エンドポイント CSV ファイルの作成
エンドポイント CSV ファイルで、ヘッダ行の次にある行はそれぞれ、 エンタープライズ コンソールでエンドポイントの作成、変更、削除を行うタスクを表しています。
cminder12901jp
エンドポイント CSV ファイルで、ヘッダ行の次にある行はそれぞれ、
Privileged Identity Manager
エンタープライズ コンソールでエンドポイントの作成、変更、削除を行うタスクを表しています。重要:
CSV ファイルを作成する際に、ほかのアプリケーションがそのファイルを使用しないこと、およびそのファイル名を変更できることを確認します。 SAM フィーダは、名前を変更できる CSV ファイルのみを処理します。以下の手順に従います。
- CSV ファイルを作成して、適切な名前を付けます。注:エンドポイント CSV ファイルのサンプルのコピーを作成することをお勧めします。 サンプル ファイルは以下のディレクトリにあります。このACServerはエンタープライズ管理サーバをインストールしたディレクトリです。ACServer/IAM Suite/Access Control/tools/samples/feeder
- エンドポイント属性の名前を指定するヘッダ行を作成します。エンドポイント属性の名前は以下のとおりです。 いくつかのエンドポイント属性は、特定のエンドポイント タイプにのみ有効です。
- OBJECT_TYPEインポートするオブジェクトのタイプを指定します。値:ENDPOINT
- ACTION_TYPE実行するアクションのタイプを指定します。値:CREATE、MODIFY、DELETE
- %FRIENDLY_NAME%Privileged Identity Managerエンタープライズ コンソール内でこのエンドポイントを参照するために使用する名前を定義します。
- DESCRIPTIONこのエンドポイント用に記録する情報を定義します。
- ENDPOINT_TYPEエンドポイントのタイプを指定します。注:利用可能なエンドポイント タイプをPrivileged Identity Managerエンタープライズ コンソールに表示できます。 CA Identity Manager プロビジョニング タイプのエンドポイントを作成する前に、Privileged Identity Managerエンタープライズ コンソール内に Identity Manager プロビジョニング タイプのコネクタ サーバを作成します。
- HOSTエンドポイントのホスト名を定義します。
- LOGIN_USERエンドポイントの管理ユーザの名前を定義します。 この属性は、CA Identity Manager プロビジョニング エンドポイント タイプに対しては有効ではありません。ただし、その他のすべてのエンドポイント タイプに対して有効です。SSH Device 以外のすべての有効なエンドポイント タイプ:
- 特権管理アカウント(IS_ADVANCE 属性)を指定しない場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、エンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)が実行されます。
- 特権管理アカウントを指定する場合、 SAM では LOGIN_USER のすべての値が無視されます。
- 操作管理者(OPERATION_ADMIN_USER_NAME)および特権管理アカウントを指定しない場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。
- 操作管理者を指定する場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、操作管理者を利用してエンドポイントに対する管理タスクが実行されます。
- 特権管理アカウントを指定する場合、 SAM では LOGIN_USER のすべての値が無視されます。
- PASSWORDLOGIN_USER のパスワードを定義します。 この属性は CA Identity Manager プロビジョニング エンドポイント タイプに対しては有効ではありません。ただし、その他のすべてのエンドポイント タイプに対しては有効です。
- URLエンドポイントに接続するために使用する URL を定義します。 この属性は、MS SQL Server および Oracle Server のエンドポイント タイプに有効です。形式:(MS SQL Server) jdbc:sqlserver://servername:port形式:(Oracle Server) jdbc:oracle:drivertype:@hostname:port:service
- DOMAINこのエンドポイントがメンバであるドメインの名前を指定します。 この属性は Access Control for SAM および Windows エージェントレス エンドポイント タイプに有効です。
- IS_ACTIVE_DIRECTORYユーザ アカウントが Active Directory アカウントかどうかを指定します。 この属性は Windows エージェントレス エンドポイント タイプのみに有効です。制限:TRUE、FALSE
- USER_DOMAINLOGIN_USER がメンバであるドメインの名前を指定します。 この属性は Windows エージェントレス エンドポイント タイプに有効です。
- CONFIGURATION_FILE定義する SSH Device XML 環境設定ファイルの名前を指定します。 この属性は SSH Device エンドポイント タイプに有効です。注:この属性の値を指定しない場合、Privileged Identity Managerエンタープライズ コンソールはデフォルト設定ファイル(ssh_connector_conf.xml)を使用します。
- OPERATION_ADMIN_USER_NAME(オプション)エンドポイントの操作管理者ユーザの名前を定義します。 SAM は、このアカウントを使用してエンドポイントに対する管理タスクを実行します。たとえば、特権アカウントのパスワードを検出し、変更します。 この属性は、以下のように、SSH Device エンドポイント タイプに有効です。
- 特権管理アカウント(IS_ADVANCE 属性)および操作管理者を指定する場合、SAM では特権管理アカウントを使用してエンドポイントに接続され、操作管理者を使用してエンドポイントに対する管理タスクが実行されます。
- LOGIN_USER および操作管理者を指定する場合、SAM は LOGIN_USER を使用してエンドポイントに接続され、操作管理者を利用してエンドポイントに対する管理タスクが実行されます。
- OPERATION_ADMIN_USER_PASSWORD(オプション)エンドポイントの操作管理者ユーザのパスワードを定義します。 この属性は SSH Device エンドポイント タイプに有効です。
- ENDPOINTCA Identity Manager プロビジョニング サーバで定義したとおりに、エンドポイント名を定義します。 この属性は CA Identity Manager プロビジョニング エンドポイント タイプに有効です。
- IS_ADVANCE(オプション)エンドポイントに接続し、エンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)を実行するのに、特権管理アカウントを使用するかどうかを指定します。 この属性はすべてのエンドポイント タイプに有効です。SSH Device 以外のすべての有効なエンドポイント タイプに対し、特権管理アカウント(IS_ADVANCE は TRUE)を指定する場合、SAM は特権管理のアカウントを使用してエンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。SSH Device エンドポイント:
- 特権管理アカウントおよび操作管理者(OPERATION_ADMIN_USER_NAME)を指定する場合、SAM では特権管理者を使用してエンドポイントに接続され、操作管理者を使用してエンドポイントに対する管理タスクが実行されます。
- 特権管理アカウントのみを指定する場合、SAM は特権管理アカウントを使用して、エンドポイントに接続され、エンドポイントに対する管理タスクが実行されます。
制限:TRUE、FALSE注:この属性の値を TRUE に設定した場合は、LOGIN_USER には値を指定しません。 ただし、PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE、PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME、PROPERTY_ADMIN_ACCOUNT_CONTAINER、および PROPERTY_ADMIN_ACCOUNT_NAME は指定する必要があります。 - PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE(オプション)特権管理アカウントが定義されるエンドポイントのタイプを定義します。注:特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
- PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME(オプション)特権管理アカウントが定義されるエンドポイントの名前を定義します。 エンドポイントは、Privileged Identity Managerエンタープライズ コンソールに存在する必要があります。注:特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
- PROPERTY_ADMIN_ACCOUNT_CONTAINER(オプション)特権管理アカウントが定義されるコンテナを定義します。 コンテナは、そのインスタンスが他のオブジェクトの集合であるクラスです。値は以下のとおりです。(Windows エージェントレスおよび Oracle Server): Accounts(SSH Device): SSH Accounts(MS SQL Server): MS SQL Logins注:特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
- PROPERTY_ADMIN_ACCOUNT_NAME(オプション) SAM によりエンドポイントに対する管理タスク(たとえば、アカウントの検出やパスワードの変更)の実行に使用される特権管理アカウントの名前を定義します。 特権アカウントはPrivileged Identity Managerエンタープライズ コンソール内に存在する必要があります。注:特権管理アカウントを使用するには、IS_ADVANCE を TRUE に指定する必要があります。
- LOGIN_APPLICATIONエンドポイントと関連付けるログイン アプリケーションの名前を指定します。
- OWNER_INFOエンドポイントの所有者を指定します。
- OWNER_TYPE(オプション)エンドポイント タイプの説明を指定します。値:USER、 GROUP
- DEPARTMENT_INFO部門の名前を指定します。
- CUSTOM1....5_INFOカスタマ固有の属性を 5 つまで指定します。
- ADMIN_ACCOUNT_IS_DISCONNECTEDエンドポイント管理者アカウントが接続解除されるかどうかを指定します。値:TRUE、FALSEデフォルト:TRUE
- DISABLE_EXCLUSIVE_SESSIONSこのエンドポイントで排他的セッション オプションを無効にするかどうかを指定します。値:TRUE、FALSEデフォルト:FALSE
- DENY_BREAKGLASS_EXCLUSIVEBreak Glass を使用して、実行中の排他的アカウントへのアクセスを阻止するかどうかを指定します。値:TRUE、FALSEデフォルト:FALSE
- ENABLE_SESSION_RECORDINGこのエンドポイント上でのセッション記録機能を有効にします。
- エンドポイント タスクの行を CSV ファイルに追加します。各行はエンドポイントを作成または変更するタスクを表します。また、ヘッダと同じ属性が必要です。 この属性はヘッダと同じ順にする必要があります。 行に属性の値がない場合は、フィールドを空にしておきます。
- ファイルをポーリング フォルダに保存します。エンドポイント CSV ファイルは、SAM フィーダで処理する準備ができています。注:デフォルトのポーリング フォルダは以下の場所にあります。このJBoss_homeは JBoss をインストールしたディレクトリです。JBoss_home/server/default/deploy/IdentityMinder.ear/custom/ppm/feeder/waitingToBeProcessed
例: エンドポイント CSV ファイル
以下は、エンドポイント CSV ファイルのサンプルです。 それ以外のサンプル エンドポイント CSV ファイルは、
ACServer
/IAM Suite/Access Control/tools/samples/feeder ディレクトリにあります。OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,DESCRIPTION,ENDPOINT_TYPE,HOST,LOGIN_USER,PASSWORD,URL,CONFIGURATION_FILE,DOMAIN,IS_ACTIVE_DIRECTORY,USER_DOMAIN,ENDPOINT ENDPOINT,Oracle1,oracle 10g,Oracle Server,TEST10, ORAADMIN1,ORAADMIN1,jdbc:oracle:thin:@TEST10:1521:RNDSRV,,,,, ENDPOINT,local MSSQL1,local SQL server,MS SQL Server, localhost,testAdmin,Password1@,jdbc:sqlserver://localhost:1433,,,,, ENDPOINT,SSH_Device2,unix machine,SSH Device,TEST84,root,Password1@,,,,,, ENDPOINT,IM_Access Control,Access Control via provisioning,Access Control,TEST1,,,,,,,,TEST1
作成に必須の属性またはエンドポイントの変更
作成または変更する CSV ファイルに含める必要のある必須属性とエンドポイントを以下に示します。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,ENDPOINT_TYPE
エンドポイント タイプ | LOGIN_USER | PASSWORD | HOST | DOMAIN | URL | ENDPOINT |
SSH Device* | + | + | + | |||
Windows Agentless* | + | + | + | + | ||
Sybase Server* | + | + | + | + | ||
os400* | + | + | + | |||
ACF2* | + | + | + | + | ||
MS SQL Server* | + | + | + | + | ||
Oracle Server* | + | + | + | + | ||
ネットワーク デバイス | + | |||||
RACF* | + | + | + | + | ||
Access Control for PUPM | + | |||||
Disconnected | + | |||||
ActiveDirectory via Provisioning | + | + | ||||
OS400 via Provisioning | + | + | ||||
NDS Servers via Provisioning | + | + | ||||
CA ACF2 via Provisioning | + | + | ||||
Access Control for Provisioning | + | + | ||||
CA-Top Secret via Provisioning | + | + | ||||
RACF via Provisioning | + | + | ||||
Windows NT via Provisioning | + | + |
* IS_ADVANCED 属性を定義する場合、LOGIN_USER およびパスワードの属性は指定されません。
エンドポイントを削除するための必須属性
エンドポイントの削除を定義するのに必要な必須属性を以下に示します。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME,ENDPOINT_TYPE,HOST
共有アカウントの作成または変更の必須属性
以下は、共有アカウントの作成または変更の定義に必須の属性です。
OBJECT_TYPE,ACTION_TYPE,ACCOUNT_NAME,ENDPOINT_NAME,NAMESPACE,CONTAINER,PASSWORD_POLICY,ACCOUNT_PASSWORD