サーバにログインできるユーザの作成および編集
管理者として、以下の手順に従ってユーザを作成または編集します。テンプレートまたは CSV ファイルを使用してユーザ レコードを作成および変更します。LDAP または RADIUS グループの場合は、既存のユーザ レコードのみ変更できます。
capam34
HID_UsersFeatureTabPanel
管理者として、以下の手順に従ってユーザを作成または編集します。テンプレートまたは CSV ファイルを使用してユーザ レコードを作成および変更します。LDAP または RADIUS グループの場合は、既存のユーザ レコードのみ変更できます。
ユーザを管理するには、以下の方法を確認します。
2
テンプレートを使用したユーザ アカウントの追加
UI でテンプレートを使用してユーザ アカウントを作成します。各ユーザに対して設定可能な特徴は次のとおりです。
- 基本プロファイル情報
- ユーザの認証方法とユーザ アカウントのステータス
- ユーザ権限を定義するロール
- ユーザ ログインの時間帯の制限
- ユーザ グループ メンバシップ
- API キー
既存のユーザ アカウントを更新する場合は、[
ポリシー管理
]ボタンを使用できます。このボタンを選択して[ポリシー]ページに移動しますが、すでにユーザ レコードに加えられた変更は失われます。現在のユーザ名を含むユーザ(グループ)フィールドに入力します。 基本情報の指定
[
基本情報
]セクションにユーザ名および連絡先情報を入力します。以下の手順に従います。
- UI にログインします。
- [ユーザ]-[ユーザ管理]を選択します。
- [追加]を選択して、ユーザを作成します。[リスト]ウィンドウに、ユーザ アカウントのテンプレートが表示されます。
- [基本情報]セクションで、フィールドに入力します。必要な設定は、赤いアスタリスクで示されます。一部のフィールドについては、以下の情報に注意してください。
- ユーザ名 - 英数字、ダッシュ、アンダースコア、およびスペースを使用できます。AWS ユーザの場合、AWS 内のフェデレーション ユーザに対する制限のため、ユーザ名は 2 ~ 32 文字の範囲で指定します。
- パスワード - ユーザのパスワード
- RDP ユーザ名 - RDP アプレットは、この名前を認証情報として使用して、リモートの Windows デバイスにアクセスします。
- メインフレームの表示名 - AS/400 アプレット TN5250 および TN5250SSL は、この名前を使用します。
ユーザ レコードの管理設定の構成
[管理]タブには、ユーザの認証方法を示す情報およびそのユーザ アカウントのステータスが含まれています。
以下の手順に従います。
- [認証]フィールドで、メニューからユーザの認証方法を選択します。
- ローカル:ローカル ユーザ アカウントは、PAMデータベースでホストされます。
- RADIUS: RADIUS サーバへのユーザ認証。ユーザは、RADIUS サーバでプロビジョニングされる認証情報を入力します。このオプションは、RADIUS サーバが設定されている場合にのみ使用できます(「設定」、「サードパーティ」を参照してください)。RADIUS ユーザを LDAP 経由でプロビジョニングする場合、そのユーザが RADIUS サーバに対して認証されます。
- RSA:RSA SecurID による認証。ユーザは、名前とパスワードでログインします。パスコードは、PIN と SecurID デバイスからの現在の読み出し情報の組み合わせです。たとえば、ユーザの PIN が 3425 で、SecurID デバイスからの現在の読み出し情報が 866329 の場合、パスコードは 3425866329 です。
- スマートカード/PKI- ユーザはスマート カードで認証されます。PAMは、OCSP サーバに対するユーザ証明書、または証明書破棄リスト(CRL)をチェックします。スマートカードのユーザが初めてサーバにアクセスすると、指定された名前とユーザ アカウントが登録されます。[CAC ユーザの承認]タブにユーザ名が表示されます。このユーザは、デバイスのアクセスを割り当てる前に承認される必要があります。スマート カード認証を使用するには、[セキュリティ]-[アクセス]-[PKI オプション]で、スマートカード パラメータを設定します。
- ユーザ アカウントの非アクティブ化および終了の設定を構成します。
- [アカウントの有効期限でセッションを終了]チェック ボックスを選択すると、ユーザ ログインおよび現在のすべてのセッションが有効期限の日付/時間に終了します。そうしないと、アカウントの違反制限を超えます。ユーザのログイン中にユーザ アカウントが非アクティブになると、セッションは終了します。
- 設定済みのユーザがログインした時に電子メール アカウントを指定して通知を受信します。[ログイン時に電子メールを送信]フィールドに特定の管理者への電子メールをトリガします。[ログイン時に電子メールを自分に送信]フィールドを選択すると、ユーザ レコードの[基本情報]セクション内のアドレスに電子メールがトリガされます。
- ユーザがPAMクライアントからPrivileged Access Managerにアクセスする場合に、ログインが許可される IP アドレスの範囲を入力します。許可されている区切り文字: スペース、カンマ、セミコロン、改行。例: 192.0.2.0/28,192.0.3.234/32許可されている IP アドレスの形式は次のとおりです。
- 単一の IP: 192.0.2.1
- CIDR: 192.0.2.0/28
- 範囲: 192.0.2.1-32
このフィールドが空の場合は、IP アドレス制限は適用されません。ユーザ定義は、ユーザ グループの定義をオーバーライドします。ユーザ ポリシーが定義されていない場合でも、そのユーザが異なるルールを持つ複数のユーザ グループのメンバである場合は、そのグループのアクセス権限は追加されます(制限が少ない)。PAMサーバがプロキシ、ロード バランサ、またはルータなどのネットワーキング デバイスの背後に配置されている場合、デバイスによって X-Forwarded-For HTTP ヘッダの IP スプーフィングが防止されていることを確認します。
ユーザへのアクセス ロールの割り当て
アクセス ロールは、アクセスが定義されている権限のコレクションです。アクセス操作を実行するには、各ユーザに、1 つまたは複数のロールが割り当てられている必要があります。
以下の手順に従います。
- [ユーザの追加]または[ユーザの更新]画面で[ロール]タブを選択します。
- 必要に応じて、[ロール]テーブルの左にあるプラス記号を選択して[ロール]リストを展開します。「標準ユーザ」は、デフォルトで事前に割り当てられたロールです。このロールではデバイスへのアクセスが許可されています。ユーザは、そのユーザがメンバになっているグループからロールを継承できます。
- 割り当てるロールごとに、以下の手順を実行します。
- 以下のスクリーン ショットで強調表示されているように、右側にあるプラス記号を選択します。
/content/addrole.png/_jcr_content/renditions/original)
- 表示される[ロールを指定してください]フィールドを選択し、キャレット記号(以下のスクリーン ショットで強調表示)を選択すると、使用可能なロールのプルダウン リストが開きます。
/content/specifyarole.png/_jcr_content/renditions/original)
- リストから割り当てるロールを選択します。ロール(たとえば、デバイス/グループ マネージャまたはポリシー マネージャ)にユーザ グループ、デバイス グループ、またはその両方を指定する必要があり、ロールがそれらのグループに対する制御権を持つ場合、以下の画面例に示すように、対応するエントリがロールの下に表示されます。
そのようなグループを指定するには、以下のいずれかのオプションを使用します。- エントリの右側にあるプラス記号(+)アイコンを選択して、必要なグループを指定します。
- 以下の画面例に示すように、表示される[グループを指定してください]エントリを選択し、[ユーザ グループ]または[デバイス グループ]の選択ダイアログ ボックスのいずれか適切な方を開きます。
/content/user%20groups%20dialog.png/_jcr_content/renditions/original)
- すべてのユーザ グループを含めるには[すべてのユーザ]を選択し、[ユーザ グループ]フィールドに入力を開始するか、虫眼鏡アイコンを選択して包括的な検索オプションが含まれるダイアログ ボックスを開きます。一度に選択できるユーザまたはデバイス グループは 1 つだけです。追加のグループを指定するには、必要に応じて、[ユーザ グループ]または[デバイス グループ]エントリの右側にある[+]オプションを使用します。
いずれかの方法を使用してグループを選択したら、[OK]を選択して保存します。
認証情報マネージャ機能へのアクセス権をユーザに与えるには、
パスワード マネージャ
ロール(または認証情報の管理権限を持つ任意のロール)を追加します。認証情報マネージャのアクセス権を持つ各ユーザには、アクセス可能な認証情報管理機能を特定するために、事前定義済みの認証情報マネージャ グループも割り当てる必要があります。詳細については、「認証情報マネージャ ロールおよびグループの追加」を参照してください。
ログイン期間の指定
ユーザがサーバにログインできる時間を決定する時間ベースのアクセス制限を設定するには、
[アクセス時間]
オプションを選択します。以下の手順に従います。
- UI から、[ユーザ]-[ユーザ管理]を選択します。
- 既存のユーザ エントリを追加または変更します。
- [アクセス時間]タブを選択します。
- プラス記号を選択し、アクセスを許可する日を指定します。
- [開始]および[終了]テーブルの列で、ドロップダウン リストを選択して時間のリストを表示します。アクセス時間は協定世界時で指定されます。
- [OK]を選択して入力内容を保存します。
認証情報マネージャのグループを含むグループへのユーザの追加
ユーザがユーザ グループのメンバになる前に、そのグループを設定する必要があります。
[ユーザ管理]-[ユーザ グループ管理]
を選択して、ユーザ グループを設定します。グループを設定した後に、ユーザを追加します。 以下の手順に従います。
- ユーザ レコードを開きます。
- 該当するいずれかのグループ タブを選択します。
- グループ: 認証情報マネージャ権限を持つロール以外のすべてのロール
- 認証情報マネージャ グループ: パスワード マネージャ権限を持つすべてのロールユーザ ロールにパスワード マネージャ権限がない場合は、[認証情報マネージャ グループ]ウィンドウは使用できません。
- 1 つまたは複数のグループにユーザを追加するには、各グループのチェック ボックスを選択します。
- 右矢印を選択して、グループを[選択されたグループ]リストに移動します。
- [保存]を選択します。
ユーザ グループは、Active Directory またはその他のディレクトリ ユーザには使用できません。代わりに、ユーザをディレクトリおよび
Privileged Access Manager
で読み取られた属性でグループ化する必要があります。ディレクトリ ユーザに対するポリシーの設定は、グループ レベルで実行します。ExternalAPI へのアクセスへの許可
ExternalAPI とは、プロビジョニングおよびアクセス管理に関連するほとんどの機能をプログラムで制御する REST API です。ExternalAPI は、ユーザ認証用の API キーを持つ HTTP 基本認証を使用します。キーは、HTTPS を使用して保護されています。許可は、API キーを、標準的な Web インターフェースを使用してアクセスできるものを制限するロールで同じものを持つ API キーを関連付けることにより行われます。
以下の手順に従います。
- API キーを選択します。
- キーの名前を割り当てます。名前もこのユーザに使用できます。このオプションでは、このユーザ用のキーを継続的に保存することができますが、必要に応じてキーをアクティブまたは非アクティブにできます。
- キーをアクティブなキーにするには、[アクティブ]チェック ボックスをオンにします。
- このユーザおよび認証情報で制御できる機能を決定する特権を持つ 1 つ以上のロールを選択します。キーを使用する場合のみ、ロールを割り当てます。ユーザがユーザ グループからロールを継承する場合は、継承されたロールをクリックして識別します。
LDAP または RADIUS グループ内でのユーザ レコードの編集
これらのユーザ レコードは、[ 以下の特徴に注意してください。
ユーザ
]-[グループ管理
]ページの機能を使用して作成されます。ただし、これらのレコードの一部は[ユーザの管理
]ページで編集できます。- ユーザは、インポート元の LDAP グループ(のコピー)にすでに割り当てられています([グループ]パネルを参照してください)。
- LDAP または RADIUS からインポートされるフィールドは編集できません。
- 割り当てられた特定フィールドは編集することができます。以下のものが含まれます。
- キーボード レイアウト
- RDP ユーザ名
- メインフレームの表示名
- Account Status
- 非アクティブ化の際のセッションの終了
- ログイン時の電子メール送付先
- ログイン時に電子メールを自分に送信
- 利用可能なロール
- アクセス時間フィールド
- 利用可能なグループ(関連する LDAP グループは削除できません)。
ポリシーからのユーザ レコードの編集
管理者は、[ポリシー管理]ページからユーザのレコードを直接呼び出して編集できます。
- [ポリシー]-[ポリシー管理]ページを開きます。
- [追加]または[更新]を選択します。
- [ユーザ](または[グループ])フィールドにレコード名を入力します。
- ユーザ レコードを開くために[ユーザ管理]を選択します。
- ユーザ レコードを開きます。
- 終了したら、[ポリシー管理]を選択して[ポリシー管理]ページに戻ります。