APPL クラス

APPL クラスの各レコードは、CA SSO で使用されるアプリケーションを定義します。
cminder12902jp
APPL クラスの各レコードは、CA SSO で使用されるアプリケーションを定義します。
APPLクラスのレコードのキーは、アプリケーションの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。
  • ACL
    リソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。
    アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • アクセサ
      アクセサを定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • APPLTYPE
    CA SSO で使用されます。
  • AZNACL
    権限 ACL を定義します。 これは、リソースの説明に基づいてリソースへのアクセスを許可する ACL です。 説明は、オブジェクトではなく認証エンジンに送信されます。 一般に、AZNACL が使用される場合、オブジェクトはデータベースにありません。
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。
    カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • アクセサ
      アクセサを定義します。
    • カレンダ
      Unicenter TNG のカレンダへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
    カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
  • CALENDAR
    CA Privileged Identity Manager のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。 指定された間隔で Unicenter TNG のアクティブなカレンダをフェッチすることができます。
  • CAPTION
    デスクトップのアプリケーション アイコンの下に表示されるテキストです。 デフォルトは APPL クラスのレコードの名前です。
    制限:
    47 文字の英数字。
  • CMDLINE
    アプリケーション実行可能ファイルのファイル名です。 CA SSO で使用されます。
    制限:
    255 文字。
  • COMMENT
    レコードに含める追加情報を定義します。 コメントは、認証に使用されません。
    制限:
    255 文字。
  • CONTAINED_ITEMS
    レコードがコンテナである場合に、コンテナに含まれるアプリケーションのレコード名です。
    このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの item[-](
    applName
    ) パラメータを使用します。
  • CONTAINERS
    レコードが他のアプリケーションに含まれている場合は、コンテナ アプリケーションのレコード名です。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • DIALOG_FILE
    アプリケーションのログイン シーケンスを含むディレクトリ内の CA SSO スクリプトの名前です。 デフォルトのディレクトリの場所は、/usr/sso/scripts です。 デフォルト値は「no script」です。
    このプロパティを変更するには、chres、editres、newres の各コマンドで、script[-](
    fileName
    ) パラメータを使用します。
  • GROUPS
    アプリケーションの使用を許可されているユーザ グループのリストです。
  • HOST
    アプリケーションが存在するホストの名前です。
    このプロパティを変更するには、chres、editres、newres の各コマンドで、host[-](
    hostName
    ) パラメータを使用します。
  • ICONFILE
    デスクトップに表示するアプリケーションのアイコンが保存されているファイルのファイル名または完全パスです。
    Privileged Identity Manager
    は、エンド ユーザのワークステーションにアイコン ファイルが存在することを前提としています。 ファイル名のみを入力した場合は、次の順序でファイルが検索されます。
    1. 現在のディレクトリ
    2. 環境変数 PATH に指定されているディレクトリ
    デフォルトは、ワークステーションのデフォルト アイコンです。
  • ICONID
    アイコン ファイル内のアイコンの(必要に応じた) ID 番号です。 ICONID が指定されていない場合は、デフォルト アイコンが使用されます。
  • IS_CONTAINER
    アプリケーションがコンテナかどうかを指定します。 デフォルトは no です。
    このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの container[-] パラメータを使用します。
  • IS_DISABLED
    アプリケーションが無効化された状態かどうかを指定します。 アプリケーションが無効化された状態である場合、ユーザはアプリケーションにログインできません。 この機能は、ユーザがアプリケーションを変更しているときに、他のユーザがアプリケーションにログインできないようにする場合に便利です。 無効化された状態のアプリケーションはアプリケーション メニュー リストに表示されますが、ユーザがそのアプリケーションを選択すると、メッセージが表示され、ログインは中止されます。 デフォルトは「not disabled」です。
  • IS_HIDDEN
    アプリケーションを起動できるユーザのデスクトップにもアプリケーション アイコンを表示するかどうかを指定します。 たとえば、他のアプリケーションにパスワードを提供する目的のみを果たすアプリケーションなどの
    マスタ
    アプリケーションを非表示にすることができます。 デフォルトは「not hidden」です。
    このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの hidden[-] パラメータを使用します。
  • IS_SENSITIVE
    事前設定された時間が経過した後にユーザがアプリケーションを開いた場合に、再認証が必要かどうかを指定します。 デフォルトは「not sensitive」です。
    このプロパティを変更するには、chres、editres、newres の各コマンドで、sensitive[-] パラメータを使用します。
  • LOGIN_TYPE
    ユーザ パスワードの指定方法です。 値は、
    pwd
    (平文パスワード)、
    otp
    (ワンタイム パスワード)、
    appticket
    (メインフレーム アプリケーション認証専用チケット)、
    none
    (パスワード不要)、または
    passticket
    (IBM が開発したワンタイム パスワード置換フォーマット。メインフレームのセキュリティ パッケージで使用される)です。 デフォルトは pwd です。
    このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの login_type(
    value
    ) パラメータを使用します。
  • MASTER_APPL
    他のアプリケーションにパスワードを提供するアプリケーションのレコード名です。 デフォルトは「no master」です。
    このプロパティを変更するには、chres、editres、newres の各コマンドで、master[-](
    applName
    ) パラメータを使用します。
  • NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
アクセサ
アクセサを定義します。
  • Access
    アクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 指定されたユーザは、監査レコードに関する電子メールを受信できます。
制限:
30 文字。
OWNER
レコードを所有するユーザまたはグループを定義します。
PGMDIR
アプリケーションの実行可能ファイルが格納されているディレクトリまたはディレクトリのリストです。 CA SSO で使用されます。
PWD_AUTOGEN
アプリケーション パスワードを CA SSO で自動的に生成するかどうかを指定します。 デフォルトは no です。
PWD_SYNC
アプリケーション パスワードを自動的に他のアプリケーションのパスワードと同一にするかどうかを指定します。 デフォルトは no です。
PWPOLICY
アプリケーションに適用するパスワード ポリシーのレコード名です。 パスワード ポリシーは、新しいパスワードの妥当性をチェックし、パスワードの有効期限を定義する一連のルールです。 デフォルトでは、妥当性チェックは行われません。
RAUDIT
監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前は
R
esource
AUDIT
の短縮形です。 有効な値は以下のとおりです。
  • all
    すべてのアクセス要求
  • success
    許可されたアクセス要求
  • failure
    拒否されたアクセス要求(デフォルト)
  • none
    アクセス要求を記録しない
Privileged Identity Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。
監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SCRIPT_POSTCMD
ログイン スクリプトの後に 1 つ以上のコマンドを実行するかどうかを指定します。
SCRIPT_PRECMD
ログイン スクリプトの前に 1 つ以上のコマンドを実行するかどうかを指定します。
SCRIPT_VARS
CA SSO で使用されます。アプリケーションごとに保存されるアプリケーション スクリプトの変数値を含む変数リストです。
TKTKEY
CA SSO のみで使用されます。
TKTPROFILE
CA SSO のみで使用されます。
UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Identity Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。