アプリケーション問題切り分けマップのセキュリティ保護

Introscope で CA EEM による許可をデプロイしている場合、アプリケーション問題切り分けマップにフロントエンドとビジネス サービスを表示するためのユーザ権限を設定できます。権限を設定するには、Safex スクリプトを実行するか、CA EEM 内で、ビジネス アプリケーション(フロントエンド)およびビジネス サービス リソースに対して任意の権限(書き込み、読み取り、または機密データの読み取り)を指定します。
apmdevops97jp
アプリケーション問題切り分けマップのセキュリティのデプロイ
Introscope で CA EEM による許可をデプロイしている場合、アプリケーション問題切り分けマップにフロントエンドとビジネス サービスを表示するためのユーザ権限を設定できます。権限を設定するには、Safex スクリプトを実行するか、CA EEM 内で、ビジネス アプリケーション(フロントエンド)およびビジネス サービス リソースに対して任意の権限(書き込み、読み取り、または機密データの読み取り)を指定します。
セキュリティに CA EEM を使用しない場合、ユーザは、アプリケーション問題切り分けマップにすべてのビジネス アプリケーションとビジネス サービスを表示できます。セキュリティに CA EEM をデプロイするが、関連するアクセス ポリシーで CA EEM ビジネス アプリケーションおよびビジネス サービス リソースとして特定のフロントエンドやビジネス サービスを追加
しない
場合も同様です。CA EEM ビジネス アプリケーションおよびビジネス サービス リソースの詳細については、「CA EEM での APM リソース クラスの作成と削除」を参照してください。
ドメイン セキュリティはフロントエンドおよびビジネス サービス マップ セキュリティに加えて、アプリケーション問題切り分けマップに適用されます。また、スーパードメイン セキュリティは、すべてのフロントエンドおよびビジネス サービス セキュリティに優先します。ドメイン セキュリティによって、ユーザとグループが表示を許可されるエージェント データが制限されます。詳細については、「スーパードメインのセキュリティは、アプリケーション問題切り分けマップのセキュリティに優先する」を参照してください。
eem.register.app.xml スクリプトを実行して デフォルトの CA APM アプリケーションを設定する場合、スクリプトで、以下に説明するビジネス サービスおよびビジネス アプリケーション(フロントエンド)のリソース クラスとアクションが提供されます。詳細については、「CA EEM による許可の構成」を参照してください。
アプリケーション問題切り分けマップのセキュリティをデプロイするには、CA EEM 内で以下の高レベルの手順を実行します。
  1. ユーザ グループとユーザを定義します。
    APM グループおよびAPM ユーザのサンプル スクリプトを使用できます。
  2. ユーザ、グループ、および権限(CA EEM 内のアクション)に基づいてアクセス ポリシーを作成します。
    サンプル スクリプトについては、「CA EEM のアクセス ポリシーについて」を参照してください。
  3. 各アクセス ポリシーをリソース クラスに関連付けます。その後で、特定のリソースをアクセス ポリシーに追加して、ポリシーをさらに制限できます。
  4. 個々のビジネス サービスとビジネス アプリケーション、およびビジネス サービスとビジネス アプリケーションのリソース クラスをポリシーに追加します。
    注:
    個々のビジネス サービスおよびビジネス アプリケーションを、それぞれに対応するビジネス クラスのメンバとして定義する必要はありません。
詳細については、「CA EEM での APM リソース クラスの作成と削除」の以下の手順を参照してください。
  • アプリケーション問題切り分けマップのセキュリティを提供するビジネス サービス リソース クラスの権限を決定します。
  • フロントエンドに対してアプリケーション問題切り分けマップのセキュリティを提供するビジネス アプリケーション リソース クラスの権限を決定します。
注:
  • ビジネス サービスおよびビジネス アプリケーション(フロントエンド)の場合、ユーザは付与される権限によって、アプリケーション問題切り分けマップを表示するためのアクセス権が提供されます。
  • ビジネス サービスまたはビジネス アプリケーションを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。
  • リソースが指定されていないビジネス サービスまたはビジネス アプリケーション ポリシーは、そのビジネス サービスまたはビジネス アプリケーション リソース クラス内のすべてのリソースに適用されます。
フロントエンドを CA EEM ビジネス アプリケーション リソースとして追加し、そのフロントエンドをアプリケーション問題切り分けマップに表示する権限を、関連するビジネス アプリケーション リソース クラスのユーザまたはグループに与えないとします。その場合、ユーザまたはグループの問題切り分けマップ ツリーにフロントエンドは表示されません。これは、ビジネス サービスにも当てはまります。ビジネス サービスも、ユーザが権限を与えられない限り、ツリーに表示されません。ただし、ユーザが権限を与えられていないフロントエンドが、ビジネス サービスによって呼び出される場合、あるいはユーザまたはグループが表示を許可されている別のフロントエンドによって呼び出される場合、そのフロントエンドはマップに表示されます。しかし、以下の制約があります。
  • 無効の状態で表示される
  • 選択できない
  • 依存関係またはメトリック データが表示されない
ただし、ユーザとグループは、このフロントエンドに関する個々のエージェント データをメトリック ブラウザ ツリーで表示できます。
重要:
スーパードメイン権限を持っているユーザは、アプリケーション問題切り分けマップにフロントエンドとビジネス サービスを表示することを許可されます。詳細については、「スーパードメインのセキュリティは、アプリケーション問題切り分けマップのセキュリティに優先する」を参照してください。
Safex スクリプトを使用してアプリケーション問題切り分けマップの権限を設定する手順については、以下を参照してください。
スーパードメインのセキュリティによるアプリケーション問題切り分けマップのセキュリティの上書き
ドメイン セキュリティはフロントエンドおよびビジネス サービス マップ セキュリティに加えて、アプリケーション問題切り分けマップに適用されます。ドメイン セキュリティによって、ユーザとグループが表示を許可されるエージェント データが制限されます。ドメイン セキュリティの詳細については、「Introscope ドメインの定義と構成」および「domains.xml での Introscope ドメイン権限の構成」を参照してください。
[問題切り分けマップ]タブでは、ドメイン セキュリティによって、ユーザとグループが以下で表示するエージェントが制限されます。
  • アプリケーション問題切り分けマップの下の、物理的な位置のリスト内にあるエージェントのリスト
  • 表示される任意のメトリックの下の、物理的な位置のリスト内にあるエージェントのリスト これらは、問題切り分けマップ ツリーのサブノードが選択されているときに表示されます。たとえば、[稼働状況]ノードや個々のメトリック ノードです。
スーパードメイン
のセキュリティは、アプリケーション問題切り分けマップのセキュリティに優先します。つまり、任意の領域(ローカルまたは EEM)で
スーパードメイン
のアクセス権を与えられているユーザは、ビジネス サービスとビジネス アプリケーションの読み取り権限が付与されていなくても、アプリケーション問題切り分けマップにフロントエンドとビジネス サービスをすべて表示できます。
たとえば、Introscope が、A、B および C の 3 つのフロントエンドをモニタリングしているとします。Tai という名前の Introscope ユーザにフロントエンド A のみの表示を許可します。Tai には、
スーパードメイン
の ドメイン権限があり、すべてのエージェントを表示するアクセス権が付与されます。この場合、Tai は、アプリケーション問題切り分けマップおよび Investigator ツリーの両方で 3 つのフロントエンドをすべて表示できます。