エンドポイント CSV ファイルの作成

エンドポイント CSV ファイルで、ヘッダ行の次にある行はそれぞれ、 エンタープライズ コンソールでエンドポイントの作成、変更、削除を行うタスクを表しています。
cminder12901jp
エンドポイント CSV ファイルで、ヘッダ行の次にある行はそれぞれ、
Privileged Identity Manager
エンタープライズ コンソールでエンドポイントの作成、変更、削除を行うタスクを表しています。
重要:
CSV ファイルを作成する際に、ほかのアプリケーションがそのファイルを使用しないこと、およびそのファイル名を変更できることを確認します。 SAM フィーダは、名前を変更できる CSV ファイルのみを処理します。
以下の手順に従います。
  1. CSV ファイルを作成して、適切な名前を付けます。
    注:
    エンドポイント CSV ファイルのサンプルのコピーを作成することをお勧めします。 サンプル ファイルは以下のディレクトリにあります。この
    ACServer
    はエンタープライズ管理サーバをインストールしたディレクトリです。
    ACServer/IAM Suite/Access Control/tools/samples/feeder
  2. エンドポイント属性の名前を指定するヘッダ行を作成します。
    エンドポイント属性の名前は以下のとおりです。 いくつかのエンドポイント属性は、特定のエンドポイント タイプにのみ有効です。
    • OBJECT_TYPE
      インポートするオブジェクトのタイプを指定します。
      値:
      ENDPOINT
    • ACTION_TYPE
      実行するアクションのタイプを指定します。
      値:
      CREATE、MODIFY、DELETE
    • %FRIENDLY_NAME%
      Privileged Identity Manager
      エンタープライズ コンソール内でこのエンドポイントを参照するために使用する名前を定義します。
    • DESCRIPTION
      このエンドポイント用に記録する情報を定義します。
    • ENDPOINT_TYPE
      エンドポイントのタイプを指定します。
      注:
      利用可能なエンドポイント タイプを
      Privileged Identity Manager
      エンタープライズ コンソールに表示できます。 CA Identity Manager プロビジョニング タイプのエンドポイントを作成する前に、
      Privileged Identity Manager
      エンタープライズ コンソール内に Identity Manager プロビジョニング タイプのコネクタ サーバを作成します。
    • HOST
      エンドポイントのホスト名を定義します。
    • LOGIN_USER
      エンドポイントの管理ユーザの名前を定義します。 この属性は、CA Identity Manager プロビジョニング エンドポイント タイプに対しては有効では
      ありません
      。ただし、その他のすべてのエンドポイント タイプに対して有効です。
      SSH Device 以外のすべての有効なエンドポイント タイプ:
      • 特権管理アカウント(IS_ADVANCE 属性)を指定しない場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、エンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)が実行されます。
      • 特権管理アカウントを指定する場合、 SAM では LOGIN_USER のすべての値が無視されます。
      SSH Device エンドポイント:
      • 操作管理者(OPERATION_ADMIN_USER_NAME)および特権管理アカウントを指定しない場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。
      • 操作管理者を指定する場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、操作管理者を利用してエンドポイントに対する管理タスクが実行されます。
      • 特権管理アカウントを指定する場合、 SAM では LOGIN_USER のすべての値が無視されます。
    • PASSWORD
      LOGIN_USER のパスワードを定義します。 この属性は CA Identity Manager プロビジョニング エンドポイント タイプに対しては有効では
      ありません
      。ただし、その他のすべてのエンドポイント タイプに対しては有効です。
    • URL
      エンドポイントに接続するために使用する URL を定義します。 この属性は、MS SQL Server および Oracle Server のエンドポイント タイプに有効です。
      形式:
      (MS SQL Server) jdbc:sqlserver://
      servername
      :
      port
      形式:
      (Oracle Server) jdbc:oracle:
      drivertype
      :@
      hostname
      :
      port
      :
      service
    • DOMAIN
      このエンドポイントがメンバであるドメインの名前を指定します。 この属性は Access Control for SAM および Windows エージェントレス エンドポイント タイプに有効です。
    • IS_ACTIVE_DIRECTORY
      ユーザ アカウントが Active Directory アカウントかどうかを指定します。 この属性は Windows エージェントレス エンドポイント タイプのみに有効です。
      制限:
      TRUE、FALSE
    • USER_DOMAIN
      LOGIN_USER がメンバであるドメインの名前を指定します。 この属性は Windows エージェントレス エンドポイント タイプに有効です。
    • CONFIGURATION_FILE
      定義する SSH Device XML 環境設定ファイルの名前を指定します。 この属性は SSH Device エンドポイント タイプに有効です。
      注:
      この属性の値を指定しない場合、
      Privileged Identity Manager
      エンタープライズ コンソールはデフォルト設定ファイル(ssh_connector_conf.xml)を使用します。
    • OPERATION_ADMIN_USER_NAME
      (オプション)エンドポイントの操作管理者ユーザの名前を定義します。 SAM は、このアカウントを使用してエンドポイントに対する管理タスクを実行します。たとえば、特権アカウントのパスワードを検出し、変更します。 この属性は、以下のように、SSH Device エンドポイント タイプに有効です。
      • 特権管理アカウント(IS_ADVANCE 属性)および操作管理者を指定する場合、SAM では特権管理アカウントを使用してエンドポイントに接続され、操作管理者を使用してエンドポイントに対する管理タスクが実行されます。
      • LOGIN_USER および操作管理者を指定する場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、操作管理者を利用してエンドポイントに対する管理タスクが実行されます。
      Check Point ファイアウォールを使用する SSH エンドポイントに対して操作管理者を指定する場合、エキスパート ユーザを指定します。 ただし、SAM を使用してエンドポイント上のエキスパート アカウントのパスワードを変更することはできません。 この制限は、エキスパート アカウントが SAM 内の接続解除されたアカウントである必要があることを意味します。
    • OPERATION_ADMIN_USER_PASSWORD
      (オプション)エンドポイントの操作管理者ユーザのパスワードを定義します。 この属性は SSH Device エンドポイント タイプに有効です。
    • ENDPOINT
      CA Identity Manager プロビジョニング サーバで定義したとおりに、エンドポイント名を定義します。 この属性は CA Identity Manager プロビジョニング エンドポイント タイプに有効です。
    • IS_ADVANCE
      (オプション)エンドポイントに接続し、エンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)を実行するのに、特権管理アカウントを使用するかどうかを指定します。 この属性はすべてのエンドポイント タイプに有効です。
      SSH Device 以外のすべての有効なエンドポイント タイプに対し、特権管理アカウント(IS_ADVANCE は TRUE)を指定する場合、SAM は特権管理のアカウントを使用してエンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。
      SSH Device エンドポイント:
      • 特権管理アカウントおよび操作管理者(OPERATION_ADMIN_USER_NAME)を指定する場合、SAM では特権管理者を使用してエンドポイントに接続され、操作管理者を使用してエンドポイントに対する管理タスクが実行されます。
      • 特権管理アカウントのみを指定する場合、SAM は特権管理アカウントを使用して、エンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。
      制限:
      TRUE、FALSE
      注:
      この属性の値を TRUE に設定した場合は、LOGIN_USER には値を指定しません。 ただし、PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE、PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME、PROPERTY_ADMIN_ACCOUNT_CONTAINER、および PROPERTY_ADMIN_ACCOUNT_NAME は指定する必要があります。
    • PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE
      (オプション)特権管理アカウントが定義されるエンドポイントのタイプを定義します。
      注:
      特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
    • PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME
      (オプション)特権管理アカウントが定義されるエンドポイントの名前を定義します。 エンドポイントは、
      Privileged Identity Manager
      エンタープライズ コンソールに存在する必要があります。
      注:
      特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
    • PROPERTY_ADMIN_ACCOUNT_CONTAINER
      (オプション)特権管理アカウントが定義されるコンテナを定義します。 コンテナは、そのインスタンスが他のオブジェクトの集合であるクラスです。
      値は以下のとおりです。
      (Windows エージェントレスおよび Oracle Server): Accounts
      (SSH Device): SSH Accounts
      (MS SQL Server): MS SQL Logins
      注:
      特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
    • PROPERTY_ADMIN_ACCOUNT_NAME
      (オプション) SAM によりエンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)の実行に使用される特権管理アカウントの名前を定義します。 特権アカウントは
      Privileged Identity Manager
      エンタープライズ コンソール内に存在する必要があります。
      注:
      特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
    • LOGIN_APPLICATION
      エンドポイントと関連付けるログイン アプリケーションの名前を指定します。
    • OWNER_INFO
      エンドポイントの所有者を指定します。
    • OWNER_TYPE
      (オプション)エンドポイント タイプの説明を指定します。
      値:
      USER、 GROUP
    • DEPARTMENT_INFO
      部門の名前を指定します。
    • CUSTOM1....5_INFO
      カスタマ固有の属性を 5 つまで指定します。
    • ADMIN_ACCOUNT_IS_DISCONNECTED
      エンドポイント管理者アカウントが接続解除されるかどうかを指定します。 
      値:
      TRUE、FALSE
      デフォルト:
      TRUE
    • DISABLE_EXCLUSIVE_SESSIONS
      このエンドポイントで排他的セッション オプションを無効にするかどうかを指定します。
      値:
      TRUE、FALSE
      デフォルト:
      FALSE
    • DENY_BREAKGLASS_EXCLUSIVE
      Break Glass を使用して、実行中の排他的アカウントへのアクセスを阻止するかどうかを指定します。
      値:
      TRUE、FALSE
      デフォルト:
      FALSE
    • ENABLE_SESSION_RECORDING
      このエンドポイント上でのセッション記録機能を有効にします。
  3. エンドポイント タスクの行を CSV ファイルに追加します。
    各行はエンドポイントを作成または変更するタスクを表します。また、ヘッダと同じ属性が必要です。 この属性はヘッダと同じ順にする必要があります。 行に属性の値がない場合は、フィールドを空にしておきます。
  4. ファイルをポーリング フォルダに保存します。 
    エンドポイント CSV ファイルは、SAM フィーダで処理する準備ができています。
    注:
    デフォルトのポーリング フォルダは以下の場所にあります。この
    JBoss_home
    は JBoss をインストールしたディレクトリです。
    JBoss_home/server/default/deploy/IdentityMinder.ear/custom/ppm/feeder/waitingToBeProcessed
例: エンドポイント CSV ファイル
以下は、エンドポイント CSV ファイルのサンプルです。 それ以外のサンプル エンドポイント CSV ファイルは、
ACServer
/IAM Suite/Access Control/tools/samples/feeder ディレクトリにあります。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,DESCRIPTION,ENDPOINT_TYPE,HOST,LOGIN_USER,PASSWORD,URL,CONFIGURATION_FILE,DOMAIN,IS_ACTIVE_DIRECTORY,USER_DOMAIN,ENDPOINT ENDPOINT,Oracle1,oracle 10g,Oracle Server,TEST10, ORAADMIN1,ORAADMIN1,jdbc:oracle:thin:@TEST10:1521:RNDSRV,,,,, ENDPOINT,local MSSQL1,local SQL server,MS SQL Server, localhost,testAdmin,Password1@,jdbc:sqlserver://localhost:1433,,,,, ENDPOINT,SSH_Device2,unix machine,SSH Device,TEST84,root,Password1@,,,,,, ENDPOINT,IM_Access Control,Access Control via provisioning,Access Control,TEST1,,,,,,,,TEST1
作成に必須の属性またはエンドポイントの変更
作成または変更する CSV ファイルに含める必要のある必須属性とエンドポイントを以下に示します。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,ENDPOINT_TYPE
エンドポイント タイプ
LOGIN_USER
PASSWORD
HOST
DOMAIN
URL
ENDPOINT
SSH Device*
+
+
+
 
 
 
Windows Agentless*
+
+
+
+
 
 
Sybase Server*
+
+
+
 
+
 
os400*
+
+
+
 
 
 
ACF2*
+
+
+
 
+
 
MS SQL Server*
+
+
+
 
+
 
Oracle Server*
+
+
+
 
+
 
ネットワーク デバイス
 
 
+
 
 
 
RACF*
+
+
+
 
+
 
Access Control for PUPM
 
 
+
 
 
 
Disconnected
 
 
+
 
 
 
ActiveDirectory via Provisioning
 
 
+
 
 
+
OS400 via Provisioning
 
 
+
 
 
+
NDS Servers via Provisioning
 
 
+
 
 
+
CA ACF2 via Provisioning
 
 
+
 
 
+
Access Control for Provisioning
 
 
+
 
 
+
CA-Top Secret via Provisioning
 
 
+
 
 
+
RACF via Provisioning
 
 
+
 
 
+
Windows NT via Provisioning
 
 
+
 
 
+
* IS_ADVANCED 属性を定義する場合、LOGIN_USER およびパスワードの属性は指定されません。
エンドポイントを削除するための必須属性
エンドポイントの削除を定義するのに必要な必須属性を以下に示します。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME,ENDPOINT_TYPE,HOST
共有アカウントの作成または変更の必須属性
以下は、共有アカウントの作成または変更の定義に必須の属性です。
OBJECT_TYPE,ACTION_TYPE,ACCOUNT_NAME,ENDPOINT_NAME,NAMESPACE,CONTAINER,PASSWORD_POLICY,ACCOUNT_PASSWORD