CA CEM の CA EEM による認証および許可

内容
apmdevops96jp
内容
CA EEM の基本事項を理解するには、「CA EEM による Introscope のセキュリティ保護」を参照してください。
CA CEM のセキュリティに CA EEM をデプロイする場合、認証と許可は CA EEM サーバで行われます。 CA EEM による許可は、セキュリティ ユーザ グループのメンバシップではなく、アクセス ポリシーに基づいています。 CA EEM 内では、アクセス ポリシーは、リソース クラス、リソース、および権限(読み取りや書き込みなど)の 3 つの要素で構成されます。 詳細については、「CA EEM のアクセス ポリシーについて」を参照してください。
注:
CA EEM では、権限はアクションと呼ばれます。
以下のトピックでは、CA CEM 固有のデフォルト リソース クラス、リソース、およびアクセス ポリシーについて説明します。 CA APM には、デフォルトの CA APM アプリケーションを登録し、CA CEM のグローバル ユーザ、アプリケーション固有のユーザ、セキュリティ ユーザ グループ、リソース クラス、およびリソース クラスのアクセス ポリシーを作成する、CA EEM Safex スクリプトが用意されています。
CA EEM での CA CEM ユーザおよびグループの管理
CA CEM のセキュリティは CA EEM アクセス ポリシーに基づいています。このポリシーは、特定のユーザおよびアプリケーション固有のユーザ グループに適用されます。
CA Technologies は、標準的な CA CEM ユーザおよびグループを提供する APM アプリケーションをセットアップする場合に、Safex スクリプトの
eem.register.app.xml
および
eem.add.global.identities.xml
を実行することをお勧めします。 これらの Safex スクリプトによって、グローバル ユーザ、グローバル ユーザ グループ、および APM アプリケーション固有のユーザ グループが作成されます。
CA EEM 内で CA CEM ユーザは CA CEM の 4 つのデフォルト セキュリティ グループ(CEM システム管理者、CEM 構成管理者、CEM アナリスト、または CEM インシデント アナリスト)のいずれかに属することができますが、強制ではありません。 CA CEM ユーザは、HR 管理者グループなど、定義した新しいグループに属することができます。 デフォルトの CA CEM のセキュリティ ユーザ グループの詳細については、「デフォルトの CA CEM のセキュリティ ユーザ グループに関連付けられるメニュー項目と権限」を参照してください。
CA CEM ユーザおよびグループは、作成、追加、変更、または削除できます。 また、CA CEM ユーザを有効または無効にすることもできます。
重要:
CEM コンソールを使用している CA APM ユーザが Introscope Investigator データを表示するには、APM のセキュリティ ユーザ グループ 1 つと、CA CEM のセキュリティ ユーザ グループ 1 つの両方に含まれている必要があります。 たとえば、APM ゲスト グループと CEM アナリスト グループといった組み合わせがあります。 詳細については、「CA EEM Introscope ユーザに対する CEM コンソール アクセス権の付与」または「ローカル Introscope ユーザに対する CEM コンソール アクセス権の付与」を参照してください。
CA CEM ユーザを追加、変更、または削除する方法
  • CA CEM ユーザを追加、変更、または削除するには、「CA EEM での APM ユーザの作成と削除」で説明している方法のいずれかを使用します。
CA CEM のセキュリティ ユーザ グループを追加、変更、または削除する方法
  • CA CEM のセキュリティ ユーザ グループを追加、変更、または削除する方法は、「CA EEM での APM グループの作成と削除」で説明しています。
CA CEM ユーザを有効または無効にする方法
  1. CA EEM 内の APM アプリケーションにログインします。
    1. CA EEM ログイン ページで、[アプリケーション]ドロップダウン リストから[APM]を選択します。
    2. ログイン名とパスワードを入力します。
    CA APM アプリケーションのデフォルト ログインは
    EiamAdmin
    です。
  2. [ID の管理]タブに移動します。
  3. [ユーザの検索]ボックスで、[アプリケーション ユーザの詳細]を選択し、[実行]をクリックします。
  4. [ユーザ]ボックス ツリーで APM ユーザ名をクリックします。
  5. ユーザ情報が表示されたら、[認証]ボックスで以下のどちらかを実行します。
    • [再開日]の右側にあるカレンダをクリックします。
    • [停止日]の右側にあるカレンダをクリックします。
  6. 有効化または無効化のアクションが行われる日付と時刻を選択し、[OK]をクリックします。
  7. [Save]をクリックします。
    詳細については、「
    CA Embedded Entitlements Manager Online Help
    」を参照してください。
CA EEM 内の CA CEM リソース クラスについて
CA CEM の許可に CA EEM を使用する場合は、CA CEM のセキュリティ ユーザ グループが表示できる CEM コンソール タブを決定するためのアクセス ポリシーを設定します。 リソース クラスはアクセス ポリシーの必須要素です。 各リソース クラスには権限が関連付けられます。CA EEM では権限のことをアクションと呼びます。
以下の表に、CA CEM のデフォルト リソース クラスに関連付けられるアクションを示します。
CA CEM リソース クラス
デフォルト アクション
ビジネス アプリケーション
書き込み
ビジネス サービス
書き込み
読み取り
機密データの読み取り
インシデント
書き込み
レポート
書き込み
Server
書き込み
システム管理設定
書き込み
システム セキュリティ設定
書き込み
ユーザ グループ
書き込み
Web サービス
許可
アクセス ポリシー
書き込み
リソース クラスに[書き込み]アクションが関連付けられているとき、そのリソース クラスへのアクセス権を与えられた CA CEM ユーザまたはグループの CEM コンソール メニューには、関連するタブが表示されます。 たとえば、ビジネス アプリケーション リソース クラスによって、CA CEM ユーザの CEM コンソールには、[管理]-[ビジネス アプリケーション]が表示されます。
ビジネス サービス リソース クラスには、
読み取り
および
機密データの読み取り
の 2 つだけの追加アクションも関連付けられています。 ビジネス サービスに対する
機密データの読み取り
権限を持っている CA CEM ユーザは、その特定のビジネス サービスの障害に加えられた HTTP ヘッダ情報を表示できます。 詳細については、「
CA APM 設定および管理ガイド
」を参照してください。
ビジネス サービス リソース クラスは、CA CEM ユーザが TIM およびエージェント記録へのアクセス権を持っているかどうかも決定します([管理]-[記録セッション])。 1 つ以上のビジネス サービスに対する書き込み権限を持っているユーザは、[記録セッション]タブにアクセスできます。
Introscope 固有のリソース クラスについて
デフォルトの CA APM アプリケーションは、CA CEM リソース クラスに加え、Introscope 固有の 2 つのリソース クラスを備えています。
  • ドメイン: Introscope ユーザに対し、Introscope 固有のドメイン(スーパードメインなど)を表示する権限を与えます。
    注:
    これは[CEM]-[設定]-[ドメイン]の機能とは関係ありません。
  • サーバ: Introscope ユーザに対し、Enterprise Manager を起動および停止する権限を与えます。
これらのリソース クラスを編集または削除しないでください。
CA EEM 内の CA CEM リソースについて
デフォルトの CA APM アプリケーションは CA CEM リソースを必要としません。 CA EEM 内では、リソース クラスは関連するリソースを持たないか、1 つ以上持つことができます。
ただし、CA CEM には、ビジネス サービス リソース クラスのリソースを作成する機能があります。 作成するビジネス サービス リソースは、組織に固有のものになります。 ビジネス サービス リソースを作成するときは、各ビジネス サービスに 1 つ以上のアクセス ポリシーを関連付けます。 CA EEM 内の CA CEM リソースを編集することもできます。
CEM コンソールまたは CA EEM 内では、ビジネス サービスを設定できます。 ビジネス サービスのデフォルト アクセス ポリシーの詳細については、「デフォルトの CA EEM CEM アクセス ポリシー」を参照してください。 新しいビジネス サービスの作成については、「
CA APM トランザクション定義ガイド
」を参照してください。
さらに、固有のアクセス ポリシーを持つ CA EEM 内で CA CEM リソースを作成しなければならない場合もあります。 特定のビジネス サービス リソースの権限を、特定の CA CEM ユーザおよびセキュリティ ユーザ グループに制限したい場合などは、そのようにすることがあります。
重要:
CA EEM 内で新しい CA CEM リソースを作成する場合は、CA EEM 内で定義されている既存の CA CEM リソース クラスおよびアクセス ポリシーを使用する必要があります。
新しいリソースを定義するには、「デフォルトの CA EEM CEM アクセス ポリシー」で説明しているとおり、新しいアクセス ポリシーを定義します。
デフォルトの CA EEM CEM アクセス ポリシー
CA EEM 内では、アクセス ポリシーは、アプリケーション固有のリソース クラスおよびリソースのアクセス ルールを定義します。
警告: Introscope 管理者でない限り、CA EEM 内に表示されるドメインとサーバのアクセス ポリシーを変更または削除しないでください。 これらは Introscope 専用のアクセス ポリシーです。
CA EEM 内では、アクセス ポリシーは、リソース クラス、リソース、およびアクションの 3 つの要素で構成されます。
デフォルトの CA CEM アクセス ポリシーは、標準的な CA CEM のセキュリティ ユーザ グループに対し、CEM コンソールのメニューと権限を提供します。 詳細については、「デフォルトの CA CEM のセキュリティ ユーザ グループに関連付けられるメニュー項目と権限」を参照してください。
CA Technologies は、
<EM_Home>/examples/authentication
ディレクトリにある Safex スクリプト ファイルの
eem.register.app.xml
を実行することをお勧めします。 Safex スクリプトを実行して APM アプリケーションを設定するときのために、CA Technologies では、以下に示すとおり、APM アプリケーション用のデフォルトの CA CEM アクセス ポリシーを用意しています。
CA CEM アクセス ポリシー
Description
リソース クラス/アクション
付与されるセキュリティ ユーザ グループ
Web サービス - 許可
CEM システム管理者グループは、Web サービスに関する情報を表示できます
Web サービス/許可
CEM システム管理者
ユーザ グループ - 書き込み
CEM システム管理者グループおよび CEM システム構成管理者グループは、[管理]-[ユーザ グループ]タブ上で実行できるすべてのアクティビティ用の書き込み権限を持ちます
ユーザ グループ/書き込み
CEM システム管理者
CEM 構成管理者
システム セキュリティ設定
CEM システム管理者グループは、[システム セキュリティ設定]下のすべてのリソースに対する書き込み権限を持ちます
システム セキュリティ設定/書き込み
CEM システム管理者
システム構成設定 - 書き込み
CEM システム管理者グループおよび CEM 構成管理者グループは、[システム構成設定]下のすべてのリソースに対する書き込み権限を持ちます。
システム構成設定/書き込み
CEM システム管理者
CEM 構成管理者
システム構成設定 - 包括的な障害詳細をキャプチャ
CEM システム管理者グループは、[包括的な障害詳細をキャプチャ]チェック ボックスに対する書き込み権限を持ちます。
システム構成設定/包括的な障害詳細をキャプチャ
CEM システム管理者
システム管理設定 - 書き込み
CEM システム管理者グループは、[システム管理設定]下のすべてのリソースに対する書き込み権限を持ちます。
システム管理設定/書き込み
CEM システム管理者
レポート - 書き込み
すべての CEM グループは、すべてのレポートに対する書き込み権限を持ちます。
レポート/書き込み
CEM システム管理者
CEM 構成管理者
CEM アナリスト
CEM インシデント アナリスト
インシデント - 書き込み
すべての CEM グループは、すべてのインシデントに対する書き込み権限を持ちます。
インシデント/書き込み
CEM システム管理者
CEM 構成管理者
CEM アナリスト
CEM インシデント アナリスト
ビジネス サービス - 機密データの読み取り
CEM インシデント アナリストグループは、すべてのビジネス サービスに対する機密データの読み取り権限を持ちます。
ビジネス サービス/機密データの読み取り
CEM インシデント アナリスト
ビジネス サービス - 読み取り
CEM アナリスト グループおよびインシデント アナリスト グループは、すべてのビジネス サービスに対する読み取り権限を持ちます。
ビジネス サービス/読み取り
CEM アナリスト
CEM インシデント アナリスト
ビジネス サービス - 読み取り/書き込み
CEM 構成管理者グループは、すべてのビジネス サービスに対する読み取りおよび書き込み権限を持ちます。
ビジネス サービス/
書き込み
ビジネス サービス/読み取り
CEM 構成管理者
ビジネス サービス - すべての権限
CEM システム管理者グループは、すべてのビジネス サービス機能に対するすべての権限を持ちます。
ビジネス サービス/
書き込み
ビジネス サービス/読み取り
ビジネス サービス/機密データの読み取り
CEM システム管理者
ビジネス アプリケーション - 書き込み
CEM システム管理者グループおよび CEM 構成管理者グループは、すべてのビジネス アプリケーションに対する書き込み権限を持ちます。
ビジネス アプリケーション/書き込み
CEM システム管理者
CEM 構成管理者
アクセス ポリシー - すべての権限
CEM システム管理者グループおよび CEM 構成管理者グループは、すべてのアクセス ポリシーに対するすべての権限を持ちます。
アクセス ポリシー/書き込み
アクセス ポリシー/読み取り
CEM システム管理者
CEM 構成管理者
CA CEM ビジネス サービスのデフォルトのアクセス ポリシーについて
CA CEM の許可に CA EEM をデプロイした場合、CA EEM 内でアクセス ポリシーを作成および変更できます。また、CEM コンソールの[アクセス ポリシー]タブを使用して、ビジネス サービスに関連付けられた CA CEM アクセス ポリシーを追加、変更、または削除できます。
CA CEM の[アクセス ポリシー]タブを使用して CA CEM アクセス ポリシーを追加または変更する場合は、以下のことが該当します。
  • アクセス ポリシー
    リソース クラスへの書き込み権限が必要です。
  • CEM コンソールを使用してアクセス ポリシーを管理することによって、個々の APM ユーザではなく、APM アプリケーション セキュリティ ユーザ グループに限定して、権限の付与または取り消しが可能になります。 詳細については、「
    CA APM 設定および管理ガイド
    」を参照してください。
  • CA EEM での CA CEM アクセス ポリシーの更新」で説明しているとおり、アクセス ポリシーを直接変更することもできます。
  • CA CEM は、アクセス ポリシーの変更を CA EEM に直接送信して格納します。
デフォルトのビジネス サービス アクセス ポリシーを作成または編集するか、新しいビジネス サービスに関連付ける場合は、「
CA APM トランザクション定義ガイド
」を参照してください。