ユーザ グループの設定

同様の属性を持つユーザを結合するには、ユーザ グループを定義します。ユーザ グループにより、変更の管理がしやすくなります。各ユーザは、1 つ以上のユーザ グループのメンバにすることができます。ユーザ グループの設定は、同じ個別のユーザ設定をオーバーライドします。
capam34
HID_UserGroupsPanel
同様の属性を持つユーザを結合するには、ユーザ グループを定義します。ユーザ グループにより、変更の管理がしやすくなります。各ユーザは、1 つ以上のユーザ グループのメンバにすることができます。ユーザ グループの設定は、同じ個別のユーザ設定をオーバーライドします。
以下のセクションでは、ユーザ グループのタイプおよびグループを設定する方法について説明します。
2
ユーザ グループのタイプ
  • ユーザ グループのアクセス
    ユーザ グループのアクセスは、ユーザの静的コレクションです。(アクセス)ロールおよびアクセス時間などのいくつかのユーザ属性は、グループ レベルで割り当てられます。
  • 認証情報マネージャ ユーザ グループ
    認証情報マネージャ ユーザ グループは、動的に決定されます。ユーザ グループは、認証情報マネージャ ロールと、現在のユーザ セットのターゲット グループまたはリクエスト グループに基づきます。
    [ポリシー]
    [パスワードの管理]
    [ユーザ]
    [ユーザ グループ]
    の順に移動して、これらのユーザ グループを作成します。
  • ローカル グループ
    ローカル グループは、ローカル ユーザのコレクションです。
認証情報マネージャのユーザ グループとアクセス ユーザ グループを混同しないでください。ユーザ グループおよびロールは、2 つの異なる場所で指定されます。1 つは汎用的に使用され、もう 1 つは資格情報マネージャ専用です
UI テンプレートを使用したグループの作成
ローカル ユーザで構成されるユーザ グループを作成するには、UI テンプレートを使用します。テンプレートの各部分での手順について説明します。
基本情報の設定
以下の手順に従います。
  1. 適切な管理者としてログインします。
  2. [ユーザ]
    -
    [ユーザ グループ管理]
    を選択します。
    ユーザ グループは、必ず 1 つの認証方式に限定されます。
  3. [追加]
    を選択して、ローカル グループまたは SAML グループを作成します。
    RADIUS、TACACS+、および LDAP グループについては、関連する手順を参照してください。
  4. 基本情報
    ]タブのフィールドに入力します。以下の情報に注意してください。
    • グループ名:
      ダブル バイト文字が許可されています。
    • アプレット記録の警告:
      アプレット(SSH や RDP など)セッションが記録されているという通知を表示するには、このオプショ
      ンを[はい]
      に設定します。(このオプションは、TCP/UDP と RDP のサービス セッションでは無視されます。)たとえば、グループのメンバであるユーザが SSH アプレット コンソールを開いたときに、ウィンドウのタイトル バーおよびコンソールの最初の行に次の警告が表示されます: 「
      警告: モニタされています
      。」
      関連する
      [レコーディング警告を表示]
      設定(
      [設定]
      -
      [全体設定]
      ページの
      [警告]
      タブ)は、
      [アプレット記録の警告]
      が有効になっているグループのメンバであるユーザによって開始されたアプレット セッションに対しては無視されます。全体に設定された
      [レコーディング警告を表示]
      は、どのグループのメンバでもないユーザによって開始されたアプレット セッションと、
      すべての
      TCP/UDP および RDP サービス セッションに対して適用されます。
LDAP ディレクトリからユーザ グループをインポートする場合、グループ名は以下の形式になります。
  • Active Directory から: LDAPsourceGroupName + "@" +
    LDAP_domain。LDAP_Domain は、LDAP ドメイン設定(
    [設定]
    -
    [サード
    パーティ]
    -
    [LDAP]
    )の
    [バインド認証情報]
    フィールドのベース DN です。
  • OpenLDAP など、他の LDAP ディレクトリ サーバから: LDAPsourceGroupName
また、
[説明]
フィールドは以下の形式になります: "LDAP Group" + LDAPsourceGroupName + "from" + LDAPsourceDistinUIshedName
管理設定
[管理]セクションでは、ユーザの認証方法を指定します
以下の手順に従います。
  1. [管理]
    タブを選択します。
  2. [認証]
    フィールドで、ドロップダウン リストからオプションを選択します。利用可能なオプションは、どのタイプのグループを作成(ローカル、RADIUS、またはインポートされた LDAP)するかによって異なります。
    認証方法に SAML を選択する場合、ユーザは SAML アサーションで認証されます。SAML 属性は、ユーザ プロビジョニング ソースに依存します。
    Active Directory の場合
    • 識別名
    • ユーザ プリンシパル名
    • SAM アカウント名
    OpenLDAP やその他の LDAP ディレクトリ
    • 識別名
    • 一意の属性
    認証方法がローカル、RADIUS、または PKI の場合
    • ユーザ名
  3. ユーザが CA PAM クライアントからサーバにアクセスする場合、ログインを許可する IP アドレスの範囲を入力します。各アドレスは、スペース、カンマ、セミコロン、または改行で区切ります。例: 192.0.2.0/28,192.0.3.234/32
    許可されている IP アドレスの形式は次のとおりです。
    • 単一の IP: 192.0.2.1
    • CIDR: 192.0.2.0/28
    • 範囲: 192.0.2.1-32
    このフィールドが空の場合は、IP アドレス制限は適用されません。ユーザ定義は、ユーザ グループの定義をオーバーライドします。ユーザ ポリシーが定義されていない場合でも、そのユーザが異なるルールを持つ複数のユーザ グループのメンバである場合は、そのグループのアクセス権限は追加されます(制限が少ない)。
    Symantec PAM
    サーバがプロキシ、ロード バランサ、またはルータなどのネットワーキング デバイスの背後に配置されている場合、デバイスによって X-Forwarded-For HTTP ヘッダの IP スプーフィングが防止されていることを確認します。
ユーザ グループのロールの定義
1つのグループに複数のロールを割り当てることができます。標準ユーザはデフォルト ロールです。
以下の手順に従います。
  1. [グループの追加]
    画面で
    [ロール]
    を選択します。
  2. プラス記号を使用して
    [ロール]
    リストを展開します。
    標準ユーザは、デフォルトで事前に割り当てられたロールです。このロールではデバイスへのアクセスが許可されています。
  3. 右側にあるプラス記号を選択すると、ロールを指定する新しい行が表示されます。
  4. [ロールを指定してください]
    フィールドを選択します。利用可能になったプルダウン リストの矢印を選択します。
    リストには、現在定義されているすべてのロールと一連の事前定義済みロールが表示されます。
    • [Available Roles (利用可能なロール)]
      ドロップダウン リストを使用して、ロールを指定します。
    • アクセス ロールに認証情報マネージャ権限がある場合、そのロールは([ポリシー]、[パスワードの管理]セクションから)認証情報マネージャ メニューへのアクセス権を付与できます。メニューのアクセス範囲を決定するには、認証情報マネージャ ユーザ グループを指定する必要があります。[認証情報マネージャ グループ]拡張ペインを使用します。
    • ロール(たとえば、デバイス/グループ マネージャまたはポリシー マネージャ)にユーザ グループ、デバイス グループ、またはその両方を指定する必要があり、ロールがそれらのグループに対する制御権を持つ場合、以下の画面例に示すように、対応するエントリがロールの下に表示されます。
      エントリの右側にあるプラス記号(
      +
      )アイコンを選択して、必要なグループを指定します。以下の画面例に示すように、表示される
      [グループを指定してください]
      エントリを選択し、
      [ユーザ グループ]
      または
      [デバイス グループ]
      の選択ダイアログ ボックスのいずれか適切な方を開きます。
      ユーザ グループ選択ダイアログ ボックスの画面キャプチャ
      すべてのユーザ グループを含めるには
      [すべてのユーザ]
      を選択し、
      [ユーザ グループ]
      フィールドに入力を開始するか、虫眼鏡アイコンを選択して包括的な検索オプションが含まれるダイアログ ボックスを開きます。
      一度に選択できるユーザまたはデバイス グループは 1 つだけです。追加のグループを指定するには、必要に応じて、
      [ユーザ グループ]
      または
      [デバイス グループ]
      エントリの右側にある
      [+]
      オプションを使用します。
      いずれかの方法を使用してグループを選択したら、
      [OK]
      を選択して保存します。
認証情報マネージャのロールの継承
認証情報マネージャのユーザ グループを Access Manager のユーザ グループにマップする機能により、認証情報マネージャのロールを各ユーザに割り当てるのではなく、ロールの継承が可能になります。
以下の手順に従います。
  1. [ユーザ]
    -
    [ユーザ グループの管理]
    に移動します。
  2. [ユーザ グループの更新]
    を選択します。
  3. [認証情報マネージャ グループ]
    タブを選択します。
認証情報マネージャのグループを、[認証情報の管理]権限があるロールを持つ Access Manager のグループに割り当てます。認証情報マネージャまたはデバイス マネージャのいずれかに PAM 内の事前設定されたロールを設定できるだけではありません。リース権限が維持されるようにロールのアクセス権をカスタマイズできます(ユーザは認証情報を表示できますが、FirecallUser ロールを持つユーザのアカウントに変更を加えることはできません)。PAM では、次の 3 つのロールにパスワード管理の権限が含まれています: グローバル管理者、運用管理者、パスワード マネージャ。
認証情報マネージャのグループを追加せずに保存して[OK]を選択すると、以下のメッセージが表示され、エラーが発生します。
「認証情報の管理権限を持つロールは、1 つ以上の Password Authority グループを管理する必要があります。」
以前のバージョンから PAM 3.4 にアップグレードしても、Access Manager のユーザ、ユーザ グループ、ロール、または認証情報マネージャのグループまたはロールは変更されません。
いずれの
認証情報マネージャ グループ
にも明示的に割り当てられていない PAM ユーザは、常に、
標準ユーザ
という名前の
認証情報マネージャ グループ
(CMGroup)のデフォルト メンバになります。
標準ユーザ CMGroup
は、
アカウント パスワードの表示
権限が付いた
FirecallUser
ロールを持ちます。したがって、
標準ユーザ
のメンバはいずれも、ターゲット アカウントのパスワードをすべて表示できます。これは、
セッション マネージャ ユーザ グループ(SMGroup)
などによって、ユーザが
標準ユーザ
以外の CMGroup を継承した場合でも同様です。
この場合、ユーザがターゲット アカウントのパスワードを表示できないようにする唯一の方法は、
パスワードの管理
権限が付いた
セッション マネージャ ロール
をユーザに明示的に割り当てることです。たとえば、
パスワード マネージャ
ロールを割り当て、次に、そのユーザを
アカウント パスワードの表示
権限を持たない CMGroup (
ベース ユーザ
など)に追加します。これにより、
標準ユーザ
の CM グループからそのユーザが削除されます。そのため、そのユーザには
アカウントパスワードの表示
権限がなくなります。
グループ ログインの期間の指定
グループ内のユーザがサーバにログインできる場合の時間ベースのアクセス制限を設定するには、
[アクセス時間]
オプションを選択します。
以下の手順に従います。
  1. アクセス時間テーブル
    にエントリを追加します。
  2. [開始]
    および
    [終了]
    テーブル セルにアクセス エントリの日時を指定して、時間のドロップダウン リストを表示します。
  3. [OK]
    を選択して入力内容を保存します。
グループへのユーザの追加
グループを設定した後に、ユーザを追加します。
以下の手順に従います。
  1. グループに追加するユーザの横にあるチェック ボックスを選択します。
  2. 右矢印を選択して、グループを[選択されたユーザ]リストに移動します。
    インポートされた LDAP グループでは、ユーザの追加または削除はできません。ソース LDAP ディレクトリ内のユーザ レコードを変更します。
  3. OK
    ]を選択します。
ユーザ グループは、Active Directory またはその他のディレクトリ ユーザには使用できません。代わりに、ユーザをディレクトリおよび
CA Privileged Access Manager
で読み取られた属性でグループ化する必要があります。ディレクトリ ユーザに対するポリシーの設定は、グループ レベルで実行します。
ユーザ権限の一時的な昇格
ユーザの権限を一時的に昇格させるには、必要な限り、追加の権限を持つユーザ グループに追加します。ユーザを昇格させる必要がなくなったら、そのユーザ グループから削除するだけです。
RADIUS グループまたは TACACS+ グループの作成
RADIUS サーバまたは TACACS+ サーバからインポートされるユーザ グループを作成することができます。[RADIUS]ボタンまたは[TACACS+]ボタンをアクティブにするには、最初に RADIUS サーバまたは TACACS+ サーバの
CA Privileged Access Manager
へのアクセスを設定します。RADIUS 接続の設定手順については、「RADIUS または TACACS+」を参照してください。
以下の手順に従います。
  1. 該当するボタンをクリックして、テンプレートを開きます。
    • RADIUS グループの作成
    • TACACS+ グループの作成
  2. テンプレートの各セクションに入力します。手順は、ローカル ユーザ グループの作成とほぼ同じです。
    RADIUS グループまたは TACACS+ グループ内のユーザを検索するには、
    指定する各グループ名が、RADIUS サーバまたは TACACS+ サーバの対応するグループ名または ID に一致している必要があります。
    CA Privileged Access Manager
    は、設定済みのグループ化を使用してユーザを管理します。
    GroupID は、RADIUS サーバまたは TACACS+ サーバの対応するグループと一致している必要があります。ユーザが保持しているすべての権限は、そのユーザのグループから派生します。ローカル アカウントを持つユーザ、または所属グループが UI 内のグループ名に一致するユーザのみに、アクセスが許可されます。グループ名については、RADIUS サーバまたは TACACS+ サーバの管理者にお問い合わせください。
    RADIUS グループがプロビジョニングされているが、ユーザが存在しない場合は、シャドウ RADIUS ユーザが作成されます。シャドウ ユーザは、ユーザ管理画面またはユーザ リストに表示されません。
LDAP グループのインポート
LDAP グループのインポートの詳細については、「LDAP ユーザ グループのインポート」を参照してください。
[ポリシーの管理]ページでの編集
管理者は、[ポリシー管理]ページからユーザ グループ レコードを直接呼び出して編集できます。
  1. [ポリシー]-
    [ポリシー管理]
    ページを開きます。
  2. レコード名を
    [ユーザ(グループ)]
    フィールドに入力します。
  3. 名前をダブルクリックして、シャドウ ボックス ウィンドウに編集用テンプレートを表示します。
  4. 終了したら、
    [保存]
    (または[キャンセル])を選択して
    [ポリシー管理]
    ページに戻ります。
RADIUS 認証を使用した Juniper SA との SAML SSO
RADIUS 認証を使用した Juniper SA との SAML SSO については、「ネットワーク設定」、「SSO」、「Juniper Networks」、「
CA Privileged Access Manager
の設定」を参照してください。
LDAP グループのインポートの詳細については、「LDAP ユーザ グループのインポート」を参照してください。