認証情報マネージャ ロールの追加または変更
認証情報マネージャ ロールは、認証情報マネージャ機能を実行するためにユーザが持つ権限を定義します。
capam332
HID_PARolesPanel
認証情報マネージャ ロールは、認証情報マネージャ機能を実行するためにユーザが持つ権限を定義します。
ロールの利用可能な権限を選択した場合、認証情報マネージャには関連付けられている
get
と list
権限が必要です。たとえば、ユーザが addAgent
または deleteAgent
を持つには、getAgent
の権限も追加する必要があります。 このトピックでは、認証情報マネージャ ロールおよびその管理方法について説明します。
2
事前設定済みロール
認証情報マネージャには以下のロールが事前に設定されてます。
- FirecallApprover: このロールが割り当てられたユーザは、パスワード表示リクエストのみを承認することができます。このロールは、一般ユーザのビュー タイプを持つユーザに割り当てられます。
- FirecallAutoConnect: このロールは廃止されました。使用しないでください。
- FirecallUser: このロールが割り当てられたユーザは、ターゲット アカウントのパスワードのみを表示することができます。このロールは、一般ユーザのビュー タイプを持つユーザに割り当てられます。
- ReadOnly: このロールは、認証情報マネージャ ページへの読み取り専用アクセスを許可します。ユーザは情報を表示できますが、変更はできません。このロールを持つユーザは、ターゲット アカウントのパスワードを表示できます。このロールは、限定されたサブセットの認証情報マネージャ ページを表示できる一般ユーザ ロールと区別されます。
- RequestorAdmin: このロールが割り当てられたユーザは、リクエスタ情報にアクセスして、情報を更新することができます。A2A 統合のためのリクエスタ統合の担当者に、このロールを割り当てます。このロールを持つユーザが、スクリプトの許可を追加することはできません。ターゲットまたはユーザ情報にアクセスすることもできません。
- ScriptAuthorizationAdmin: このロールが割り当てられているユーザは、スクリプトの許可を追加できます。A2A 統合のためのリクエスタ統合の担当者に、このロールを割り当てます。
- ServerAdmin: このロールが割り当てられているユーザは、認証情報マネージャのほとんどの管理機能にアクセスできます。[ターゲット]-[アプリケーション]、[ターゲット]-[エイリアス]、[A2A]メニュー、および[グループ]メニューの機能にアクセスすることはできません。
- システム管理者: システム管理者はデフォルトのロールです。このロールは、認証情報マネージャのすべての機能にアクセスできます。このロールを変更しないでください。
- TargetAdmin: このロールが割り当てられているユーザは、ターゲット情報のみにアクセスして、情報を更新することができます。認証情報マネージャを使用してデータベース アカウントを登録および管理するデータベース管理者に、このロールを割り当てます。このロールを持つユーザはパスワード ポリシーを追加および更新することができますが、パスワード ポリシーを削除することはできません。このロールを持つユーザは、リクエスタまたはユーザの情報にアクセスできません。TargetAdmin ロールには updateGroup 権限が含まれています。TargetAdmin ロールを持つ認証情報グループに属している管理者は、この設定を悪用して自身の権限を昇格させることができます。たとえば、ターゲット管理者ユーザが属する認証情報グループが TargetAdmin ロールを持っており、あるターゲット グループに制限されているとします(たとえば、管理者が Oracle タイプのアプリケーションに属しているアカウントのみを管理することが想定されている場合など)。しかし、この管理者には updateGroup 権限があるため、ターゲット グループを編集してスコープを拡張できます(たとえば、IP アドレスに数字 1 が含まれるすべてのターゲット サーバをカバーするように)。ターゲット グループでの権限昇格攻撃を防ぐ方法:「グループ」に関連する権限(addGroup、deleteGroup、getGroup、listTargetGroup、updateGroup)が含まれていない TargetAdmin ロールに基づいてカスタム ロールを作成します。そのロールを持つ管理者は、ターゲット グループを表示または操作することはできません。または、管理者にターゲット グループを表示する権限を残して、addGroup、deleteGroup、および updateGroup を削除します。これにより、管理者はすべてのターゲット グループを表示できますが、編集できなくなります。
- UserAdmin: このロールが割り当てられているユーザは、認証情報マネージャのロールおよび認証情報マネージャのユーザ グループを管理できます。このロールでは、ターゲットまたはリクエスタの情報にアクセスできません。個別ユーザ アカウントまたは(通常の)ユーザ グループにもアクセスできません。
- ViewReports: このロールが割り当てられているユーザは、利用可能な認証情報マネージャ レポートのいくつかを実行できますが、すべてではありません。その他のレポートの実行には、追加の権限が必要です。ViewReports ロールを持つユーザが実行できるレポートと、その他のレポートの実行に必要な権限の詳細については、「認証情報マネージャのレポート ロールおよび権限」を参照してください。
- BaseRole: このロールは内部で使用されます。このロールを変更しないでください。
FirecallUser およびシステム管理者ロールにのみ、
[アクセス]
画面上でパスワードを表示するのに必要な権限が含まれます。認証情報マネージャ管理ユーザを設定してパスワードを表示する方法については、「アクセス画面上でパスワードを表示する認証情報の管理権限をユーザに設定する」を参照してください。 認証情報マネージャ ロールの追加
認証情報マネージャ ロールを追加するには、以下の方法のいずれかを使用します。
UI を使用した認証情報マネージャ ロールの追加
UI でロールを追加または変更するには、以下の手順に従います。
以下の手順に従います。
- [認証情報]-[認証情報グループ管理]-[認証情報ロール]を選択します。[認証情報マネージャ ロール]ページが表示されます。
- [追加]を選択します。[認証情報マネージャ ロールの追加]ページが表示されます。
- ロールの名前および説明を[名前]および[説明]に入力します。
- 矢印を使用して、権限を追加または削除します。
- [OK]を選択して保存します。
CLI を使用した認証情報マネージャ ロールの追加
リモート CLI でロールを追加するには、以下の手順に従います。
以下の手順に従います。
- ロールを追加します。以下に例を示します。capam_command adminUserID=admin capam=mycompany.com cmdName=addRole Role.name=patchMgrRole Role.description="Manages patches" Role.privileges=activatePatch,activatePatchNow,addPatch,deletePatch,deletePatchDetail,getPatchDetail,listPatch,listPatchDetailSummary updatePatch,updatePatchDetail,updatePatchDetailListrole.privileges パラメータで利用可能なロールの完全なリストおよび説明については、「認証情報マネージャ CLI ユーザ インターフェース アクション」を参照してください。
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <Role> <ID>11</ID> <createDate>Tue Apr 08 10:31:28 EDT 2008</createDate> <updateDate>Tue Apr 08 10:31:28 EDT 2008</updateDate> <createUser>admin</createUser> <updateUser>admin</updateUser> <hash>SD0la6QKWvtwUPILIy5eznW7I7I=</hash> <name>patchMgrRole</name> <description>Manages patches</description> <privileges>[activatePatch, activatePatchNow, addPatch, deletePatch, deletePatchDetail, getPatchDetail, listPatch, listPatchDetailSummary, updatePatch, updatePatchDetail, updatePatchDetailList]</privileges> <readOnly>false</readOnly> <hidden>false</hidden> </Role> </cr.result> </CommandResult>
ロールで利用可能な権限
認証情報マネージャ ロールを追加または変更する場合に割り当て可能な権限を確認するには、以下の表を使用します。
コマンドが CLI と UI の両方で利用できる場合、それぞれのインターフェースの名前は似ています。たとえば、コマンド activatePatch は UI では[パッチのアクティブ化]です。UI の権限の完全なリストを表示するには、[認証情報]-[認証情報グループ管理]-[認証情報ロール]を選択します。CLI コマンドの完全なリストについては、「認証情報マネージャ CLI コマンド」を参照してください。
コマンドおよび権限の名前 | インターフェース | 説明 |
activatePatch | UI | パッチのアクティブ フラグを設定します。 |
activatePatchDeployments | UI | システムで選択されたパッチのアクティブ化 |
addAgent | UI | 認証情報マネージャ Windows プロキシを追加します。 |
addAuthorization | UI、CLI | 許可マッピングを追加します。 |
addFilter | UI、CLI | ターゲット グループまたはリクエスト グループにフィルタを追加します。 |
addGroup | UI、CLI | ターゲットまたはリクエスト グループを追加します。 |
addPasswordPolicy | UI、CLI | パスワード ポリシーを追加します。 |
addPasswordViewPolicy | UI、CLI | パスワード表示ポリシーを追加します。 |
addPatch | UI | 認証情報マネージャ サーバに認証情報マネージャ クライアントのパッチをロードします。 |
addRequestScript | UI、CLI | リクエスト アプリケーションを追加します。 |
addRequestServer | UI、CLI | リクエスト サーバを追加します。 |
addRequestServerDefaults | UI、CLI | リクエスト サーバのデフォルト値を追加します。 |
addRole | UI、CLI | ロールを追加します。 |
addScheduleJob | UI、CLI | ターゲット アカウントの更新または確認をスケジュールし、後で実行します。 |
addSite | UI、CLI | マルチサイト設定にサイトを追加します。 |
addSSHKeyPairPolicy | CLI | SSH キー ペア ポリシーを Privileged Access Manager に追加します。 |
addTargetAccount | UI、CLI | ターゲット アカウントを追加します。 |
addTargetAlias | UI、CLI | ターゲット エイリアスを追加します。 |
addTargetApplication | UI、CLI | ターゲット アプリケーションを追加します。 |
addTargetServer | UI、CLI | ターゲット サーバを追加します。 |
addUser | UI、CLI | ユーザを追加します。 |
addUserGroup | UI、CLI | ユーザ グループを追加します。 |
archiveAuditData | CLI | 監査データをアーカイブします。 |
archiveMetricData | CLI | メトリック データをアーカイブします。 |
autoConnectTargetAccount | UI | ユーザがターゲット アカウントに自動接続することを許可します。 |
batchSequence | CLI | CLI コマンドの一括登録を提供します。 |
canGetCredentials | CLI | 指定した A2A リクエストが認証情報マネージャから認証情報を取得できることを検証します。 |
checkConnectionStatus | UI、CLI | クライアントの接続ステータスを確認します。 |
checkDelete | CLI (内部のみ) | ターゲット サーバまたはリクエスト サーバを削除できる(または以前削除された)かどうかを確認します |
checkInAccountPassword | UI、CLI | パスワードを表示しているユーザによって以前チェックアウトされたアカウントにチェックインします。 |
deleteAgent | UI | 認証情報マネージャ Windows プロキシを削除します。 |
deleteAuthorization | UI、CLI | 許可マッピングを削除します。 |
deleteFilter | UI、CLI | ターゲット グループまたはリクエスト グループへのフィルタを削除します。 |
deleteGroup | UI、CLI | ターゲットまたはリクエスト グループを削除します。 |
deletePasswordPolicy | UI、CLI | パスワード ポリシーを削除します。 |
deletePasswordViewPolicy | UI、CLI | パスワード表示ポリシーを削除します。 |
deletePasswordViewRequest | UI、CLI | 特定のパスワード表示リクエストまたはすべての期限切れのパスワード表示リクエストを削除します。 |
deletePatch | UI | 認証情報マネージャ サーバから認証情報マネージャ クライアントのパッチを削除します。 |
deleteRequestScript | UI、CLI | リクエスト アプリケーションを削除します。 |
deleteRequestServer | UI、CLI | リクエスト サーバ(認証情報マネージャ クライアント)を削除します。 |
deleteRequestServerDefaults | UI、CLI | リクエスト サーバのデフォルト値を削除します。 |
deleteRole | UI、CLI | ロールを削除します。 |
deleteScheduleJob | UI | スケジュール済みジョブを削除するために使用します。 |
deleteSite | UI、CLI | マルチサイト設定からサイトを削除します。 |
deleteSSHKeyPairPolicy | UI、CLI | SSH キー ペア ポリシーを削除します。 |
deleteSystemProperty | CLI | システム プロパティを削除します(例: set isDeleted = 1)。 |
deleteTargetAccount | UI、CLI | ターゲット アカウントを削除します。 |
deleteTargetAlias | UI、CLI | ターゲット エイリアスを削除します。 |
deleteTargetApplication | UI、CLI | ターゲット アプリケーションを削除します。 |
deleteTargetServer | UI、CLI | ターゲット サーバを削除します。 |
deleteUser | UI、CLI | ユーザを削除します。 |
deleteUserGroup | UI、CLI | ユーザ グループを削除します。 |
disableCLIHostNameCheck | CLI | CLI を使用した認証時のホスト名検証を無効にします。 |
disableFingerprinting | UI、CLI | 認証情報マネージャ クライアントのハードウェアのフィンガープリント機能を無効にします。 |
enableCLIHostNameCheck | CLI | CLI での接続時のホスト名チェックを強制します。 |
enableFingerprinting | UI、CLI | 認証情報マネージャ クライアントのハードウェアのフィンガープリント機能を有効にします。 |
enableLicense | UI、CLI | 認証情報マネージャのライセンスをアクティブにします。 |
expirePasswordViewRequest | UI、CLI | パスワード表示リクエストを期限切れにします。 |
forceCheckInAccountPassword | UI、CLI | 別のユーザによってチェックアウトされているアカウントにチェックインします。 |
generateEncryptedPassword | CLI | 渡された値から暗号化文字列を生成します。 |
generateReport | UI | 認証情報マネージャ レポートを生成します。 |
getAgent | UI | 認証情報マネージャ Windows プロキシを取得します。 |
getAllScriptHash | UI、CLI | 指定されたリクエストサーバ(認証情報マネージャ クライアント)上のすべてのリクエスト アプリケーション用のスクリプト ハッシュをリフレッシュします。 |
getAuthorization | UI | 許可マッピングを取得します。 |
getAwsManagementConsoleSessionUrl | CLI | 認証された Amazon Web Services 管理コンソールのフェデレーション セッションへの URL を取得します。 |
getErrorCodes | CLI | 認証情報マネージャ サーバのエラー コードのリストを取得します。 |
getEventProcessingMetrics | CLI | 処理中の通知イベントのメトリックを取得します。 |
getGroup | UI | ターゲット グループまたはリクエスト グループを取得します。 |
getLocalProperty | CLI | プロパティ名と一致するプロパティの値を取得します。 |
getLogs | UI、CLI | siteServer または requestServer からログを含む ZIP ファイルを取得します。 |
getMetric | UI | メトリック データを取得します。 |
getMostRecentPasswordHistory | 内部 | ターゲット アカウントの最新のパスワード履歴を取得します。 |
getMSOLFederatedSessionCmd | CLI | MSOL ポータルに提示するための統合セッション リクエストを生成します。ブラウザで自動的にサブミットする Web フォームとして、このリクエストが返されます。フォームをサブミットすることにより、MSOL で統合セッションを起動できます。 |
getNumberOfAccounts | UI、CLI | 認証情報マネージャに登録されているターゲット アカウントの数を取得します。 |
getPasswordHistory | UI | ターゲット アカウントのパスワード履歴を取得します。 |
getPasswordViewPolicy | UI | ID または名前で DB から単一のパスワード表示ポリシーを取得します |
getReportData | UI | 名前付きレポートのデータを取得するためのコマンド |
getRequestServerDefaults | UI、CLI | リクエスト サーバのデフォルト値を取得します。 |
getScheduleJob | UI | スケジュール済みジョブを取得します。 |
getScript | UI | リクエスト アプリケーションを取得します。 |
getScriptHashAsynchronous | UI、CLI | リクエスト サーバ(認証情報マネージャ クライアント)上の指定されたリクエスト スクリプト用のスクリプト ハッシュをリフレッシュします。 |
getServiceStatus | CLI | Windows ドメイン サービスのターゲット アカウントに関連付けられているサービスのステータスを取得します。このコマンドは、サービス情報が「serviceInfo」という名前の拡張属性で格納されていることを前提としています。 |
getSite | UI | サイトを取得します。 |
getSystemProperty | CLI | プロパティ名と一致するプロパティの値を取得します。 |
getTargetAccount | UI | ターゲット アカウントを取得します。 |
getTargetAlias | UI | ターゲットのエイリアスを取得します。 |
getTargetApplication | UI | ターゲット アプリケーションを取得します。 |
getTargetServer | UI | ターゲット サーバを取得します。 |
getUser | UI | ユーザを取得します。 |
getUserGroup | UI | ユーザ グループを取得します。 |
listAuthorization | UI | 許可マッピングを一覧表示します。 |
listDBClusterMembers | UI、CLI | システムのデータベースのクラスタ メンバを一覧表示します。 |
listGroups | UI | ユーザ グループを一覧表示します。 |
listMetrics | UI | メトリック データを取得します。 |
listPasswordHistory | UI | ターゲット アカウントのパスワード履歴を一覧表示します。 |
listPasswordViewRequestByApproverSummary | UI、CLI | 承認者のパスワード表示リクエストのリストを返します。 |
listPasswordViewRequestByRequestorSummary | UI、CLI | リクエスタのパスワード表示リクエストのリストを返します。 |
listPasswordViewRequestSummary | UI | パスワード表示リクエストのリストを返します。 |
listPatch | UI | 認証情報マネージャ サーバにロードされている認証情報マネージャ クライアントのパッチを一覧表示します。 |
listPatchDeploymentSummary | UI | パッチ展開を一覧表示します。 |
listReports | UI | 利用可能なレポートを一覧表示します。 |
listRequestScript | UI | リクエスト アプリケーションを一覧表示します。 |
listRequestServerDefaults | CLI | リクエスト サーバのデフォルト値を一覧表示します。 |
listScheduleJob | UI | スケジュール済みのパスワードの検証および更新を一覧表示します。 |
listTargetAccounts | UI | ターゲット アカウントを一覧表示します。 |
listTargetAliases | UI | ターゲット エイリアスを一覧表示します。 |
listTargetApplications | UI | ターゲット アプリケーションを一覧表示します。 |
listUsers | UI | 認証情報マネージャ ユーザを一覧表示します。 |
renameUser | CLI | 新規の名前で既存のユーザのコピーを作成し、古いユーザを削除します。 |
resetClientCache | CLI | 保存されたパスワードのキャッシュをリセットすることをすべてのアクティブなクライアントに通知します。このコマンドを使用する前に CA サポートにお問い合わせください。 |
resetDBHash | UI、CLI | オブジェクトのデータベース ハッシュをリセットします。 |
resetGroupCache | CLI | すべてのグループまたは 1 つのグループのグループ キャッシュをリセットします。このコマンドは非同期です。 |
searchAgent | CLI | 認証情報マネージャ Windows プロキシを一覧表示します。 |
searchAuditLog | UI | 監査ログ レコードを一覧表示します。 |
searchAuthorization | CLI | 許可マッピングを一覧表示します。 |
searchFilter | UI、CLI | フィルタを一覧表示します。 |
searchGroup | CLI | ターゲット グループまたはリクエスト グループを一覧表示します。 |
searchPasswordPolicy | CLI | パスワード構成ポリシーを一覧表示します。 |
searchPasswordViewPolicy | UI、CLI | システムのパスワード表示ポリシーを一覧表示します。 |
searchPasswordViewRequest | UI、CLI | システムのパスワード表示リクエストを一覧表示します。 |
searchPasswordViewRequestByApprover | UI、CLI | 特定の承認者のパスワード表示リクエストを一覧表示します。承認者は、コマンドを実行するユーザです。 |
searchPasswordViewRequestByRequestor | UI、CLI | 特定のリクエスタのパスワード表示リクエストを一覧表示します。リクエスタは、コマンドを実行するユーザです。 |
searchRequestScript | CLI | リクエスト アプリケーションを一覧表示します。 |
searchRequestServer | UI、CLI | リクエスト サーバを一覧表示します。 |
searchRole | CLI | ロールを一覧表示します。 |
searchServerKey | UI | すべてのサーバ キーを一覧表示します。 |
searchSite | UI、CLI | サイトを一覧表示します。 |
searchSSHKeyPairPolicy | CLI | SSH キー ペア ポリシーを一覧表示します。 |
searchTargetAccount | CLI | ターゲット アカウントを一覧表示します。 |
searchTargetAlias | CLI | ターゲット エイリアスを一覧表示します。 |
searchTargetApplication | CLI | ターゲット アプリケーションを一覧表示します。 |
searchTargetServer | UI、CLI | ターゲット サーバを一覧表示します。 |
searchUser | CLI | ユーザを一覧表示します。 |
searchUserGroup | CLI | ユーザ グループを一覧表示します。 |
setInitProperty | CLI | DB2 データベースの初期化プロパティ(データベースのユーザ名とパスワード)を設定します。 |
setLocalProperty | CLI | サイト ローカル認証情報マネージャ データ ストア内のサイト名を設定します。 |
setPasswordViewReasons | CLI | UI 表示のパスワードを表示するための理由のテキストを設定します。 |
setPasswordViewRequestDeleteInterval | UI、CLI | パスワード表示リクエストの削除間隔を設定します。 |
setReportRowLimit | UI、CLI | レポートが表示するエントリの最大数を設定します。 |
setSystemProperty | CLI | 認証情報マネージャ システムのプロパティを設定します。 |
showGroup | UI | リクエスタまたはターゲット グループの内容を取得するコマンド。 |
updateAgent | UI | プロキシを変更します。 |
updateAuthorization | UI、CLI | 許可マッピングを変更します。 |
updateCompoundServers | UI | ターゲット複合サーバを変更します。 |
updateDBClusterMembers | UI、CLI | データベースのクラスタ メンバに関する情報を更新します。 |
updateDBPassword | CLI | DB2 以外のすべてのデータベースで、 認証情報マネージャ データストア管理者パスワードを変更します。 |
updateFilter | UI、CLI | ターゲット グループまたはリクエスト グループのフィルタを更新します。 |
updateGroup | UI、CLI | ターゲットおよびリクエスト グループを変更します。 |
updatePasswordHistory | UI | パスワード履歴のアイテムを変更します。 |
updatePasswordPolicy | UI、CLI | パスワード ポリシーを更新します。 |
updatePasswordViewPolicy | UI、CLI | パスワード表示ポリシーを更新します。 |
updatePasswordViewRequestStatus | UI、CLI | パスワード表示リクエストのステータスを更新し、「承認」または「拒否」します。 |
updateRequestScript | UI、CLI | リクエスト アプリケーションを変更します。 |
updateRequestServer | UI、CLI | リクエスト サーバを変更します。 |
updateRequestServerDefaults | UI、CLI | リクエスト サーバのデフォルト値を更新します。 |
updateRequestServerKey | UI、CLI | リクエスト サーバ(認証情報マネージャ クライアント)の暗号化キーを変更します。 |
updateRole | UI、CLI | ロールを変更します。 |
updateServerKey | CLI | 認証情報マネージャ サーバの暗号化キーを変更します。 |
updateSite | UI、CLI | サイト情報を変更します。 |
updateSSHKeyPairPolicy | CLI | Privileged Access Manager で既存の SSH キー ペア ポリシーを更新します。 |
updateTargetAccount | UI、CLI | ターゲット アカウントを変更します。 |
updateTargetAccountDescriptor | CLI | ターゲット アカウントの記述子の値を変更します。 |
updateTargetAccountPassword | UI、CLI | ターゲット アカウント パスワードを変更します。 注 : UI を使用してパスワードを変更するには 、このロールでも updateTargetAccount 権限が必要です。 パスワードを変更するために CLI で必要な権限 は、updateTargetAccountPassword のみです。 |
updateTargetAlias | UI、CLI | ターゲット エイリアスを変更します。 |
updateTargetApplication | UI、CLI | ターゲット アプリケーションを変更します。 |
updateTargetServer | UI、CLI | ターゲット サーバを変更します。 |
updateUser | UI、CLI | ユーザ情報を変更します。 |
updateUserGroup | UI、CLI | ユーザ グループを変更します。 |
updateUserPassword | CLI | ユーザ パスワードを変更します。 |
updateUserStatus | UI、CLI | システムへの認証情報マネージャ ユーザのアクセスを有効化または無効化します。 |
verifyAccountPassword | UI、CLI | ターゲット グループ内の同期されたアカウント パスワードまたはすべての同期されたアカウントを確認します(必要に応じて、確認済みのアカウントまたは確認されていないアカウントを除外)。 |
verifyDBHash | CLI | DB に格納されているほとんどの BaseModel オブジェクトのハッシュ値を確認します。 |
viewAccountPassword | UI、CLI | ユーザがアカウント パスワードを表示することを許可します。 |