スナップショット データのキャプチャ
ここでは、スケジュールされた間隔およびオンデマンドでスナップショット データを エンタープライズ コンソールからキャプチャする手順について説明します。
cminderpim14jp
注:
2016 年 4 月 1 日
現在、CA Business Intelligence のこのセクションは新規のお客様には有効ではありませんが、2016 年 4 月 1 日
以前に製品を購入しているお客様には引き続き関連しています。ここでは、スケジュールされた間隔およびオンデマンドでスナップショット データを
Privileged Identity Manager
エンタープライズ コンソールからキャプチャする手順について説明します。オンデマンドでのスナップショット データのキャプチャ
通常、レポート データは、スケジュールされた間隔でスナップショット内にキャプチャされます。オンデマンドでスナップショット データをキャプチャすることもできます。オンデマンドでスナップショット データを収集して、データを中央データベースに即座にエクスポートします。
注:
- レポートするスナップショットに大量のデータが含まれる場合、スナップショット定義を作成し、スナップショットをスケジュールします。スナップショット データのエクスポートは、データの量が多い場合、時間がかかる場合があります。
- デフォルトでは、スナップショット データをキャプチャするには「システム マネージャ」ロールが必要です。
以下の手順に従います。
- Privileged Identity Managerエンタープライズ コンソールで、[レポート]-[タスク]-[スナップショット データのキャプチャ]をクリックします。
- キャプチャするスナップショット定義の名前を選択し、[サブミット]をクリックします。スナップショット データが中央データベースにエクスポートされます。
- [サブミット済みタスクの表示]を使用すると、タスクの進捗状況を確認できます。
スケジュールされた間隔でスナップショット データをキャプチャする
レポートを実行および表示するには、その前にスナップショット定義を作成し、スナップショット データをキャプチャします。スナップショット定義では、レポート データおよびデータ収集のスケジュールを指定します。 スナップショット パラメータ XML ファイルには、収集するレポート データを指定します。デフォルトでは、XML ファイルは、レポート スナップショットの以下のソースからデータをキャプチャします。
- Privileged Identity Managerエンドポイント
- UNAB エンドポイント
- 共有アカウント管理
- ユーザ ストア
ヒント
: 最新のデータを表示するには、エンドポイントのスナップショットより頻繁にスナップショットがキャプチャされることのないようにスケジュールを設定します。例:
毎週スナップショット データを送信するための設定済みのエンドポイントがあるとします。またエンタープライズ コンソールでは、毎日スナップショットをキャプチャするよう設定されているとします。このような環境設定では、レポート データはエンドポイントから毎週収集されますが、SAM およびユーザ ストアからは毎日収集されます。その結果、レポート内のエンドポイント データは最新ではなくなります。注:
- デフォルトでは、スナップショット定義を作成するには「システム マネージャ」ロールが必要です。
- 複数のスナップショット定義を有効にしないでください。複数のスナップショット定義が有効になっていると、Privileged Identity Managerエンタープライズ コンソールはすべてのレポートを正常に実行できません。
以下の手順に従います。
- Privileged Identity Managerエンタープライズ コンソールで、[レポート]-[タスク]-[スナップショット定義の管理]-[スナップショット定義の作成]をクリックします。[スナップショット定義の作成: スナップショット定義の選択]ページが表示されます。
- スナップショット定義の新規オブジェクトを作成するか、既存のオブジェクトのコピーを使用して、スナップショット定義を作成します。[OK]をクリックします。
- [プロファイル]タブで以下のフィールドに入力します。
- スナップショット定義名スナップショット定義の名前を定義します。
- スナップショット定義の説明スナップショット定義を説明するテキストを指定します。
- 有効スナップショットをキャプチャするかどうかを指定します。このオプションを有効にすると、Privileged Identity Managerエンタープライズ コンソールは、スナップショットをキャプチャし、ユーザがレポートを表示することができます。 一度に有効にできるスナップショットは 1 つのみです。
- 識別子レポート スナップショットの範囲を定義するスナップショット パラメータ XML ファイルを指定します。値は以下のとおりです。
- HOST_PROTECTION.XML:Privileged Identity Managerエンドポイントからレポート データを収集します。
- HOST_PROTECTION_SAM_LDAP.XML: LDAP ユーザ ストアを使用するPrivileged Identity Managerおよび SAM エンドポイントからレポート データを収集します。
- HOST_PROTECTION_SAM_RDB.XML:Privileged Identity Managerおよび SAM エンドポイントからレポート データを収集します。
- HOST_PROTECTION_SAM_UNAB_LDAP.XML: LDAP ユーザ ストアを使用するPrivileged Identity Manager、UNAB、および SAM エンドポイントからレポート データを収集します。
- HOST_PROTECTION_UNAB_LDAP.XML: UNAB エンドポイントからレポート データを収集します。
- SAM_LDAP.XML: LDAP ユーザ ストアを使用する SAM エンドポイントからレポート データを収集します。
- SAM_RDB.XML: SAM エンドポイントからレポート データを収集します。
- 過去の保存件数中央データベースに格納される正常なスナップショットの数を指定します。 スナップショットの数が設定された値に達すると、古いスナップショットが削除されます。 スナップショットの数は 0 より大きい数値にする必要があります。最大 3 つの正常なスナップショットを格納します。正しい値を指定しない場合、スナップショットは無制限にデータベースに格納されます。注:過去の保存件数は PPM_AUDIT_DWH テーブルには適用されません。このテーブルで、全体の履歴が保持され、各スナップショットで新しい行が追加されます。データはこのテーブルからは削除されず、このテーブル内のデータの量は継続的に増加します。
- タブをクリックし、[繰り返し][スケジュール]を選択します。
- スナップショットの実行時間エンドポイント上でスナップショットを実行する時間を指定します。
- 繰り返しパターンエンドポイント上でスナップショットを実行する繰り返しパターンを指定します。
- [サブミット]をクリックします。
これで、スナップショット定義が作成され、指定した時間と頻度でスナップショット データをキャプチャするスケジュールが設定されました。
レポート スナップショットのスコープの制限
Privileged Identity Manager
エンタープライズ コンソールでレポート スナップショットをキャプチャすると、以下のスナップショットからデータが収集されます。- Privileged Identity Managerエンドポイント
- UNAB エンドポイント
- Privileged Identity Managerエンタープライズ コンソールからの SAM データ
- ユーザ ストアからのデータ
エンタープライズ管理サーバがレポート データを収集すると、セントラル データベースにデータを格納します。
スナップショット パラメータ XML ファイルでは、エンタープライズ管理サーバ が収集するレポート データを指定します。スナップショット パラメータ XML ファイルのカスタマイズによりレポート スナップショットのスコープを制限できます。
たとえば、ユーザ ストアとして Active Directory を使用している場合は、エンタープライズ管理サーバがレポート スナップショットをキャプチャするときに Active Directory の各ユーザのデータが収集されます。この処理には時間がかかる場合があります。スナップショットのキャプチャに要する時間を削減するため、、スナップショット パラメータ XML ファイルのカスタマイズにより Active Directory スナップショットのスコープを制限できます。
以下の手順に従います。
- 以下のディレクトリに移動します。ここでJBOSS_HOMEは、JBoss をインストールしたディレクトリです。JBOSS_HOME/server/default/deploy/IdentityMinder.ear/config/com/netegrity/ config/imrexport/sample
- ユース ケースに最適なサンプル xml ファイルをコピーします。新しいファイルの名前を変更し、同じディレクトリに保存します。 これで、スナップショット パラメータ XML ファイルが作成されます。
- 新規スナップショット パラメータ XML ファイルを開きます。
- <!--IM COLLECTORS--> セクションのエントリを編集し、ユーザ ストアからPrivileged Identity Managerエンタープライズ コンソールが収集するデータの範囲を指定します。
- <!--PUPM COLLECTORS--> セクションで、レポート スナップショットに含めないコンポーネントに該当するエントリを、(!-- ) および ( --) でコメント アウトします。
- (オプション) Active Directory スナップショットのスコープを制限します。
- 「LDAP クエリでレポート スナップショットを制限するしくみ」および「LDAP 構文の考慮事項」のトピックを確認します。これらのトピックの情報は、LDAP クエリを以下の手順で正確に定義する際に役立ちます。
- <!--PUPM COLLECTORS--> セクションで、以下のエレメントを検索します。<export object="com.ca.ppm.export.ADUsersCollector"> </export>このエレメントは、スナップショットに含める Active Directory ユーザ データを指定します。
- 以下のように、エレメントを編集します。ldap_queryでは、データを収集するユーザを定義する LDAP クエリを指定します。<export object="com.ca.ppm.export.ADUsersCollector"> <where attr="%USER" satisfy="ANY"> <value op="EQUALS">(ldap_query)</value> </where> </export>
- <!--PUPM COLLECTORS--> セクションで、以下のエレメントを検索します。<export object="com.ca.ppm.export.ADGroupsCollector"> </export>
- 以下のように、エレメントを編集します。ldap_queryでは、データを収集するグループを定義する LDAP クエリを指定します。<export object="com.ca.ppm.export.ADGroupsCollector"> <where attr="%USER" satisfy="ANY"> <value op="EQUALS">(ldap_query)</value> </where> </export>Active Directory スナップショットのスコープが制限されました。
- 新しいスナップショット パラメータ XML ファイルを保存し、閉じます。
- 新しいスナップショット パラメータ XML ファイルを使用するように、Privileged Identity Managerエンタープライズ コンソールのスナップショット定義を変更します。キャプチャ スナップショット タスクを実行すると、スナップショット パラメータ XML ファイルで指定したデータのみ収集します。
例: レポート スナップショットのスコープを
Privileged Identity Manager
エンドポイントに制限SAM と UNAB を使用しない場合は、
Privileged Identity Manager
エンドポイントからのみデータを収集するようにレポート スナップショットのスコープを制限できます。データ収集のスコープを Privileged Identity Manager
エンドポイントに制限するには、<-- PUPM COLLECTORS --> セクションの ReportIdMarkerCollector エントリ以外の
すべてのエントリを(!--)および( --)でコメントにします。以下のコードは、サンプルの XML ファイルのスニペットです。<-- PUPM COLLECTORS --> セクションの ReportIdMarkerCollector エントリを除くすべてのエントリがコメントに変更されています。
<!-- PUPM COLLECTORS --> <!-- export object="com.ca.ppm.export.AccountPasswordCollector"> </export --> <!-- export object="com.ca.ppm.export.PPMRolesCollector"> <exportattr attr="|rolemembers|" /> </export --> <!-- export object="com.ca.ppm.export. PrivilegedAccountExceptionCollector"> </export --> <!-- export object="com.ca.ppm.export.PPMPasswordPolicyCollector"> </export --> <!-- export object="com.ca.ppm.export.ADUsersCollector"> </export --> <export object="com.ca.ppm.export.PPMAccountUserAccessCollector"> </export --!> <!-- export object="com.ca.ppm.export.ADGroupsCollector"> <exportattr attr="|groupmembers|" /> </export --> <export object="com.ca.ppm.export.ReportIdMarkerCollector"> </export>
スナップショット パラメータ XML ファイルの構文: レポート スナップショットの制限
スナップショット パラメータ XML ファイルでは、
Privileged Identity Manager
エンタープライズ コンソールで収集するレポート データを指定します。スナップショット パラメータ XML ファイルを編集して、レポート スナップショットの範囲を制限できます。Privileged Identity Manager
エンタープライズ コンソールは、ユーザがスナップショット パラメータ XML ファイルで定義する条件を満たしたオブジェクトのレポート データのみを収集します。ファイル内の各コレクタは、Privileged Identity Manager
エンタープライズ管理が収集するオブジェクトのセットを定義します。各コレクタの構造は以下のようになっています。
<export object=" "> <where attr=" " satisfy=" "> <value> </value> </where> <exportattr attr=" " /> </export>
注:
<where>、<value>、および <exportattr> エレメントはオプションです。各コレクタには、以下のエレメントが含まれています。
<export>
Privileged Identity Manager
エンタープライズ コンソールで収集するオブジェクト データを指定します。たとえば、<export> エレメントでは、エンタープライズ管理サーバによるユーザ データの収集を指定します。<export> エレメントには 1 つ以上の <exportattr> および <where> エレメントを含めることができます。これによって、一定の条件を満たすデータのみを収集できます。<exportattr> または <where> エレメントを指定しない場合、
Privileged Identity Manager
エンタープライズ コンソールはこのオブジェクトのすべてのデータを収集します。<export> エレメントには object パラメータしかありません。
<where>
<value> エレメントで定義された条件に基づいて、収集されたデータをフィルタします。<where> エレメントには 1 つ以上の <value> エレメントが必要です。また、複数の <where> エレメントを指定して、フィルタを絞り込むことができます(エレメントは OR エレメントとして機能します)。
パラメータ | 説明 |
attr | フィルタに使用する属性を示します。 |
satisfy | 収集するオブジェクトまたは属性について、値の評価の一部または全部を満たす必要があるかどうかを示します。
|
<value>
<where> エレメントで、収集される属性またはオブジェクトが満たす必要がある条件を定義します。<value> エレメントには operator (op)パラメータが必要です。operator には EQUALS または CONTAINS を指定します。
注:
スナップショット パラメータ XML ファイルの <!--PUPM COLLECTORS--> セクションで、<value> エレメントに LDAP 構文を使用できます。LDAP 構文を使用すると、Privileged Identity Manager
エンタープライズ コンソールが Active Directory から収集するユーザおよびグループのデータを指定できます。<exportattr>
収集する特定の属性を示します。<exportattr> エレメントを使用して、収集するオブジェクトの属性のサブセットを収集します。たとえば、ユーザの ID のみを収集する場合に、<exportattr> エレメントを使用できます。 <exportattr> エレメントには attr パラメータがあります。
オブジェクト | <where> エレメントで使用できる属性 | <exportattr> エレメントで使用できる属性 |
ロール | name 属性を使ってフィルタリングできます。 name: フィルタ基準を満たす名前が付けられたロール | 以下の属性のいずれかを収集できます。 |tasks| : ロールに関連付けられているすべてのタスク |rules| :ロールに適用されるすべてのメンバ、管理、所有者、およびスコープ ルール |users| : ロールのすべてのメンバ、管理者、および所有者 |rolemembers| : すべてのロール メンバ |roleadmins| : すべてのロール管理者 |roleowners| : すべてのロール所有者 |
ユーザ | 汎用属性または物理属性、および以下の属性のいずれか。 |groups| : グループのメンバ |roles| : ロールのメンバ |orgs| : フィルタ基準を満たす組織にプロファイルが存在するユーザ | 以下の属性のいずれかを収集できます。 |all_attributes| : すべての使用可能なユーザ属性 |groups| : ユーザがメンバまたは管理者であるすべてのグループ |roles| : ユーザがメンバ、管理者、または所有者であるすべてのロール |
グループ | 汎用属性またはフィジカル アトリビュート、あるいは以下の属性。 |groups| : フィルタ基準を満たすグループ内のネストされたグループのリスト | 汎用属性または物理属性、あるいは以下の属性のいずれかを収集できます。 |all_attributes| : ディレクトリ設定ファイル(directory.xml)で Group オブジェクトに定義されたすべての属性 |groups| : グループ内のすべてのネストされたグループ |users| : グループのすべてのメンバ |groupadmins| : 指定したグループの管理者であるすべてのユーザ |groupmembers| : 指定したグループのメンバであるすべてのユーザ |users| : すべてのグループ管理者とグループ メンバ |
組織 | 汎用属性またはフィジカル アトリビュート | 汎用属性または物理属性、あるいは以下の属性のいずれかを収集できます。 |all_attributes| : ディレクトリ設定ファイル(directory.xml)で Organization オブジェクトに定義されたすべての属性 |orgs| : 組織内のすべてのネストされた組織 |groups| : 組織内のすべてのグループ |users| : 組織内のすべてのユーザ |
レポート スナップショットで LDAP クエリがユーザおよびグループ データを制限する仕組み
Active Directory をユーザ ストアとして使用する場合、レポート スナップショットでキャプチャされたユーザおよびグループ データを指定できます。
ユーザ別またはグループ別に Active Directory データをフィルタリングするスナップショット パラメータ XML ファイルで LDAP クエリを使用できます。ただし、ロール メンバシップ別に Active Directory データをフィルタリングする LDAP クエリは使用できません。LDAP クエリを使用できるのは、スナップショット パラメータ XML ファイルの <!--PUPM COLLECTORS--> でのみです。
以下のプロセスでは、スナップショット パラメータ XML ファイル内の LDAP クエリで、エンタープライズ管理サーバが収集する Active Directory データをどのように制限するかについて説明します。この情報によって、レポート スナップショットを制限する、適切な LDAP クエリを記述できます。
エンタープライズ管理サーバで Active Directory レポート スナップショットをキャプチャするときには、以下の処理が実行されます。
- 以下のエレメント内の LDAP クエリで指定されている Active Directory ユーザのみのデータを収集します。<export object="com.ca.ppm.export.ADUsersCollector">エレメントに LDAP クエリが含まれていない場合、エンタープライズ管理サーバではすべての Active Directory ユーザのデータをスナップショットに含めます。
- 以下のエレメント内の LDAP クエリで指定されている Active Directory グループのみのデータを収集します。<export object="com.ca.ppm.export.ADGroupsCollector">エレメントに LDAP クエリが含まれていない場合、エンタープライズ管理サーバではすべての Active Directory グループのデータをスナップショットに含めます。
注
- エンタープライズ管理サーバでは、ステップ 1 でクエリによって返されなかったユーザのデータは収集しません。
- ユーザがステップ 2 のクエリで返されたグループのメンバであっても、同じユーザがステップ 1 でのクエリで返されない場合、エンタープライズ管理サーバはそのユーザのデータを Active Directory スナップショットには含めません。
LDAP 構文の考慮事項
Active Directory スナップショットのスコープを制限する LDAP クエリを記述する際に、以下の点を考慮します。
- LDAP クエリで以下の論理演算子を使用できます。
- EQUAL TO ( = )
- OR ( | )
- AND ( & )注:アンパサンド(&)文字の使用にはいくつかの制限があります。
- NOT ( ! )
- ワイルドカード(*)
- アンパサンド文字(&)と左山形かっこ(<)は、以下の状況でのみ使用できます。
- マークアップ区切り文字として
- コメント内で
- 処理命令内で
- CDATA セクション内で
&」または Unicode 文字参照を使用します。ほかの状況で左山形かっこ文字を表すには、文字列「<」または Unicode 文字参照を使用します。 - 右山形かっこ文字(>)は、CDATA セクションの終わりを示す文字列の末尾()でのみ使用できます。他の状況で右山形かっこ文字を表すには、文字列「>」または Unicode 文字参照を使用します。
例: アンパサンド文字
以下のスナップショット パラメータ XML ファイルのスニペットでは、レポート スナップショットに Active Directory ユーザ データをすべて含めるように指定しています。この LDAP クエリの一部では、アンパサンドを表すために & 文字列を使用しています。
<export object ="com.ca.ppm.export.ADUsersCollector"> <where attr="%USER%" satisfy="ANY"> <value op="EQUALS">(&(objectClass=user))</value> </where> </export>