用できます。 このチェック ボックスをオンにすると、そのロールのユーザが、テナント化されたパブリック データを作成または削除できるようになります。
  6. [保存]をクリックします。
    ロールが定義され、ユーザをロールに割り当てることができます。
ユーザへのロールの割り当て
このタスクを実行するユーザが、ロール管理アクセスが有効になっているロールに属していることを確認してください。 また、ロールをユーザに割り当てない場合、[管理]タブはユーザに表示されません。
ロールをユーザに割り当てることにより、製品の限定ビューを定義し、ユーザがログインしたときに表示されるものを決定することができます。 たとえば、管理者をシステム設定ロールに割り当てます。 ユーザは 1 つのロールにのみ割り当てることができます。 ユーザをロールに割り当てる前に、ユーザを連絡先として保存してください。
新しいロールをユーザに割り当てる前に、ユーザの以前のロールからユーザを削除します。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ロール管理]メニューを展開します。
  3. [役割の検索]をクリックします。
  4. そのページの[役割の連絡先]領域で、[連絡先の割り当て]をクリックします。
    ロールに割り当てられていないすべてのユーザが表示されます。
  5. ロールを割り当てるユーザを選択します。
  6. [OK]をクリックします。
  7. [保存]をクリックします。
    ロールがユーザに割り当てられます。
ロールからのユーザの削除
このタスクを実行するユーザが、ロール管理アクセスが有効になっているロールに属していることを確認してください。
ユーザをロールから削除することにより、ユーザのアクセ権を制限することができます。 たとえば、管理者が別の部門に移された場合、それらの管理者をシステム設定ロールから削除します。 ユーザは、別のロールに割り当てる前に、またはサイトや組織の一員ではなくなった場合に削除してください。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ロール管理]メニューを展開します。
  3. [役割の検索]をクリックします。
  4. ロールから削除するユーザの隣にある削除アイコンをクリックします。
  5. [保存]をクリックします。
    ユーザがロールから削除されます。
ユーザ ロールの更新
このタスクを実行するユーザが、ロール管理アクセスが有効になっているロールに属していることを確認してください。
いつでも、ユーザ ロールを更新して、ユーザが製品にログインしたときに表示されるものを変更することができます。 たとえば、特定のロールのユーザがテナント管理機能を実行する必要がなくなったとします。 そのような場合な、そのロールのテナント管理アクセス権を削除します。
サイトまたは組織においてロールがアクティブではなくなった場合やロールの機能が不要になった場合に、そのロールを削除できます。 事前定義のシステム管理者ロールは削除できません。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ロール管理]メニューを展開します。
  3. [役割の検索]をクリックします。
  4. ロールを検索して選択します。
  5. ユーザ ロールを更新するには、ロールの情報を変更して、[保存]をクリックします。
    ロールが更新されます。
  6. ユーザ ロールを削除するには、[削除]をクリックします。
    ロールが削除されます。
ロールへの設定の割り当て
このタスクを実行するユーザが、ロール管理アクセスが有効になっているロールに属していることを確認してください。
ユーザ インターフェースを設定して、ユーザがデータを入力、管理、および検索する方法を簡略化することができます。 設定をロールに割り当てることにより、ロールに割り当てられたユーザに対して設定したとおりに表示される状態を確立することが容易になります。
例: アセット マネージャへの設定の割り当て
この例では、アセット マネージャは、アセットに関して製品に入力された最も重要な情報を迅速に表示し、モニタする必要があります。 この情報は、レポート作成、コスト分析、および在庫管理に使用されます。 管理者は、アセット名、モデル名、数量、シリアル番号、オペレーティング システム、発注番号、およびコスト センターが表示されるように検索結果を設定します。 管理者は、設定を保存し、その設定をアセット マネージャ ロールに割り当てます。 アセット マネージャが製品にログインすると、アセット マネージャ ロールの設定が選択され、表示されます。
設定の詳細については、「ユーザ インターフェースの設定」を参照してください。
以下の手順に従います。
  1. [管理]-[ユーザ/役割管理]をクリックします。
  2. 左側にある[ロール管理]メニューを展開します。
  3. [役割の検索]をクリックします。
  4. ロールを検索して選択します。
  5. [役割の設定]をクリックします。
  6. [新規に選択]をクリックします。
    保存されている設定のリストが表示されます。
  7. ロールに割り当てる設定を選択します。
  8. [OK]をクリックします。
  9. [保存]をクリックします。
    設定がロールに割り当てられます。 このロールに割り当てられているユーザが製品にログインすると、割り当てた設定が表示されます。
認証
認証
は、ユーザから識別認証情報(名前、パスワードなど)を取得して、認証情報を検証し、そのユーザが存在することを確認するプロセスです。 認証情報が有効である場合は、そのユーザが認証されます。 ユーザが認証されると、許可プロセスによって、そのユーザが製品にログインできるかどうかが決定されます。
CA APM は、CA EEM を使用してユーザ認証を処理します。
サポートされる認証のタイプは、以下のとおりです。
  • フォーム認証 - ユーザが製品にログインする際、ユーザ名とパスワードの入力を求められます。
    フォーム認証は、デフォルトの認証タイプです。
  • Windows 統合認証 - すでに Windows ドメインにログインしているユーザは、追加のログイン認証情報を入力することなく製品にアクセスできます。
製品でタブおよびメニュー設定を定義して、ユーザがアクセスできるページおよびタブを制限することにより、セキュリティを強化することができます。
フォーム認証の設定
このタスクを実行するユーザが、システム構成アクセスが有効な役割に属していることを確認します。
フォーム認証を設定して、ログインする際にユーザにユーザ名とパスワードの入力を求めるようにすることができます。
以下の手順に従います。
  1. [管理]-[システムの設定]をクリックします。
  2. 左側にある[EEM]をクリックします。
  3. [認証タイプ]ドロップダウン リストから[フォーム]を選択します。
  4. [保存]をクリックします。
    フォーム認証が有効になります。
Windows 統合認証の設定
このタスクを実行するユーザが、システム構成アクセスが有効な役割に属していることを確認します。
Windows 統合認証を設定し、認証に使用される Active Directory を CA EEM サーバの基準とすることができます。 Windows 統合認証が有効になっている場合、すでに Windows ドメインにログインしているユーザは、追加のログイン認証情報を入力することなく製品にアクセスできます。
CA EEM および CA SiteMinder によって Windows 統合認証を設定することもできます。 CA SiteMinder は、認証のために Active Directory を使用します。 この設定の詳細については、CA EEM 製品ドキュメントを参照してください。
Windows 統合認証が機能するには、CA EEM サーバおよび Active Directory と、認証リクエストを送信するクライアント コンピュータが同じドメインに属している必要があります。
さらに、すでに Active Directory に存在するユーザ名を使用して CA EEM ローカル ストアのユーザを作成して許可した場合、対応する Active Directory ユーザが自動で許可されます。
以下の手順に従います。
  1. CA EEM がインストールされているコンピュータで、Active Directory または LDAP システムを参照するように CA EEM サーバを設定してください。
    これらの機能の実行の詳細については、CA EEM 製品ドキュメントを参照してください。
  2. CA APM で、[管理]-[システムの設定]をクリックします。
  3. 左側にある[EEM]をクリックします。
  4. [認証タイプ]ドロップダウン リストから[Windows 統合]を選択します。
  5. [保存]をクリックします。
    Windows 統合認証が有効になります。
シングル サインオン
シングル サインオン
は、ユーザがユーザ ID とパスワードを 1 回入力するだけで組織内の多数のリソースにアクセスできる認証プロセスです。 シングル サインオンを使用することにより、ソリューションを切り替える際に追加の認証情報を入力する必要がなくなります。
シングル サインオンにより、ユーザは Windows ログイン情報を使用して製品に自動的にログインできます。 ユーザ ID をロールに追加すると、製品によってログイン認証情報が確認され、適切なホーム ページがユーザに表示されるようになります。
シングル サインオンが正常に機能するように、Windows ユーザ アカウントを、ローカル ユーザ アカウントではなくドメイン ユーザ アカウントとして 設定してください。
NTLM 認証を有効にした後、APM にログインするためのユーザ名とパスワードについて、IE/Chrome/Firefox ブラウザにブラウザ プロンプトが表示される場合があります。 使用しているブラウザ(IE、Chrome、および Firefox)に基づいて以下の手順を実行します。
IE および Chrome ブラウザでの Windows 認証の設定
  1. [コントロール パネル]
    -
    [ネットワークとインターネット]
    -
    [インターネット オプション]
    をクリックします。
  2. [セキュリティ]
    タブをクリックし、
    [ローカル イントラネット]
    ゾーンを選択します。
  3. [レベルのカスタマイズ]
    をクリックします。
  4. 下へスクロールし、
    [ユーザ認証]
    オプションを選択します。 [ログオン]を
    [現在のユーザ名とパスワードで自動的にログオンする]
    に設定します。
  5. [OK]をクリックします。
  6. [サイト]
    をクリックします。
  7. [詳細設定]
    をクリックします。 CA APM Web URL リンクを追加します。
    適切な Web サイト アクセス プロトコル(http または https)を指定します。
  8. [閉じる]
    をクリックします。
    [OK]
    をクリックして、[インターネット オプション]を閉じます。
  9. ブラウザ ウィンドウを再起動し、CA APM の URL にアクセスします。
Firefox での Windows 認証の設定
  1. Firefox を開きます。
  2. ブラウザのアドレスバーに「
    About: Config
    」と入力します。
  3. セキュリティ警告が表示されます。 続行するには、プロンプトの手順に従います。
  4. リストを参照するか、個別に検索して、以下の設定を検索します。 各設定を見つけて、値を以下のように更新します。
    設定
    値 **
    network.negotiate-auth.delegation-uris
    IIS サーバの完全修飾名を入力します。
    network.automatic-ntlm-auth.trusted-uris
    IIS サーバの完全修飾名を入力します。
    network.automatic-ntlm-auth.allow-proxies
    True
    network.negotiate-auth.allow-proxies
    True
  5. Firefox を再起動します。
セキュリティの検索
デフォルト検索を使用して、リポジトリ内のオブジェクトを検索できます。 たとえば、デフォルト検索を使用して、アセット、モデル、連絡先などを検索できます。 デフォルト検索のセキュリティでは、すべてのユーザおよび設定がデフォルト検索を使用できます。 これらの検索を使用して、追加の検索を作成することができます。
一方で、作成した検索にセキュリティを適用して、検索を使用できるユーザを限定することもできます。 設定された検索を保存する場合、特定のユーザ ロールおよび設定(管理者のみ)を選択できます。 デフォルトでは、作成した検索のセキュリティはすべてのユーザおよび設定に対して利用可能になります。 独自のセキュリティを検索に適用することによって、容易に、検索によって返される機密情報が特定のユーザに表示されないようにすることができます。
セキュリティを検索に適用する場合は、以下の情報を考慮してください。
  • すべての検索(デフォルトおよびユーザ定義検索)にアクセスできます。これにより、ユーザの検索を設定し、トラブルシューティングすることができます。
  • すべてのスケジュールされた検索およびエクスポートにアクセスできます。これにより、ユーザのスケジュールされた検索およびエクスポートを設定し、トラブルシューティングすることができます。
  • 役割と設定に割り当てられているすべてのユーザは、その役割と設定に割り当てられたデフォルト検索とユーザ定義検索を使用できます。 ただし、デフォルト検索でユーザに表示される検索結果には、非表示に設定され、セキュリティ保護された情報およびフィールドは表示されません。
  • 設定の変更によりデフォルトおよびユーザ定義検索が無効になる場合は、検索が不要である可能性があります。 CA APM のどのデフォルトおよびユーザ定義検索も削除できます。
検索セキュリティのトラブルシューティング
検索のセキュリティに関するトラブルシューティング上のヒントは、設定された検索を使用する場合に役立ちます。
設定された検索に役割を割り当てることができない
サポートされているすべてのオペレーティング環境で有効です。
問題の状況
設定されている検索へのアクセス権を役割に付与しようとすると、以下のいずれかのエラーに類似したエラーが表示されます。
役割 <役割名> はフィールド(アセット タイプ <アセット ファミリ> の <フィールド名>)にアクセスできないため、検索に割り当てることができません。
役割 <役割名> はアセット タイプ <アセットファミリ> にアクセスできないため、検索に割り当てることができません。
役割 <役割名> はフィールド(<フィールド名>、<フィールド名>)にアクセスできないため、検索に割り当てることができません。
解決方法
以下のいずれかの解決方法を使用してこのエラーを解決します。
  1. 設定を更新して、役割またはユーザに検索へのアクセス権を付与します。
  2. 設定を更新して、検索から非表示フィールドを削除します。
  3. 役割による検索へのアクセスを禁止します。
  4. 役割から設定を削除します。
設定された検索に設定を割り当てることができない
サポートされているすべてのオペレーティング環境で有効です。
問題の状況
設定されている検索へのアクセス権を持ったグローバルまたはローカル設定に付与しようとすると、以下のいずれかのエラーに類似したエラーが表示されます。
設定 <設定名>は次のフィールド(アセット タイプ <アセット ファミリ> の <フィールド名> )にアクセスできないため、検索に割り当てることができません。
設定 <設定名> はアセット タイプ <アセット ファミリ> にアクセスできないため、検索に割り当てることができません。
設定 <設定名> はフィールド(<フィールド名>、<フィールド名>)にアクセスできないため、検索に割り当てることができません。
解決方法
以下のいずれかの解決方法を使用してこのエラーを解決します。
  1. 設定を更新して、非表示フィールドを検索で利用できるようにします。
  2. 設定を更新して、検索から非表示フィールドを削除します。
  3. 設定による検索へのアクセスを禁止します。