マルチテナンシーの仕組み

この記事には、以下のトピックが含まれています。
casm173
この記事には、以下のトピックが含まれています。
CA SDM マルチテナンシーを有効にすると、各連絡先アクセスをすべてのテナント(パブリック)、1 つのテナント、またはテナント グループ(ユーザ定義または製品によってメンテナンスされるグループ)に付与できます。 連絡先の役割で、アクセス権を制御し、読み取りアクセス権を個別に指定します。 テナント アクセスは役割に依存しており、連絡先はセッション中に役割を変更できるため、連絡先のテナント アクセスも変更されることがあります。
マルチテナンシーがインストールされている場合、ほとんどの CA SDM オブジェクトには、オブジェクトの所有者を指定するテナント属性が含まれます。 オブジェクトは、テナント属性とその使用方法に応じて、以下の 3 つのグループに分かれます。
テナントなし
テナント属性を使用しないでオブジェクトを定義します。 これらのオブジェクト内のすべてのデータは、パブリックです。
例:
優先度および緊急度
テナントが必要
(DBMS ではなく CA SDM により強制される) Null にできないテナント属性を使用してオブジェクトを定義します。 これらのオブジェクト内のデータはすべて、個々のテナントに関連付けられます。パブリック データはありません。
例:
チケット テーブル(リクエスト、案件、および変更要求)
テナントが任意
NULL にできるテナント属性を使用してオブジェクトを定義します。 これらのオブジェクト内のデータの一部はパブリックであり、一部は特定のテナントに関連付けられています。 各テナントのオブジェクトのビューは、パブリック データとそのテナント固有のデータのマージされたビューです。
例:
カテゴリおよびロケーション
ユーザがデータベースにクエリを実行すると、CA SDM は、テナントに属するオブジェクトに結果を制限します。 ユーザにこれらのテナントにアクセスする権限が与えられています。 この制限は、有効なすべてのデータ パーティション制限に加えて適用されます。
オブジェクトを作成するユーザが、複数のテナントの更新アクセス権を持っている場合、そのユーザはテナントを明示的に指定する必要があります。
特定の SREL 参照(インシデントの担当者など)は、含んでいるオブジェクトのテナント階層内のテナントに属するオブジェクトを参照できます。 このような参照は、CA SDM オブジェクト スキーマ(Majic)で SERVICE_PROVIDER_ELIGIBLE として指定されます。 SERVICE_PROVIDER_ELIGIBLE フラグが重要になるのは、サービス プロバイダ テナントがテナント階層にない場合のみです。サービス プロバイダ テナントが階層にある場合は、テナント検証ルールによりサービス プロバイダの参照が許可されます。
CA SDM でテナント データの更新が制限されている場合、エラー メッセージによりデータ パーティション制限が通知されます。 このエラー メッセージが表示された場合は、データ パーティション制限またはマルチテナンシー制限のいずれかが有効です。
マルチテナンシー オプション
マルチ テナンシーは、以下のマルチ テナンシー オプションのいずれかをインストールしてアクティブにします。
  • オフ
    - マルチ テナンシーは使用されません。 マルチテナンシー機能は利用できず、オブジェクトにテナント属性がありません。 このオプションは、新しい CA SDM インストールのデフォルト設定です。
  • セットアップ
    - マルチテナンシー機能は、管理者に対して有効です。したがって、テナント関連のオブジェクトおよび属性を表示および編集できます。 ただし、CA SDM によってテナンシー制限は適用されないため、管理者以外のユーザには変更は表示されません。 この設定により、管理者はテナントの定義やテナントへのオブジェクトの割り当てなどのタスクを実行することで、CA SDM の通常の使用に影響を与えずにマルチテナンシーを準備できます。
  • オン
    - マルチ テナンシーは完全に機能します。 すべてのユーザにそれぞれ適切な UI 変更が表示され、CA SDM によってテナンシー制限が適用されます。
テナント情報
マルチテナンシーをインストールする場合(セットアップ モードまたはフル適用モードのいずれかで)、テナントを作成および更新します。 テナントに維持される情報は、以下の 2 つの属性を除いて組織に維持されるデータと似ています。
  • ロゴ
    テナントのロゴが記載された画像ファイルへの URL を提供します。 ロゴは、[テナントの詳細]ページ自体で表示され、テナント ユーザによって表示される Web フォームまたはテナントに関連付けられたオブジェクトを表示する Web フォームで CA ロゴの代わりとしても表示されます。
  • サービス プロバイダ
    テナントがサービス プロバイダかどうかを示します。 サービス プロバイダ テナントは、常に最初に追加されたテナントです。 管理者が最初のテナントを追加すると、以下の結果になります。
    • 最初のテナントがサービス プロバイダになります。 この指定は変更できません。
    • 特権ユーザ(通常は ServiceDesk)およびすべてのシステム連絡先(System_AHD_Generated など)は、新規サービス プロバイダ テナントに属するように設定されます。
      システム ユーザ「Administrator」は、Windows でのみ追加され、テナントは割り当てられません。 特権ユーザは、テナントを手動で Administrator に割り当てる必要があります。
テナントのアクセス
CA SDM ユーザの役割は、アクセス認証とユーザ インターフェースの両方を制御します。 ユーザが利用可能な役割のセットは、そのユーザのアクセス タイプによって異なります。 マルチテナンシーでは、ユーザが役割の範囲内でアクセスできるテナントまたはテナント グループを制御できます。
[役割の詳細]ページの[権限]タブには、[テナントのアクセス]ドロップダウン リストと[テナント書き込みアクセス]ドロップダウン リストがあります。 [テナントのアクセス]は表示専用で、[テナント書き込みアクセス]は作成および更新できます。
以下の関連付けを役割に割り当てることができます。
  • テナント アクセスと同じ([テナント書き込みアクセス]のみ)
    [テナント書き込みアクセス]を[テナントのアクセス]設定と同じに設定します。 [テナント書き込みアクセス]のデフォルトあり、[テナント書き込みアクセス]でのみ有効です。
  • すべてのテナント
    テナント制限を削除します。 CA SDM では、このアクセス権を持つ役割内のユーザは、データベース内の任意のオブジェクトを表示したり(読み取りアクセス)、データベース内のテナント化されたオブジェクトを更新(書き込みアクセス)することができます。 [すべてのテナント]アクセス権を持つユーザがオブジェクトを作成する場合、CA SDM では新規オブジェクトのテナントを選択する必要があります。
  • 単一テナント
    役割のテナント アクセスを、指定されたテナントに設定します。 このオプションを選択すると、特定のテナントを選択可能な 2 つ目のフィールドが Web UI に表示されます。 CA SDM では、このアクセス権を持つ役割内のユーザは、指定されたテナントに関連付けられたオブジェクトしか表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • テナント グループ
    役割のテナント アクセスを、ユーザ定義のテナント グループまたはシステムによって維持されるテナント グループに設定します。 [テナント グループ]オプションを選択すると、特定のテナント グループを選択可能な 2 つ目のフィールドが Web UI に表示されます。 CA SDM では、この役割を持つユーザは、このグループ内のいずれかのテナントに関連付けられたオブジェクトした表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 テナント グループ アクセス権を持つユーザがオブジェクトを作成する場合、CA SDM では新規オブジェクトのテナントを選択する必要があります。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • 連絡先のテナント
    役割のテナント アクセスを、その役割を使用する連絡先のテナントに設定します。 CA SDM では、このアクセス権を持つ役割内のユーザは、自身のテナントに関連付けられたオブジェクトしか表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • 連絡先のテナント グループ(アナリストのみ)
    アナリストの役割アクセスを、アナリストの連絡先レコードで指定されているように、アナリストが作業するテナント グループに設定します。 この役割を持つユーザがアナリストでない場合、この選択には[連絡先のテナント]と同じ効果があります。 [テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • 連絡先のサブテナント グループ
    役割のテナント アクセスを、その役割を使用する連絡先のサブテナント グループに設定します。 CA SDM では、このアクセス権を持つ役割内のユーザは、自身のサブテナント グループに関連付けられたオブジェクトしか表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • 連絡先のスーパーテナント グループ
    役割のテナント アクセスを、その役割を使用する連絡先のスーパーテナント グループに設定します。 CA SDM では、このアクセス権を持つ役割内のユーザは、自身のスーパーテナント グループに関連付けられたオブジェクトしか表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
  • 連絡先の関連するテナント グループ
    役割のテナント アクセスを、その役割を使用している関連するテナント グループに設定します。 CA SDM では、このアクセス権を持つ役割内のユーザは、自身の関連するテナント グループに関連付けられたオブジェクトしか表示したり(読み取りアクセス)、作成および更新(書き込みアクセス)することができません。 この選択は、[テナントのアクセス]または[テナント書き込みアクセス]のいずれかに有効です。
現在の役割のアクセス権に関係なく、すべてのユーザがパブリック データを表示できます。 [パブリックの更新]チェック ボックスによって、役割内のサービス プロバイダ ユーザがパブリック データの作成または更新を許可されるかどうかが制御されます。 テナント ユーザ(サービス プロバイダ以外のテナントに属するユーザ)は、役割にかかわらずパブリック データを更新することができません。
役割のテナント アクセスの編集
CA SDM ユーザの役割は、アクセス認証とユーザ インターフェースの両方を制御します。 ユーザが利用可能な役割のセットは、そのユーザのアクセス タイプによって異なります。 マルチテナンシーでは、ユーザが役割の範囲内でアクセスできるテナントまたはテナント グループを制御できます。
[役割の詳細]ページの[権限]タブには、[テナントのアクセス]ドロップダウン リストと[テナント書き込みアクセス]ドロップダウン リストがあります。 [テナントのアクセス]は表示専用で、[テナント書き込みアクセス]は作成および更新できます。
役割のテナント アクセスを割り当てたり、編集することができます。
以下の手順に従います。
  1. [セキュリティと役割の管理]-[役割管理]-[役割リスト]に移動します。
  2. 役割を選択し、[編集]をクリックします。
  3. [テナントのアクセス]および[テナント書き込みアクセス]のオプションを選択します。
    注:
    これらの設定で別のオプションを選択する場合は、注意してください。
  4. [保存]をクリックします。
    役割の更新されたテナント アクセス オプションが保存されます。
テナントの使用条件
CA SDM アプリケーションにログインするときに、エンド ユーザに使用条件ステートメントが提示されます。 使用条件ステートメントは、エンドユーザによって使用される製品の正しい使用方法や使用条件に関する内容です。 ユーザは CA SDM にログインする前にこの条件に同意する必要があります。 試行されたセッション ログイン後に、標準ログおよびユーザ イベント ログにエントリが書き込まれます。
使用条件に対して、以下のアクションを実行できます。
  • 使用条件ステートメントを作成、更新、削除します。
  • 使用条件ステートメントをテナントと関連付けます。
    使用条件ステートメントをテナントに関連付けるには、マルチテナンシーを有効にし、1 つ以上のテナントを設定する必要があります。
  • ログインするたびに、エンド ユーザにステートメントを承諾させることができます。
  • 空の使用条件ステートメントを提示し、エンド ユーザに最初のステートメントを無視させることができます。
使用条件ステートメントの作成の詳細については、「使用条件の設定」を参照してください。
使用条件を設定する方法
使用条件ステートメントは、エンド ユーザが CA SDM にログインするときに提示される最初のステートメントです。 このステートメントは、ユーザに製品の正しい使用方法について通知します。 ユーザは、CA SDM へのログオンを続行する前にこの条件に同意する必要があります。 エンドユーザが[承諾]を選択すると、CA SDM はログインを続行し、メイン フォームを表示します。 ユーザが[拒否]を選択すると、CA SDM はログインに戻ります。 試行されたセッション ログイン後に、標準ログおよびユーザ イベント ログにエントリが書き込まれます。
一般的には、連絡先テナントの使用条件ステートメントを設定します。 連絡先テナントが非アクティブな使用条件ステートメントで設定されている場合、使用条件が設定されていない場合、または[使用条件]ドロップダウン リストで[<空>]が選択されている場合は、CA SDM にテナントの親、祖父などの使用条件ステートメントが表示されます。 どのレベルでも使用条件が検索されない場合、CA SDM はログインを続行します。 テナントに空の使用条件ステートメントを設定した場合、CA SDM はログインを続行してメイン フォームを表示します。
使用条件は以下のようにして設定できます。