ユーザ グループの設定

同様の属性を持つユーザを結合するには、ユーザ グループを定義します。 ユーザ グループにより、変更の管理がしやすくなります。 各ユーザは、1 つ以上のユーザ グループのメンバにすることができます。 ユーザ グループの設定は、同じ個別のユーザ設定をオーバーライドします。
capam33
HID_UserGroupsPanel
同様の属性を持つユーザを結合するには、ユーザ グループを定義します。 ユーザ グループにより、変更の管理がしやすくなります。 各ユーザは、1 つ以上のユーザ グループのメンバにすることができます。 ユーザ グループの設定は、同じ個別のユーザ設定をオーバーライドします。
以下のセクションでは、ユーザ グループのタイプおよびグループを設定する方法について説明します。
2
ユーザ グループのタイプ
  • ユーザ グループのアクセス
    ユーザ グループのアクセスは、ユーザの静的コレクションです。 (アクセス)ロールおよびアクセス時間などのいくつかのユーザ属性は、グループ レベルで割り当てられます。
  • 認証情報マネージャ ユーザ グループ
    認証情報マネージャ ユーザ グループは、動的に決定されます。 ユーザ グループは、認証情報マネージャ ロールと、現在のユーザ セットのターゲット グループまたはリクエスト グループに基づきます。
    [ポリシー]
    [パスワードの管理]
    [ユーザ]
    [ユーザ グループ]
    の順に移動して、これらのユーザ グループを作成します。
  • ローカル グループ
    ローカル グループは、ローカル ユーザのコレクションです。
認証情報マネージャのユーザ グループとアクセス ユーザ グループを混同しないでください。 ユーザ グループおよびロールは、2 つの異なる場所で指定されます。1 つは汎用的に使用され、もう 1 つは資格情報マネージャ専用です
UI テンプレートを使用したグループの作成
ローカル ユーザで構成されるユーザ グループを作成するには、UI テンプレートを使用します。 テンプレートの各部分での手順について説明します。
基本情報の設定
以下の手順に従います。
  1. 適切な管理者としてログインします。
  2. [ユーザ]
    -
    [ユーザ グループ管理]
    を選択します。
    ユーザ グループは、必ず 1 つの認証方式に限定されます。
  3. [追加]
    を選択して、ローカル グループまたは SAML グループを作成します。
    RADIUS、TACACS+、および LDAP グループについては、関連する手順を参照してください。
  4. [基本情報]
    タブのフィールドに入力します。 以下の情報に注意してください。
    • グループ名:
      ダブルバイト文字が許可されています。
    • アプレット記録の警告:
      アプレット(SSH や RDP など)セッションが記録されているという通知を表示するには、このオプションを
      [はい]
      に設定します。 (このオプションは、TCP/UDP と RDP のサービス セッションでは無視されます。)たとえば、グループのメンバであるユーザが SSH アプレット コンソールを開いたときに、ウィンドウのタイトル バーおよびコンソールの最初の行に次の警告が表示されます: 「
      警告: モニタされています。
      」  
      関連する
      [レコーディング警告を表示]
      設定(
      [設定]
      -
      [全体設定]
      ページの
      [警告]
      タブ)は、
      [アプレット記録の警告]
      が有効になっているグループのメンバであるユーザによって開始されたアプレット セッションに対しては無視されます。 全体に設定された
      [レコーディング警告を表示]
      は、どのグループのメンバでもないユーザによって開始されたアプレット セッションと、
      すべて
      の TCP/UDP および RDP サービス セッションに対して適用されます。
LDAP ディレクトリからユーザ グループをインポートする場合、グループ名は以下の形式になります。
  • Active Directory から: LDAPsourceGroupName + "@" +
    LDAP_domain。 LDAP_Domain
    は、LDAP ドメイン設定(
    [設定]
    -
    [サード パーティ]
    -
    [LDAP]
    )の
    [バインド認証情報]
    フィールドのベース DN です。
  • OpenLDAP など、他の LDAP ディレクトリ サーバから: LDAPsourceGroupName
また、
[説明]
フィールドは以下の形式になります: "LDAP Group" + LDAPsourceGroupName + "from" + LDAPsourceDistinUIshedName
管理設定
[管理]セクションでは、ユーザの認証方法を指定します
以下の手順に従います。
  1. [管理]を選択します。
  2. [認証]フィールドで、ドロップダウン リストからオプションを選択します。 利用可能なオプションは、どのタイプのグループを作成(ローカル、RADIUS、またはインポートされた LDAP)するかによって異なります。
    認証方法に SAML を選択する場合、ユーザは SAML アサーションで認証されます。 SAML 属性は、ユーザ プロビジョニング ソースに依存します。
    Active Directory の場合
    • DistinUIshed 名
    • ユーザ プリンシパル名
    • SAM アカウント名
    OpenLDAP やその他の LDAP ディレクトリ:
    • DistinUIshed 名
    • 一意の属性
    認証方法がローカル、RADIUS、または PKI の場合
    • ユーザ名
  3. ユーザが CA PAM クライアントからサーバにアクセスする場合、ログインを許可する IP アドレスの範囲を入力します。 各アドレスは、スペース、カンマ、セミコロン、または改行で区切ります。 例: 192.0.2.0/28,192.0.3.234/32
    許可されている IP アドレスの形式は次のとおりです。
    • 単一の IP: 192.0.2.1
    • CIDR: 192.0.2.0/28
    • 範囲: 192.0.2.1-32
    このフィールドが空の場合は、IP アドレス制限は適用されません。 ユーザ定義は、ユーザ グループの定義をオーバーライドします。 ユーザ ポリシーが定義されていない場合でも、そのユーザが異なるルールを持つ複数のユーザ グループのメンバである場合は、そのグループのアクセス権限は追加されます(制限が少ない)。
    Symantec PAM
    サーバがプロキシ、ロード バランサ、またはルータなどのネットワーキング デバイスの背後に配置されている場合、デバイスによって X-Forwarded-For HTTP ヘッダの IP スプーフィングが防止されていることを確認します。
ユーザ グループのロールの定義
1つのグループに複数のロールを割り当てることができます。 標準ユーザはデフォルト ロールです。
グローバル管理者、運用管理者、またはパスワード マネージャのロールを割り当てるには、これらのロールをグループの各ユーザの個別のユーザ レコードに適用します。
以下の手順に従います。
  1. [ユーザの追加]画面で[
    ロール
    ]を選択します。
  2. プラス記号を使用して
    [ロール]
    リストを展開します。
    標準ユーザは、デフォルトで事前に割り当てられたロールです。 このロールではデバイスへのアクセスが許可されています。
  3. 右側にあるプラス記号を選択すると、ロールを指定する新しい行が表示されます。
  4. [ロールを指定してください]
    フィールド内を選択すると、プルダウン リストの矢印が使用可能になります。
    リストには、現在定義されているすべてのロールと一連の事前定義済みロールが表示されます。
    • CA Privileged Access Manager
      管理者は、[使用可能なロール]ドロップダウン リストを使用して、1 つ以上のロールを指定します。 また、このユーザは、ユーザがメンバになっているグループからロールを継承できます。
    • アクセス ロールに認証情報マネージャ権限がある場合、そのロールは([ポリシー]、[パスワードの管理]セクションから)[認証情報マネージャ]メニューにアクセスできます。
      メニューのアクセス範囲を決定するには、認証情報マネージャ ユーザ グループを指定する必要があります。 [認証情報マネージャ グループ]拡張ペインを使用します。
ユーザには「パスワード マネージャ」ロールのみを割り当てないでください。 そのロールには、アクセスのための十分な権限がありません。 標準ユーザのロールを保持し、次にパスワード マネージャのロールを追加して、パスワード管理権限をユーザに付与します。
グループ ログインの期間の指定
グループ内のユーザがサーバにログインできるときの時間ベースのアクセス制限を設定するには、[
アクセス時間
]オプションを選択します。
以下の手順に従います。
  1. [アクセス時間テーブル]
    にエントリを追加します。
  2. [開始]
    および
    [終了]
    テーブル セルにアクセス エントリの日時を指定して、時間のドロップダウン リストを表示します。
  3. [OK]
    を選択して入力内容を保存します。
グループへのユーザの追加
グループを設定した後に、ユーザを追加します。
以下の手順に従います。
  1. グループに追加するユーザの横にあるチェック ボックスを選択します。
  2. 右矢印を選択して、グループを[選択されたユーザ]リストに移動します。
    インポートされた LDAP グループでは、ユーザの追加または削除はできません。 ソース LDAP ディレクトリ内のユーザ レコードを変更します。
  3. [OK]
    を選択します。
ユーザ グループは、Active Directory またはその他のディレクトリ ユーザには使用できません。 代わりに、ユーザをディレクトリおよび
CA Privileged Access Manager
で読み取られた属性でグループ化する必要があります。 ディレクトリ ユーザに対するポリシーの設定は、グループ レベルで実行します。
ユーザ権限の一時的な昇格
ユーザの権限を一時的に昇格させるには、必要な限り、追加の権限を持つユーザ グループに追加します。 ユーザを昇格させる必要がなくなったら、そのユーザ グループから削除するだけです。
RADIUS グループまたは TACACS+ グループの作成
RADIUS サーバまたは TACACS+ サーバからインポートされるユーザ グループを作成することができます。 [RADIUS]ボタンまたは[TACACS+]ボタンをアクティブにするには、最初に RADIUS サーバまたは TACACS+ サーバの
CA Privileged Access Manager
へのアクセスを設定します。 RADIUS 接続の設定手順については、「RADIUS または TACACS+」を参照してください。
以下の手順に従います。
  1. 該当するボタンをクリックして、テンプレートを開きます。
    • RADIUS グループの作成
    • TACACS+ グループの作成
  2. テンプレートの各セクションに入力します。 手順は、ローカル ユーザ グループの作成とほぼ同じです。
    RADIUS グループまたは TACACS+ グループ内のユーザを検索するには、指定する各
    グループ名が、RADIUS サーバまたは TACACS+ サーバの対応するグループ名または ID に一致している必要があります。
    CA Privileged Access Manager
    は、設定済みのグループ化を使用してユーザを管理します。
     
    GroupID は、RADIUS サーバまたは TACACS+ サーバの対応するグループと一致している必要があります。 ユーザが保持しているすべての権限は、そのユーザのグループから派生します。 ローカル アカウントを持つユーザ、または所属グループが UI 内のグループ名に一致するユーザのみに、アクセスが許可されます。 グループ名については、RADIUS サーバまたは TACACS+ サーバの管理者にお問い合わせください。
    RADIUS グループがプロビジョニングされているが、ユーザが存在しない場合は、シャドウ RADIUS ユーザが作成されます。 シャドウ ユーザは、ユーザ管理画面またはユーザ リストに表示されません。
LDAP グループのインポート
LDAP グループのインポートの詳細については、「LDAP ユーザ グループのインポート」を参照してください。
[ポリシーの管理]ページでの編集
管理者は、[ポリシー管理]ページからユーザ グループ レコードを直接呼び出して編集できます。
  1. [ポリシー]-
    [ポリシー管理]
    ページを開きます。
  2. レコード名を
    [ユーザ(グループ)]
    フィールドに入力します。
  3. 名前をダブルクリックして、シャドウ ボックス ウィンドウに編集用テンプレートを表示します。
  4. 終了したら、
    [保存]
    (または[キャンセル])を選択して
    [ポリシー管理]
    ページに戻ります。
RADIUS 認証を使用した Juniper SA との SAML SSO
RADIUS 認証を使用した Juniper SA との SAML SSO については、「ネットワーク設定」、「SSO」、「Juniper Networks」、「
CA Privileged Access Manager
の設定」を参照してください。
LDAP グループのインポートの詳細については、「LDAP ユーザ グループのインポート」を参照してください。