ネストされたグループの設定

ネストされたグループは、エンタープライズ管理サーバで特権アカウントのアクセスのためにロールのスコーピング ルールを設定するときに使用できます。 
cminder12901jp
ネストされたグループは、エンタープライズ管理サーバで特権アカウントのアクセスのためにロールのスコーピング ルールを設定するときに使用できます。 
ネストされたグループを使用するには、特定のタスクを実行する必要があります。
  1. ネストされたグループを検索できるように、CA Identity Manager 管理コンソールで、
    ac-dir.xml
    ファイルを更新します。
    以下の手順に従います。
    1. CA Identity Manager 管理コンソールで、
      [ディレクトリ]
      をクリックします。
    2. ac-dir
      ディレクトリをクリックします。
    3. [ディレクトリのプロパティ]
      ウィンドウの下部で、
      [エクスポート]
      をクリックします。
    4. ac-dir.xml
      ファイルを編集用に開きます。
    5. GroupTypes
      の値を検索し、
      ALL
       で置き換えます。 デフォルト値は DYNAMIC です。
      例: 
      <!--   ******************** Directory Groups Behavior ********************   -->
        <!-- OPTIONAL - GroupTypes determines what kind of groups Identity Manager will use. -->
        <!-- GroupTypes consists of the following attributes:  -->
        <!-- 1. type - indicates the type of groups Identity Manager uses  (NONE, ALL, DYNAMIC, NESTED)  -->
        <!-- If type is ALL or NESTED, be sure to determine and configure the nested group membership -->
        <!-- if the nested group members are to be stored in a separate static member list, the an additional  -->
        <!-- ImsManagedObjectAttribute for %NESTED_GROUP_MEMBERSHIP% will need to be provided  -->
        <!-- in the definition for the Group Managed Object.  -->
       <GroupTypes type="ALL"/>
    6. ac-dir.xml
      ファイルで以下のテキストを検索します。
      <Container objectclass="top,organizationalUnit" attribute="ou"/>
      また、末尾に value="" を追加します。
      例:
      <Container objectclass="top,organizationalUnit" attribute="ou" value=""/>
    7. ac-dir.xml
      ファイルを保存します。
    8. CA Identity Manager 管理コンソールの
      [ディレクトリ プロパティ(Directory Properties)]
      ページで、
      [更新]
      をクリックして XML ファイルをインポートします。
    9. CA Identity Manager 管理コンソールで、
      [ホーム]
      [環境]
      [ac-env]
      [詳細設定]
      [その他]
      に移動します。
      SkipLDAPDynamicGroupSearch
      および
      StoreADUsersInCache
      が false に設定されていることを確認します。
      UseInMemoryEvaluation
      を設定する場合は、その値が 3 に設定されていることを確認します。
    これで、エンタープライズ管理サーバの設定が完了し、ネストされたグループがスコーピング ルールに表示されるようになりました。 
  2. wbemPath 属性にネストされたグループが設定されるように、スコーピング ルールで参照する各グループを更新します。 Enterprise Manager サーバは Active Directory 属性 wbemPath を参照し、Active Directory にネストされているグループを認識します。 ネストされたグループのネイティブ サポートは提供されていないため、ネストして Enterprise Manager サーバで使用する各グループには wbemPath があり、配下のグループをリストするために更新されている必要があります。
    Note:
     To see the wbemPath value in the Active Directory User and Computers, you must enable the Advanced Features in the View Menu.
    例: トップレベルのグループは、SAMUsers です。 そのメンバは、SAMAuthUser グループです。 アクセスが必要なユーザは、SAMAuthUser グループ内に存在します。 ネストされたグループの完全な DN を含む SAMUsers の wbemPath を更新する必要があります。 
    image2017-7-13 22:46:42.png
    このリストには、各メンバ グループを 1 つずつ追加する必要があります。 次に、トップレベルのグループを指すように
    Privileged Identity Manager
     エンタープライズ コンソール内でロールを更新します。 このグループ内のグループおよびユーザには、スコープに基づいてアクセスが与えられます。 
    ロールの例:
    PUPM 特権アクセス ロールのアクセス制御
    image2017-7-13 22:47:34.png
    SAMUsers グループのメンバであるユーザには、PUPM エンドポイント タイプの[アクセス制御]で特権アカウントへのアクセスがあります。 ユーザは SAMUsers の直接メンバではなく、SAMUsers 配下にネストされている SAMAuthUser グループのメンバです。