認証情報マネージャ ターゲット グループの追加

このトピックでは、認証情報マネージャ ターゲット グループを追加する方法について説明します。
capam331
HID_TargetGroupsPanel
ターゲット グループは、特定のフィルタ条件に適合するターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントの集合です。たとえば、Descriptor2 フィールドの識別子が London であるすべてのターゲット サーバです。単一のターゲットは、複数のターゲット グループに属することができます。ターゲット グループがターゲット サーバで構成される場合、そのサーバ上のすべてのアプリケーションとアカウントはそのターゲット グループ内に自動的に含まれます。動的または静的なターゲット グループを設定できます。
重要
: このリリースでは、動的ターゲット グループ定義ロジックの動作が変更されます。以前は、ターゲット サーバに対してフィルタが定義されていない場合、すべてのターゲット サーバがそのフィルタに含まれるとみなされていました。ターゲット サーバとターゲット アプリケーションのどちらにもフィルタが定義されていない場合、すべてのターゲット アプリケーションもターゲット グループに含まれるとみなされていました。たとえば、アカウントに対してのみフィルタを指定した場合、
すべての
アプリケーションおよびサーバがターゲット グループに追加されます。
3.3.1 以降のリリースでは、以下のロジックが適用されます。
  • アカウント フィルタのみが定義されている場合、一致するアカウント
    のみ
    がグループのメンバになります。サーバまたはアプリケーションはグループに追加
    されません
    。サーバまたはアプリケーションをグループに含める場合は、適切なフィルタを
    明示的に
    定義する必要があります。
  • アプリケーション フィルタのみが定義されている場合、一致するアプリケーションおよび関連付けられたアカウントがグループに追加されます。サーバは追加
    されません
    。サーバをグループに含める場合は、適切なフィルタを
    明示的に
    定義する必要があります。
  • アカウント フィルタとアプリケーション フィルタの両方が定義されている場合、一致するアプリケーションと、アカウント フィルタと一致するアプリケーションのアカウントがグループに追加されます。サーバは追加
    されません
    。サーバをグループに含める場合は、適切なフィルタを
    明示的に
    定義する必要があります。
新しいロジックは、既存の動的ターゲット グループ定義にも適用されます
。この変更によって既存のターゲット グループ定義が無効になった場合は、その定義を手動で再定義する必要があります。それにより、以前暗黙的に含まれていたすべてのターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントがターゲット グループに含まれるようにします。
このトピックには以下のコンテンツが含まれます。
2
ターゲット グループ フィルタ動作マトリックス
以下の表に、指定されたフィルタの各組み合わせが動的または静的なターゲット グループのコンテンツを決定する方法を示します。
サーバ フィルタの指定
アプリケーション フィルタの指定
アカウント フィルタの指定
ターゲット グループに含まれるオブジェクト
はい
いいえ
いいえ
一致するサーバ、一致するサーバのアプリケーション、およびそれらのアプリケーションに関連付けられているアカウント。
はい
はい
いいえ
一致するサーバ、一致するサーバの一致するアプリケーション、および一致するアプリケーションに関連付けられているアカウント。
はい
はい
はい
一致するサーバ、一致するサーバの一致するアプリケーション、および関連するアプリケーションの一致するアカウント。
はい
いいえ
はい
一致するサーバ、一致するサーバのアプリケーション、含まれるアプリケーションの一致するアカウント。
いいえ
いいえ
はい
一致するアカウントのみ。
いいえ
はい
いいえ
それらのアプリケーションに関連付けられている一致するアプリケーションおよびアカウントのみ。
いいえ
はい
はい
それらのアプリケーションに関連付けられている一致するアプリケーションおよびアカウントのみ。
動的ターゲット グループの追加
ターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントにターゲット グループ フィルタを適用します。
動的ターゲット グループに複数のフィルタを適用すると、論理「または」関係に基づいて、同じ属性を使用するフィルタが適用されます。たとえば、ターゲット グループに、ホスト名
Test
のサーバ フィルタとホスト名
Production
のサーバ フィルタが含まれているとします。グループには、ホスト名に
Test
または
Production
が使用されているターゲット サーバが含まれています。
複数の属性を使用するフィルタは論理「と」関係に基づいて適用されます。たとえば、グループに、ホスト名
Production
のサーバ フィルタと、アカウント名
siteAdmin
のアカウント フィルタが含まれているとします。グループには、ホスト名に
Production
が使用されているサーバ上で実行されている
siteAdmin
アカウントのみが含まれています。
認証情報マネージャには動的ターゲット グループ
[All Targets]
が事前に設定されています。デフォルトの認証情報マネージャ管理者アカウントである
super
は All Targets に割り当てられています。
認証情報マネージャでは、特定のターゲット グループに関連付けられているすべてのターゲットを表示することができます。この機能で、リソースの割り当てとターゲットのフィルタが適切に設定されていることを検証できます。
UI を使用した動的ターゲット グループの追加
UI を使用して動的ターゲット グループを追加するには、以下の手順に従います。
以下の手順に従います。
  1. 認証情報
    ]-[
    ターゲット管理
    ]-[
    ターゲット グループ
    ]を選択します。
  2. [追加]
    を選択します。
  3. 名前
    ]にグループの名前を入力します。
  4. (オプション)[
    説明
    ]にグループの説明を入力します。
  5. [タイプ]ドロップダウン リストから[動的
    ]エントリを選択します。
    AWS アクセス アカウントの場合、動的フィルタではアクセス キー エイリアスはサポートされていません。フィルタでは、アクセス キー ID がサポートされています。
  6. サーバ、アプリケーション、またはアカウントにフィルタを追加します。追加するフィルタごとに、この手順を繰り返します。
    1. 適用するフィルタの[
      未指定
      ]リンクを選択します。[フィルタを定義]ダイアログ ボックスが表示されます。
    2. +
      ]を選択して式を追加します。
    3. 演算子
      ]フィールドのドロップダウン リストで、フィルタ タイプ(たとえば、[次を含む])を選択します。
    4. ]フィールドに、フィルタ式(たとえば、「192.0.2」)を入力します。
      アプリケーション タイプ
      のフィルタを作成するには、次の表を使ってフィルタ表現を入力します。
      ターゲット コネクタ フレームワークを使用して、カスタム アプリケーション タイプを実装している場合、それらのカスタム タイプも
      [アプリケーション タイプ]
      ドロップダウン メニューから使用できます。
      アプリケーション タイプ
      フィルタ表現として入力するテキスト
      Active Directory
      windowsDomainService
      AS/400
      AS/400
      AWS アクセス認証情報アカウント
      AwsAccessCredentials
      AWS プロキシ認証情報アカウント
      AwsApiProxyCredentials
      Cisco
      CiscoSSH
      Juniper Junos
      juniper
      LDAP
      ldap
      MSSQL
      mssql
      MySQL
      mysql
      Oracle
      oracle
      SPML v2.0
      SPML2
      UNIX
      unixII
      VMware ESX/ESXi
      vmware
      VMware NSX コントローラ
      nsxcontroller
      VMware NSX マネージャ
      nsxmanager
      VMware NSX プロキシ
      nsxproxy
      WebLogic
      weblogic10
      Windows プロキシ
      windows
    5. OK
      ]を選択します。フィルタ仕様が表示されます。
  7. すべてのフィルタを追加したら、ページの最下部にある[
    OK
    ]をクリックして、認証情報マネージャにターゲット グループをコミットします。
CLI を使用した動的ターゲット グループの追加
CLI を使用して動的ターゲット グループを追加するには、以下の手順に従います。
以下の手順に従います。
  1. ターゲット グループを追加します。動的または静的を必ず指定してください。以下に例を示します。
    Windows: capam_command adminUserID=admin capam=mycompany.com cmdName=addGroup ^ Group.name=TokyoTargets Group.description="Targets in Tokyo" ^ Group.type=target Group.dynamic=true Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=addGroup \ Group.name=TokyoTargets Group.description="Targets in Tokyo" \ Group.type=target Group.dynamic=true
  2. プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。
    addFilter
    コマンドに必要な
    Group.ID
    値である ID 値に注意してください。
    <CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <Group> <name>TokyoTargets</name> <permissions>[]</permissions> <type>target</type> <readOnly>false</readOnly> <description>Targets in Tokyo</description> <dynamic>true</dynamic> <ID>5</ID> <createDate>Thu May 08 09:42:52 EDT 2008</createDate> <createUser>admin</createUser> <hash>eGuxUhVerHQile7mjKyW9b/ZJ04=</hash> <updateDate>Thu May 08 09:42:52 EDT 2008</updateDate> <updateUser>admin</updateUser> <extensionType /> </Group> </cr.result> </CommandResult>
  3. フィルタを追加します。たとえば、ターゲット サーバのホスト名フィルタを追加します。
    Window: capam_command adminUserID=admin capam=mycompany.com cmdName=addFilter ^ Group.ID=5 Filter.objectClassId=c.cw.m.ts Filter.attribute=hostName ^ Filter.type=contains Filter.expression="mydomain" Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=addFilter \ Group.ID=5 Filter.objectClassId=c.cw.m.ts Filter.attribute=hostName \ Filter.type=contains Filter.expression="mydomain"
  4. プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。
    <CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <Filter> <type>contains</type> <attributeName>hostName</attributeName> <groupID>5</groupID> <objectClassID>c.cw.m.ts</objectClassID> <expression>mydomain</expression> <ID>7</ID> <createDate>Thu May 08 09:47:35 EDT 2008</createDate> <createUser>admin</createUser> <hash /> <updateDate>Thu May 08 09:47:35 EDT 2008</updateDate> <updateUser>admin</updateUser> <extensionType /> </Filter> </cr.result> </CommandResult>
静的ターゲット グループの追加
静的グループ割り当てでは、そのグループのメンバである特定のサーバ、アプリケーション、およびアカウントを定義します。静的グループを使用することにより、グループ内のアカウントを正確に管理できます。
静的グループのターゲット アカウントが定義されていない場合は、そのターゲット アプリケーションに関連付けられているすべてのターゲット アカウントが管理されます。
以下の手順に従います。
  1. 認証情報
    ]-[
    ターゲット管理
    ]-[
    ターゲット グループ
    ]を選択します。
  2. [追加]
    を選択します。
  3. 名前
    ]にグループの名前を入力します。
  4. (オプション)[
    説明
    ]にグループの説明を入力します。
  5. [タイプ]ドロップダウン リストから[静的
    ]エントリを選択します。
  6. グループが管理する必要があるサーバ、アプリケーション、およびアカウントを追加します。
    1. 追加するエンティティの
      [+]
      を選択します。使用可能なリソースのリストが表示されます。次の図は、アプリケーションの
      [+]
      をクリックすると表示される一般的なページです。
    2. 必要なリソースをリストから選択します。
    3. OK
      ]を選択します。
      以前のリリースでは、特定のアカウントを選択すると、そのアカウントに関連するサーバとアプリケーションの情報がサーバ フィルタとアプリケーション フィルタに自動的に入力されます。3.3.1 および将来のリリースでは、
      関連するサーバおよびアプリケーション
      を手動で追加する必要があります。
  7. OK
    ]を選択して変更を保存します。
既存のターゲット グループに属するすべてのターゲットの表示
既存のターゲット グループに属するすべてのターゲットを UI から表示するには、以下の手順に従います。
以下の手順に従います。
  1. 認証情報
    ]-[
    ターゲット管理
    ]-[
    ターゲット グループ
    ]を選択します。
  2. 表示するターゲット グループを選択して、[
    更新
    ]ボタンを選択します。
  3. 表示
    ]を選択します。グループ内の条件に一致するターゲットのリストが表示されます。
  4. [OK]を選択します。