APPL クラス
APPL クラスの各レコードは、CA SSO で使用されるアプリケーションを定義します。
capamsc141
APPL クラスの各レコードは、CA SSO で使用されるアプリケーションを定義します。
APPLクラスのレコードのキーは、アプリケーションの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。- ACLリソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
- APPLTYPECA SSO で使用されます。
- AZNACL権限 ACL を定義します。これは、リソースの説明に基づいてリソースへのアクセスを許可する ACL です。説明は、オブジェクトではなく認証エンジンに送信されます。一般に、AZNACL が使用される場合、オブジェクトはデータベースにありません。
- CAPTIONデスクトップのアプリケーション アイコンの下に表示されるテキストです。デフォルトは APPL クラスのレコードの名前です。制限:47 文字の英数字。
- CMDLINEアプリケーション実行可能ファイルのファイル名です。CA SSO で使用されます。制限:255 文字。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CONTAINED_ITEMSレコードがコンテナである場合に、コンテナに含まれるアプリケーションのレコード名です。このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの item[-](applName) パラメータを使用します。
- CONTAINERSレコードが他のアプリケーションに含まれている場合は、コンテナ アプリケーションのレコード名です。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- DIALOG_FILEアプリケーションのログイン シーケンスを含むディレクトリ内の CA SSO スクリプトの名前です。デフォルトのディレクトリの場所は、/usr/sso/scripts です。デフォルト値は「no script」です。このプロパティを変更するには、chres、editres、newres の各コマンドで、script[-](fileName) パラメータを使用します。
- GROUPSアプリケーションの使用を許可されているユーザ グループのリストです。
- HOSTアプリケーションが存在するホストの名前です。このプロパティを変更するには、chres、editres、newres の各コマンドで、host[-](hostName) パラメータを使用します。
- ICONFILEデスクトップに表示するアプリケーションのアイコンが保存されているファイルのファイル名または完全パスです。Privileged Access Managerは、エンド ユーザのワークステーションにアイコン ファイルが存在することを前提としています。ファイル名のみを入力した場合は、次の順序でファイルが検索されます。
- 現在のディレクトリ
- 環境変数 PATH に指定されているディレクトリ
- ICONIDアイコン ファイル内のアイコンの(必要に応じた) ID 番号です。ICONID が指定されていない場合は、デフォルト アイコンが使用されます。
- IS_CONTAINERアプリケーションがコンテナかどうかを指定します。デフォルトは no です。このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの container[-] パラメータを使用します。
- IS_DISABLEDアプリケーションが無効化された状態かどうかを指定します。アプリケーションが無効化された状態である場合、ユーザはアプリケーションにログインできません。この機能は、ユーザがアプリケーションを変更しているときに、他のユーザがアプリケーションにログインできないようにする場合に便利です。無効化された状態のアプリケーションはアプリケーション メニュー リストに表示されますが、ユーザがそのアプリケーションを選択すると、メッセージが表示され、ログインは中止されます。デフォルトは「not disabled」です。
- IS_HIDDENアプリケーションを起動できるユーザのデスクトップにもアプリケーション アイコンを表示するかどうかを指定します。たとえば、他のアプリケーションにパスワードを提供する目的のみを果たすアプリケーションなどのマスタアプリケーションを非表示にすることができます。デフォルトは「not hidden」です。このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの hidden[-] パラメータを使用します。
- IS_SENSITIVE事前設定された時間が経過した後にユーザがアプリケーションを開いた場合に、再認証が必要かどうかを指定します。デフォルトは「not sensitive」です。このプロパティを変更するには、chres、editres、newres の各コマンドで、sensitive[-] パラメータを使用します。
- LOGIN_TYPEユーザ パスワードの指定方法です。値は、pwd(平文パスワード)、otp(ワンタイム パスワード)、appticket(メインフレーム アプリケーション認証専用チケット)、none(パスワード不要)、またはpassticket(IBM が開発したワンタイム パスワード置換フォーマット。メインフレームのセキュリティ パッケージで使用される)です。デフォルトは pwd です。このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの login_type(value) パラメータを使用します。
- MASTER_APPL他のアプリケーションにパスワードを提供するアプリケーションのレコード名です。デフォルトは「no master」です。このプロパティを変更するには、chres、editres、newres の各コマンドで、master[-](applName) パラメータを使用します。
- NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。Accessor
アクセサを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
Privileged Access Manager
では、指定したユーザに監査レコードを電子メールで送信できます。制限:
30 文字。OWNER
レコードを所有するユーザまたはグループを定義します。
PGMDIR
アプリケーションの実行可能ファイルが格納されているディレクトリまたはディレクトリのリストです。CA SSO で使用されます。
PWD_AUTOGEN
アプリケーション パスワードを CA SSO で自動的に生成するかどうかを指定します。デフォルトは no です。
PWD_SYNC
アプリケーション パスワードを自動的に他のアプリケーションのパスワードと同一にするかどうかを指定します。デフォルトは no です。
PWPOLICY
アプリケーションに適用するパスワード ポリシーのレコード名です。パスワード ポリシーは、新しいパスワードの妥当性をチェックし、パスワードの有効期限を定義する一連のルールです。デフォルトでは、妥当性チェックは行われません。
RAUDIT
Privileged Access Manager
が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は Resource
AUDIT
の短縮形です。有効な値は以下のとおりです。- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SCRIPT_POSTCMD
ログイン スクリプトの後に 1 つ以上のコマンドを実行するかどうかを指定します。
SCRIPT_PRECMD
ログイン スクリプトの前に 1 つ以上のコマンドを実行するかどうかを指定します。
SCRIPT_VARS
CA SSO で使用されます。アプリケーションごとに保存されるアプリケーション スクリプトの変数値を含む変数リストです。
TKTKEY
CA SSO のみで使用されます。
TKTPROFILE
CA SSO のみで使用されます。
UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Access Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。