CA CEM の CA EEM による認証および許可
目次
apmdevops97jp
目次
CA EEM の基本事項を理解するには、「CA EEM による Introscope のセキュリティ保護」を参照してください。
CA CEM のセキュリティに CA EEM をデプロイする場合、認証と許可は CA EEM サーバで行われます。CA EEM による許可は、セキュリティ ユーザ グループのメンバシップではなく、アクセス ポリシーに基づいています。CA EEM 内では、アクセス ポリシーは、リソース クラス、リソース、および権限(読み取りや書き込みなど)の 3 つの要素で構成されます。
注:
CA EEM では、権限はアクションと呼ばれます。以下のトピックでは、CA CEM 固有のデフォルト リソース クラス、リソース、およびアクセス ポリシーについて説明します。CA APM には、デフォルトの CA APM アプリケーションを登録し、CA CEM のグローバル ユーザ、アプリケーション固有のユーザ、セキュリティ ユーザ グループ、リソース クラス、およびリソース クラスのアクセス ポリシーを作成する、CA EEM Safex スクリプトが用意されています。
CA EEM での CA CEM ユーザおよびグループの管理
CA CEM のセキュリティは CA EEM アクセス ポリシーに基づいています。このポリシーは、特定のユーザおよびアプリケーション固有のユーザ グループに適用されます。
標準的な CA CEM ユーザおよびグループを提供する APM アプリケーションを設定するには、Safex スクリプトの eem.register.app.xml および eem.add.global.identities.xml を実行することをお勧めします。これらの Safex スクリプトによって、グローバル ユーザ、グローバル ユーザ グループ、および APM アプリケーション固有のユーザ グループが作成されます。
CA EEM 内で CA CEM ユーザは CA CEM の 4 つのデフォルト セキュリティ グループ(CEM システム管理者、CEM 構成管理者、CEM アナリスト、または CEM インシデント アナリスト)のいずれかに属することができますが、強制ではありません。CA CEM ユーザは、HR 管理者グループなど、定義した新しいグループに属することができます。デフォルトの CA CEM のセキュリティ ユーザ グループの詳細については、「デフォルトの CA CEM のセキュリティ ユーザ グループに関連付けられるメニュー項目と権限」を参照してください。
CA CEM ユーザおよびグループは、作成、追加、変更、または削除できます。また、CA CEM ユーザを有効または無効にすることもできます。
重要:
CEM コンソールを使用している CA APM ユーザが Introscope Investigator データを表示するには、APM のセキュリティ ユーザ グループ 1 つと、CA CEM のセキュリティ ユーザ グループ 1 つの両方に含まれている必要があります。たとえば、APM ゲスト グループと CEM アナリスト グループといった組み合わせがあります。詳細については、「CA EEM Introscope ユーザに対する CEM コンソール アクセス権の付与」または「ローカル Introscope ユーザに対する CEM コンソール アクセス権の付与」を参照してください。CA CEM ユーザを追加、変更、または削除する方法
- 「CEM でのユーザおよびグループ」で説明されている方法のいずれかを使用して、CA CEM ユーザを追加、変更、削除します。
CA CEM のセキュリティ ユーザ グループを追加、変更、または削除する方法
- CA CEM のセキュリティ ユーザ グループを追加、変更、削除する方法は、「CEM でのユーザおよびグループ」に説明されています。
CA CEM ユーザを有効または無効にする方法
- CA EEM 内の APM アプリケーションにログインします。
- CA EEM ログイン ページで、[アプリケーション]ドロップダウン リストから[APM]を選択します。
- ログイン名とパスワードを入力します。
EiamAdminです。 - [ID の管理]タブに移動します。
- [ユーザの検索]ボックスで、[アプリケーション ユーザの詳細]を選択し、[実行]をクリックします。
- [ユーザ]ボックス ツリーで APM ユーザ名をクリックします。
- ユーザ情報が表示されたら、[認証]ボックスで以下のどちらかを実行します。
- [再開日]の右側にあるカレンダをクリックします。
- [停止日]の右側にあるカレンダをクリックします。
- 有効化または無効化のアクションが行われる日付と時刻を選択し、[OK]をクリックします。
- [保存]をクリックします。詳細については、「CA Embedded Entitlements Manager Online Help」を参照してください。
CA EEM 内の CA CEM リソース クラスについて
CA CEM の許可に CA EEM を使用する場合は、CA CEM のセキュリティ ユーザ グループが表示できる CEM コンソール タブを決定するためのアクセス ポリシーを設定します。リソース クラスはアクセス ポリシーの必須要素です。各リソース クラスには権限が関連付けられます。CA EEM では権限のことをアクションと呼びます。
以下の表に、CA CEM のデフォルト リソース クラスに関連付けられるアクションを示します。
CA CEM リソース クラス | デフォルト アクション |
ビジネス アプリケーション | 書き込み |
ビジネス サービス | 書き込み 読み取り 機密データの読み取り |
インシデント | 書き込み |
レポート | 書き込み |
サーバ | 書き込み |
システム管理設定 | 書き込み |
システム セキュリティ設定 | 書き込み |
ユーザ グループ | 書き込み |
Web サービス | 許可 |
アクセス ポリシー | 書き込み |
リソース クラスに[書き込み]アクションが関連付けられているとき、そのリソース クラスへのアクセス権を与えられた CA CEM ユーザまたはグループの CEM コンソール メニューには、関連するタブが表示されます。たとえば、ビジネス アプリケーション リソース クラスによって、CA CEM ユーザの CEM コンソールには、[管理]-[ビジネス アプリケーション]が表示されます。
ビジネス サービス リソース クラスには、Setting the security groups for new business services。ビジネス サービスに対する
機密データの読み取り
権限を持っている CA CEM ユーザは、その特定のビジネス サービスの障害に加えられた HTTP ヘッダ情報を表示できます。ビジネス サービス リソース クラスは、CA CEM ユーザが TIM およびエージェント記録へのアクセス権を持っているかどうかも決定します([管理]-[記録セッション])。1 つ以上のビジネス サービスに対する書き込み権限を持っているユーザは、[記録セッション]タブにアクセスできます。
Introscope 固有のリソース クラスについて
デフォルトの CA APM アプリケーションは、CA CEM リソース クラスに加え、Introscope 固有の 2 つのリソース クラスを備えています。
- ドメイン: Introscope ユーザに対し、Introscope 固有のドメイン(スーパードメインなど)を表示する権限を与えます。注:これは[CEM]-[設定]-[ドメイン]の機能とは関係ありません。
- サーバ: Introscope ユーザに対し、Enterprise Manager を起動および停止する権限を与えます。
これらのリソース クラスを編集または削除しないでください。
CA EEM 内の CA CEM リソースについて
デフォルトの CA APM アプリケーションは CA CEM リソースを必要としません。CA EEM 内では、リソース クラスは関連するリソースを持たないか、1 つ以上持つことができます。
ただし、CA CEM には、ビジネス サービス リソース クラスのリソースを作成する機能があります。作成するビジネス サービス リソースは、組織に固有のものになります。ビジネス サービス リソースを作成するときは、各ビジネス サービスに 1 つ以上のアクセス ポリシーを関連付けます。CA EEM 内の CA CEM リソースを編集することもできます。
CEM コンソールまたは CA EEM 内では、ビジネス サービスを設定できます。ビジネス サービスのデフォルト アクセス ポリシーの詳細については、「デフォルトの CA EEM CEM アクセス ポリシー」を参照してください。新しいビジネス サービスの作成については、「」を参照してください。
さらに、固有のアクセス ポリシーを持つ CA EEM 内で CA CEM リソースを作成しなければならない場合もあります。特定のビジネス サービス リソースの権限を、特定の CA CEM ユーザおよびセキュリティ ユーザ グループに制限したい場合などは、そのようにすることがあります。
重要:
CA EEM 内で新しい CA CEM リソースを作成する場合は、CA EEM 内で定義されている既存の CA CEM リソース クラスおよびアクセス ポリシーを使用する必要があります。新しいリソースを定義するには、「デフォルトの CA EEM CEM アクセス ポリシー」で説明しているとおり、新しいアクセス ポリシーを定義します。
デフォルトの CA EEM CEM アクセス ポリシー
CA EEM 内では、アクセス ポリシーは、アプリケーション固有のリソース クラスおよびリソースのアクセス ルールを定義します。
警告: Introscope 管理者でない限り、CA EEM 内に表示されるドメインとサーバのアクセス ポリシーを変更または削除しないでください。これらは Introscope 専用のアクセス ポリシーです。
CA EEM 内では、アクセス ポリシーは、リソース クラス、リソース、およびアクションの 3 つの要素で構成されます。
デフォルトの CA CEM アクセス ポリシーは、標準的な CA CEM のセキュリティ ユーザ グループに対し、CEM コンソールのメニューと権限を提供します。詳細については、「デフォルトの CA CEM のセキュリティ ユーザ グループに関連付けられるメニュー項目と権限」を参照してください。
<EM_Home>
/examples/authentication ディレクトリにある Safex スクリプト ファイルの eem.register.app.xml を実行することをお勧めします。Safex スクリプトを実行して APM アプリケーションを設定するときのために、CA Technologies では、以下に示すとおり、APM アプリケーション用のデフォルトの CA CEM アクセス ポリシーを用意しています。CA CEM アクセス ポリシー | 説明 | リソース クラス/アクション | 付与されるセキュリティ ユーザ グループ |
Web サービス - 許可 | CEM システム管理者グループは、Web サービスに関する情報を表示できます | Web サービス/許可 | CEM システム管理者 |
ユーザ グループ - 書き込み | CEM システム管理者グループおよび CEM システム構成管理者グループは、[管理]-[ユーザ グループ]タブ上で実行できるすべてのアクティビティ用の書き込み権限を持ちます | ユーザ グループ/書き込み | CEM システム管理者 CEM 構成管理者 |
システム セキュリティ設定 | CEM システム管理者グループは、[システム セキュリティ設定]下のすべてのリソースに対する書き込み権限を持ちます | システム セキュリティ設定/書き込み | CEM システム管理者 |
システム構成設定 - 書き込み | CEM システム管理者グループおよび CEM 構成管理者グループは、[システム構成設定]下のすべてのリソースに対する書き込み権限を持ちます。 | システム構成設定/書き込み | CEM システム管理者 CEM 構成管理者 |
システム構成設定 - 包括的な障害詳細をキャプチャ | CEM システム管理者グループは、[包括的な障害詳細をキャプチャ]チェック ボックスに対する書き込み権限を持ちます。 | システム構成設定/包括的な障害詳細をキャプチャ | CEM システム管理者 |
システム管理設定 - 書き込み | CEM システム管理者グループは、[システム管理設定]下のすべてのリソースに対する書き込み権限を持ちます。 | システム管理設定/書き込み | CEM システム管理者 |
レポート - 書き込み | すべての CEM グループは、すべてのレポートに対する書き込み権限を持ちます。 | レポート/書き込み | CEM システム管理者 CEM 構成管理者 CEM アナリスト CEM インシデント アナリスト |
インシデント - 書き込み | すべての CEM グループは、すべてのインシデントに対する書き込み権限を持ちます。 | インシデント/書き込み | CEM システム管理者 CEM 構成管理者 CEM アナリスト CEM インシデント アナリスト |
ビジネス サービス - 機密データの読み取り | CEM インシデント アナリストグループは、すべてのビジネス サービスに対する機密データの読み取り権限を持ちます。 | ビジネス サービス/機密データの読み取り | CEM インシデント アナリスト |
ビジネス サービス - 読み取り | CEM アナリスト グループおよびインシデント アナリスト グループは、すべてのビジネス サービスに対する読み取り権限を持ちます。 | ビジネス サービス/読み取り | CEM アナリスト CEM インシデント アナリスト |
ビジネス サービス - 読み取り/書き込み | CEM 構成管理者グループは、すべてのビジネス サービスに対する読み取りおよび書き込み権限を持ちます。 | ビジネス サービス/ 書き込み ビジネス サービス/読み取り | CEM 構成管理者 |
ビジネス サービス - すべての権限 | CEM システム管理者グループは、すべてのビジネス サービス機能に対するすべての権限を持ちます。 | ビジネス サービス/ 書き込み ビジネス サービス/読み取り ビジネス サービス/機密データの読み取り | CEM システム管理者 |
ビジネス アプリケーション - 書き込み | CEM システム管理者グループおよび CEM 構成管理者グループは、すべてのビジネス アプリケーションに対する書き込み権限を持ちます。 | ビジネス アプリケーション/書き込み | CEM システム管理者 CEM 構成管理者 |
アクセス ポリシー - すべての権限 | CEM システム管理者グループおよび CEM 構成管理者グループは、すべてのアクセス ポリシーに対するすべての権限を持ちます。 | アクセス ポリシー/書き込み アクセス ポリシー/読み取り | CEM システム管理者 CEM 構成管理者 |
CA CEM ビジネス サービスのデフォルトのアクセス ポリシーについて
CA CEM の許可に CA EEM をデプロイした場合、CA EEM 内でアクセス ポリシーを作成および変更できます。また、CEM コンソールの[アクセス ポリシー]タブを使用して、ビジネス サービスに関連付けられた CA CEM アクセス ポリシーを追加、変更、または削除できます。
CA CEM の[アクセス ポリシー]タブを使用して CA CEM アクセス ポリシーを追加または変更する場合は、以下のことが該当します。
- アクセス ポリシーリソース クラスへの書き込み権限が必要です。
- CEM コンソールを使用してアクセス ポリシーを管理することによって、個々の APM ユーザではなく、APM アプリケーション セキュリティ ユーザ グループに限定して、権限の付与または取り消しが可能になります。
- 「CA EEM での CA CEM アクセス ポリシーの更新」で説明しているとおり、アクセス ポリシーを直接変更することもできます。
- CA CEM は、アクセス ポリシーの変更を CA EEM に直接送信して格納します。
デフォルトのビジネス サービス アクセス ポリシーを作成または編集するか、新しいビジネス サービスに関連付ける場合は、「CA APM トランザクション定義ガイド」を参照してください。