ユーザ ロール

PAM で操作を実行するには、さまざまな製品機能に関連する権限のセットを定義する、1 つまたは複数のユーザ ロールに各ユーザを割り当てる必要があります。
capam32
HID_ManageRolesPanel
CA Privileged Access Manager
で操作を実行するには、さまざまな製品機能に関連する権限のセットを定義する、1 つまたは複数の
ユーザ ロール
に各ユーザを割り当てる必要があります。 多くの使用可能な事前定義済みのロールは、ほとんどの要件を満たしている必要があります。 デフォルトでは、新規ユーザは
標準ユーザ
ロールに割り当てられ、これによりデバイスにアクセスできます。 管理者にはより多くの権限を持つロールを割り当てます。 カスタム ロールを作成して、独自の要件に一致するように権限を割り当てることもできます。
[ユーザ]
-
[ロール]
画面からロールを管理します。
2
認証情報の管理権限
このコンテンツは、デバイスおよびアプリケーションへの特権アクセスをプロビジョニングするためのユーザ ロールをカバーします。 認証情報マネージャ ロールの詳細については、「認証情報マネージャ ロールの追加または変更」を参照してください。 ただし、認証情報マネージャの管理者権限を必要とするユーザには、
認証情報の管理
権限を持つユーザ ロールを割り当てる必要があります。 以下の事前設定済みのユーザ ロールは、認証情報の管理権限を提供します。
  • グローバル管理者
  • 運用管理者
  • パスワード マネージャ
また、デフォルトでは、ユーザは「標準ユーザ」ロールに割り当てられ、
暗黙的に
認証情報マネージャ グループの「標準ユーザ」に割り当てられます。 (「標準ユーザ」は
[認証情報マネージャ グループ]
タブには表示されません)。 「標準ユーザ」認証情報マネージャ グループのメンバシップは、
[アクセス]
ページ上でアカウント パスワードを表示する権限を提供します。 ただし、ユーザに「認証情報の管理」権限を持つ任意のロール(たとえば「パスワード マネージャ」)が割り当てられると、そのユーザは「標準ユーザ」認証情報マネージャ グループから削除され、
[アクセス]
ページでパスワードを表示することはできません。パスワード表示権限を提供する方法については、「アクセス画面上でパスワードを表示する認証情報の管理権限をユーザに設定する」を参照してください。
ユーザが認証情報マネージャの「システム管理者グループ」を管理する必要がある場合は、このユーザまたはこのユーザが属するユーザ グループにグローバル管理者ロールを追加します。 このシナリオでのカスタム ロールの使用するはサポートされていません。
ユーザ ロールおよび権限の特定
CA Privileged Access Manager
 では、事前設定済みのユーザ ロールのセットが提供されています。 利用可能なユーザ権限のセットから自分のロールを設定することもできます。
事前定義済みロール
この製品では、事前定義済みのロールのセットが提供されています。 これらのロールを表示するには、
[ユーザ]
-
[ロール管理]
を選択します。 このセットは、さまざまな一般的なアクティビティを実行するのに必要な権限を含んでいます。 ロールは、ユーザおよびユーザ グループに対して、その作成および編集の間に割り当てられます。 詳細については、「ユーザの設定」を参照してください。
以下の表に、事前定義済みのロールを示します。
ロール
説明
権限
監査管理者
ユーザに管理ページ(サービス、ユーザ、デバイス、ポリシー)の読み取り専用アクセスを許可します。
servicesRead、usersRead、userGroupRead、socketFilterAgentRead、devicesRead、deviceGroupRead、policyRead、socketFiltersRead、commandFiltersRead、rolesRead
監査担当者
ユーザが
Symantec PAM
ログ、セッション記録、およびレポート データを表示できるようにします。 監査担当者には、ログ データに影響を与える設定を調査するための、全体設定への読み取り専用アクセス権があります。
overviewRead、loggingAll、sessionRecordingRead、globalSettingsRead
自動ディスカバリ
ユーザがオート ディスカバリ機能を使用してネットワーク デバイスを検索できるようにします。
自動ディスカバリ
AWS API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および AWS API プロキシへのリモート アクセスを許可します。
accessAll、awsApiProxy、manageAll
CA TAP API ユーザ
CA Threat Analytics が外部 API を使用するために必要なすべての権限。
accessAll、BAPApiManage、devicesRead、usersRead、sessionManage
環境設定マネージャ
ユーザが[全体設定]を行い、すべての[設定]タブにアクセスできるようにします。
globalSettingsRead、globalSettingsManage、configurationManage
委任管理者
すべてのユーザ、デバイス、および Policy Manager のタスクを実行する権限をユーザに与える、統合されたユーザ ロールです。
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
デバイスおよびデバイス グループ マネージャ
ユーザにすべてのデバイス タイプの読み取り、作成、更新、および削除を許可します。
socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate
グローバル管理者
すべてへのアクセスと、すべての
CA Privileged Access Manager
機能の設定を許可します。
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、configurationManage、rolesRead、autodiscovery、credentialsManage
credentialsManage 権限を持つロールについては、この重要な注意事項を参照してください。
全体設定担当者
ユーザが[全体設定]を行うことを許可します。
globalSettingsRead、globalSettingsManage
管理コンソール API ユーザ
CA 管理コンソール API (内部使用限定)へのユーザ アクセスを許可します。
managementConsole
監視
デバイスをモニタすることを許可します。
monitorAll
運用管理者
設定管理なしですべての
Symantec PAM
管理機能へのアクセスを許可します。
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、rolesRead、autodiscovery、credentialsManage
credentialsManage 権限を持つロールについては、この重要な注意事項を参照してください。
パスワード マネージャ
ユーザに認証情報マネージャの設定を許可します。
credentialsManage
credentialsManage 権限を持つロールについては、この重要な注意事項を参照してください。
Policy Manager
ユーザに、すべてのポリシー、ソケットとコマンドのフィルタ、およびエージェントの、読み取り、作成、更新、および削除を許可します。
socketFilterAgentRead、socketFilterAgentDelete、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
サービス マネージャ
ユーザにサービスの読み取り、作成、更新、および削除を許可します。
servicesRead、servicesManage、servicesDelete
セッション マネージャ
ユーザに
Symantec PAM
ログインおよびリモート アクセスの表示と停止を許可します。
sessionRead、sessionManage
標準ユーザ
ユーザにリモート デバイスのアクセスと管理を許可します。
accessAll、manageAll
トラブルシューティング担当者
ユーザに
[設定]-[ツール]
ページへのアクセスを許可します。
toolsAll
ユーザおよびユーザ グループのマネージャ
ユーザにすべてのユーザ タイプの読み取り、作成、更新、および削除を許可します。
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval
VMware NSX API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および VMware NSX API プロキシへのリモート アクセスを許可します。
accessAll、manageAll、nsxApiProxy
権限の定義
事前定義済みロールのセットに加えて、管理者はカスタム ロールを作成することもできます。 以下の表に示すように、利用可能な権限のリストから選択することにより、カスタム ロールを作成します。
ロール権限
可能なアクション
標準ユーザ
accessAll
アクセス ページを使用してリモート マシンに接続する。
manageAll
デバイスの管理ページを使用して、リモート マシンのパワー サイクリングなどのアクションを実行する。
モニタリング
monitorAll
モニタ ページを使用して、リモート デバイスのステータスを表示する。
セッション
sessionRead
セッション/ログインの管理のページを閲覧する。
sessionManage
セッション/ログインの管理のページを使用して、セッションおよびログインを終了する。
overviewRead
デバイス、帯域外デバイス、および接続を確認する。
ツール
toolsAll
Ping や Traceroute などの設定ツールを使用する。
ログ/記録
loggingAll
ログ ページを閲覧し、レポートを実行する。
sessionRecordingRead
セッション記録を再生する。
全体設定
globalSettingsRead
グローバル設定の参照
globalSettingsManage
全体設定を変更する。
サービス
servicesRead
すべてのタイプ(TCP、RDP アプリケーション)のすべてのサービスの詳細を参照する。
servicesManage
すべてのタイプ(TCP、RDP アプリケーション)の任意の既存サービスを追加または変更する。
servicesDelete
すべてのタイプの任意の既存サービスを削除する。
ユーザ
usersRead
すべてのユーザの詳細を参照する。 ユーザのエクスポートを許可する。
usersManage
ユーザの作成または変更を行う(エクスポートを含む)。 ユーザのインポートを許可する。
usersDelete
LDAP ユーザではない任意のユーザを削除する。
usersAssign
ユーザをユーザ グループに割り当てる、またはユーザ グループをユーザに割り当てる。
userGroupRead
ユーザ グループの詳細を参照する。
userGroupUpdate
既存のユーザ グループを変更するが、メンバシップは変更しない。
cacUserApproval
CAC ユーザ候補を承認する。
rolesRead
ロールおよび権限の定義の読み取り。
ソケット フィルタ
socketFilterAgentRead
ソケット フィルタ エージェントを表示する。
socketFilterAgentDelete
ソケット フィルタ エージェントを削除する。
socketFiltersRead
ソケット フィルタ リストおよび設定の参照。
socketFiltersManage
ソケット フィルタ リストおよび設定の変更または削除。
デバイス
devicesRead
パワー ホストおよびコンソールを含む、すべてのデバイスの詳細を参照する。 エクスポートの許可。
devicesManage
デバイスとそのメンバシップの作成および変更。 インポートの許可。
devicesDelete
任意のデバイスを削除する。
devicesAssign
デバイスをデバイス グループに、またはデバイス グループをデバイスに割り当てる。
deviceGroupRead
デバイス グループの詳細を参照する。
deviceGroupUpdate
既存のデバイス グループを変更するが、メンバシップは変更しない。
自動ディスカバリ
ネットワーク上のデバイスを見つける。
ポリシー
policyRead
ポリシーの参照。 エクスポートは許可しない。
policyManage
ポリシーの変更または削除。 インポートは許可しない。
policyImport
すべての種類の関連付けのインポート。
policyExport
すべての種類の関連付けのエクスポート。
コマンド フィルタ
commandFiltersRead
コマンド記録のリストおよび設定の参照。
commandFiltersManage
コマンド フィルタ リストおよび設定の変更または削除。
設定
configurationManage
アクセス設定タブの使用。
パスワード
credentialsManage
パスワード連鎖の認証情報定義の作成および更新。
API
awsApiProxy
AWS (Amazon Web Services) API プロキシへのアクセスを許可します。
BAPApiManage
CA Threat Analytics API を管理します。
managementConsole
管理コンソール API を管理します。
nsxApiProxy
VMware NSX API プロキシへのアクセスを許可します。
ユーザ ロール ケース
制限付き管理でのユーザ権限割り当ての拡張
グローバル管理者より下のロールの
CA Privileged Access Manager
 管理者には、標準ユーザ ロールやモニタ ロールより上のユーザの作成や更新が制限されていました。 したがって、管理者は自分のプロファイルや、自分の権限より上の権限を持つほかのユーザのプロファイルを更新できませんでした。 この機能は「制限付き管理」と呼ばれます。
制限付き管理の以前の実装は「委任管理」とも呼ばれていました。 しかし、この機能名は関係のない委任管理者ロールと間違えやすいものでした。
CA Privileged Access Manager
のドキュメントでは「委任管理」という用語は使われなくなりました。
制限付き管理が微調整されて、自分の権限より下の権限セットを完全に割り当てることができるようになりました。 グローバル管理者より下の管理者は、標準ユーザ ロールやモニタ ロールでなくても、自分の権限以下の権限を含む事前定義済みロールやカスタム ロールを割り当てることができるようになりました。 反対に、制限付き管理は、適用可能な権限を越えるロール、グループ、およびその他のオブジェクトの割り当てを防止します。
CA Privileged Access Manager
 プロビジョニングでのユーザ権限割り当ての拡張
2 つの地理的な場所、ネットワーク ロケーション、または地域で維持されているデバイス群があるとします。 各地域の管理者が自ら担当するユーザとデバイスのみを管理できるように、委任管理者権限を管理者に割り当てます。 一方で、2 つの地域のすべてのデバイスを管理するデバイス/グループ マネージャ ロールをユーザ グループに割り当てます。
これらの 2 人の管理者のいずれかがユーザを作成するときに利用できるオプションは制限されます。 委任管理者ロールでは、ユーザ/デバイスの範囲内で必要な権限が許可されます。 したがって、この新規ユーザの利用可能なロールは「委任管理者」とそのコンポーネント(「デバイス/グループ マネージャ」、「ポリシー マネージャ」、「ユーザ/グループ マネージャ」)、および一般的な「標準ユーザ」です(この管理者がデバイスまたは認証情報アクセス アクティビティも実行する場合)。
一方で、使用可能なグループのリストには、この
CA Privileged Access Manager
アプライアンスに存在するすべてのユーザ グループが特定されます。 「DeviceManagers」グループは dim であり、この管理者によって管理されるデバイスだけでなく、すべてのデバイス管理が許可されます。 これを選択すると上位の権限が許可されることになるため、これを選択することはできません。