認証情報マネージャ ターゲット グループの追加
このトピックでは、認証情報マネージャ ターゲット グループを追加する方法について説明します。
capam331
HID_TargetGroupsPanel
ターゲット グループは、特定のフィルタ条件に適合するターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントの集合です。たとえば、Descriptor2 フィールドの識別子が London であるすべてのターゲット サーバです。単一のターゲットは、複数のターゲット グループに属することができます。ターゲット グループがターゲット サーバで構成される場合、そのサーバ上のすべてのアプリケーションとアカウントはそのターゲット グループ内に自動的に含まれます。動的または静的なターゲット グループを設定できます。
重要
: このリリースでは、動的ターゲット グループ定義ロジックの動作が変更されます。以前は、ターゲット サーバに対してフィルタが定義されていない場合、すべてのターゲット サーバがそのフィルタに含まれるとみなされていました。ターゲット サーバとターゲット アプリケーションのどちらにもフィルタが定義されていない場合、すべてのターゲット アプリケーションもターゲット グループに含まれるとみなされていました。たとえば、アカウントに対してのみフィルタを指定した場合、すべての
アプリケーションおよびサーバがターゲット グループに追加されます。3.3.1 以降のリリースでは、以下のロジックが適用されます。
- アカウント フィルタのみが定義されている場合、一致するアカウントのみがグループのメンバになります。サーバまたはアプリケーションはグループに追加されません。サーバまたはアプリケーションをグループに含める場合は、適切なフィルタを明示的に定義する必要があります。
- アプリケーション フィルタのみが定義されている場合、一致するアプリケーションおよび関連付けられたアカウントがグループに追加されます。サーバは追加されません。サーバをグループに含める場合は、適切なフィルタを明示的に定義する必要があります。
- アカウント フィルタとアプリケーション フィルタの両方が定義されている場合、一致するアプリケーションと、アカウント フィルタと一致するアプリケーションのアカウントがグループに追加されます。サーバは追加されません。サーバをグループに含める場合は、適切なフィルタを明示的に定義する必要があります。
新しいロジックは、既存の動的ターゲット グループ定義にも適用されます
。この変更によって既存のターゲット グループ定義が無効になった場合は、その定義を手動で再定義する必要があります。それにより、以前暗黙的に含まれていたすべてのターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントがターゲット グループに含まれるようにします。このトピックには以下のコンテンツが含まれます。
2
ターゲット グループ フィルタ動作マトリックス
以下の表に、指定されたフィルタの各組み合わせが動的または静的なターゲット グループのコンテンツを決定する方法を示します。
サーバ フィルタの指定 | アプリケーション フィルタの指定 | アカウント フィルタの指定 | ターゲット グループに含まれるオブジェクト | |
|---|---|---|---|---|
はい | いいえ | いいえ | 一致するサーバ、一致するサーバのアプリケーション、およびそれらのアプリケーションに関連付けられているアカウント。 | |
はい | はい | いいえ | 一致するサーバ、一致するサーバの一致するアプリケーション、および一致するアプリケーションに関連付けられているアカウント。 | |
はい | はい | はい | 一致するサーバ、一致するサーバの一致するアプリケーション、および関連するアプリケーションの一致するアカウント。 | |
はい | いいえ | はい | 一致するサーバ、一致するサーバのアプリケーション、含まれるアプリケーションの一致するアカウント。 | |
いいえ | いいえ | はい | 一致するアカウントのみ。 | |
いいえ | はい | いいえ | それらのアプリケーションに関連付けられている一致するアプリケーションおよびアカウントのみ。 | |
いいえ | はい | はい | それらのアプリケーションに関連付けられている一致するアプリケーションおよびアカウントのみ。 |
動的ターゲット グループの追加
ターゲット サーバ、ターゲット アプリケーション、またはターゲット アカウントにターゲット グループ フィルタを適用します。
動的ターゲット グループに複数のフィルタを適用すると、論理「または」関係に基づいて、同じ属性を使用するフィルタが適用されます。たとえば、ターゲット グループに、ホスト名
Test
のサーバ フィルタとホスト名 Production
のサーバ フィルタが含まれているとします。グループには、ホスト名に Test
または
Production
が使用されているターゲット サーバが含まれています。複数の属性を使用するフィルタは論理「と」関係に基づいて適用されます。たとえば、グループに、ホスト名
Production
のサーバ フィルタと、アカウント名 siteAdmin
のアカウント フィルタが含まれているとします。グループには、ホスト名に Production
が使用されているサーバ上で実行されている siteAdmin
アカウントのみが含まれています。認証情報マネージャには動的ターゲット グループ
[All Targets]
が事前に設定されています。デフォルトの認証情報マネージャ管理者アカウントである super
は All Targets に割り当てられています。認証情報マネージャでは、特定のターゲット グループに関連付けられているすべてのターゲットを表示することができます。この機能で、リソースの割り当てとターゲットのフィルタが適切に設定されていることを検証できます。
UI を使用した動的ターゲット グループの追加
UI を使用して動的ターゲット グループを追加するには、以下の手順に従います。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[ターゲット グループ]を選択します。
- [追加]を選択します。
- [名前]にグループの名前を入力します。
- (オプション)[説明]にグループの説明を入力します。
- [タイプ]ドロップダウン リストから[動的]エントリを選択します。AWS アクセス アカウントの場合、動的フィルタではアクセス キー エイリアスはサポートされていません。フィルタでは、アクセス キー ID がサポートされています。
- サーバ、アプリケーション、またはアカウントにフィルタを追加します。追加するフィルタごとに、この手順を繰り返します。
- 適用するフィルタの[未指定]リンクを選択します。[フィルタを定義]ダイアログ ボックスが表示されます。
- [+]を選択して式を追加します。
- [演算子]フィールドのドロップダウン リストで、フィルタ タイプ(たとえば、[次を含む])を選択します。
- [値]フィールドに、フィルタ式(たとえば、「192.0.2」)を入力します。アプリケーション タイプのフィルタを作成するには、次の表を使ってフィルタ表現を入力します。ターゲット コネクタ フレームワークを使用して、カスタム アプリケーション タイプを実装している場合、それらのカスタム タイプも[アプリケーション タイプ]ドロップダウン メニューから使用できます。アプリケーション タイプフィルタ表現として入力するテキストActive DirectorywindowsDomainServiceAS/400AS/400AWS アクセス認証情報アカウントAwsAccessCredentialsAWS プロキシ認証情報アカウントAwsApiProxyCredentialsCiscoCiscoSSHJuniper JunosjuniperLDAPldapMSSQLmssqlMySQLmysqlOracleoracleSPML v2.0SPML2UNIXunixIIVMware ESX/ESXivmwareVMware NSX コントローラnsxcontrollerVMware NSX マネージャnsxmanagerVMware NSX プロキシnsxproxyWebLogicweblogic10Windows プロキシwindows
- [OK]を選択します。フィルタ仕様が表示されます。
- すべてのフィルタを追加したら、ページの最下部にある[OK]をクリックして、認証情報マネージャにターゲット グループをコミットします。
CLI を使用した動的ターゲット グループの追加
CLI を使用して動的ターゲット グループを追加するには、以下の手順に従います。
以下の手順に従います。
- ターゲット グループを追加します。動的または静的を必ず指定してください。以下に例を示します。Windows: capam_command adminUserID=admin capam=mycompany.com cmdName=addGroup ^ Group.name=TokyoTargets Group.description="Targets in Tokyo" ^ Group.type=target Group.dynamic=true Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=addGroup \ Group.name=TokyoTargets Group.description="Targets in Tokyo" \ Group.type=target Group.dynamic=true
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。addFilterコマンドに必要なGroup.ID値である ID 値に注意してください。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <Group> <name>TokyoTargets</name> <permissions>[]</permissions> <type>target</type> <readOnly>false</readOnly> <description>Targets in Tokyo</description> <dynamic>true</dynamic> <ID>5</ID> <createDate>Thu May 08 09:42:52 EDT 2008</createDate> <createUser>admin</createUser> <hash>eGuxUhVerHQile7mjKyW9b/ZJ04=</hash> <updateDate>Thu May 08 09:42:52 EDT 2008</updateDate> <updateUser>admin</updateUser> <extensionType /> </Group> </cr.result> </CommandResult>
- フィルタを追加します。たとえば、ターゲット サーバのホスト名フィルタを追加します。Window: capam_command adminUserID=admin capam=mycompany.com cmdName=addFilter ^ Group.ID=5 Filter.objectClassId=c.cw.m.ts Filter.attribute=hostName ^ Filter.type=contains Filter.expression="mydomain" Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=addFilter \ Group.ID=5 Filter.objectClassId=c.cw.m.ts Filter.attribute=hostName \ Filter.type=contains Filter.expression="mydomain"
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <Filter> <type>contains</type> <attributeName>hostName</attributeName> <groupID>5</groupID> <objectClassID>c.cw.m.ts</objectClassID> <expression>mydomain</expression> <ID>7</ID> <createDate>Thu May 08 09:47:35 EDT 2008</createDate> <createUser>admin</createUser> <hash /> <updateDate>Thu May 08 09:47:35 EDT 2008</updateDate> <updateUser>admin</updateUser> <extensionType /> </Filter> </cr.result> </CommandResult>
静的ターゲット グループの追加
静的グループ割り当てでは、そのグループのメンバである特定のサーバ、アプリケーション、およびアカウントを定義します。静的グループを使用することにより、グループ内のアカウントを正確に管理できます。
静的グループのターゲット アカウントが定義されていない場合は、そのターゲット アプリケーションに関連付けられているすべてのターゲット アカウントが管理されます。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[ターゲット グループ]を選択します。
- [追加]を選択します。
- [名前]にグループの名前を入力します。
- (オプション)[説明]にグループの説明を入力します。
- [タイプ]ドロップダウン リストから[静的]エントリを選択します。
- グループが管理する必要があるサーバ、アプリケーション、およびアカウントを追加します。
- 追加するエンティティの[+]を選択します。使用可能なリソースのリストが表示されます。次の図は、アプリケーションの[+]をクリックすると表示される一般的なページです。
- 必要なリソースをリストから選択します。
- [OK]を選択します。以前のリリースでは、特定のアカウントを選択すると、そのアカウントに関連するサーバとアプリケーションの情報がサーバ フィルタとアプリケーション フィルタに自動的に入力されます。3.3.1 および将来のリリースでは、関連するサーバおよびアプリケーションを手動で追加する必要があります。
- [OK]を選択して変更を保存します。
既存のターゲット グループに属するすべてのターゲットの表示
既存のターゲット グループに属するすべてのターゲットを UI から表示するには、以下の手順に従います。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[ターゲット グループ]を選択します。
- 表示するターゲット グループを選択して、[更新]ボタンを選択します。
- [表示]を選択します。グループ内の条件に一致するターゲットのリストが表示されます。
- [OK]を選択します。