スコープされた管理者の作成
管理者アカウントの権限をきめ細かく設定し、該当する管理者が使用できる管理機能を指定できます。
casso11jp
管理者アカウントの権限をきめ細かく設定し、該当する管理者が使用できる管理機能を指定できます。
管理者アカウントは、1 つ以上のセキュリティ カテゴリに権限を割り当てられます。このカテゴリによって認証方式の管理など、管理 UI でその管理権限が定義されます。デフォルトで管理者アカウントは、割り当てられたセキュリティ カテゴリに関連したすべてのオブジェクトにアクセスできます。
ワークスペース
は、オブジェクトのサブセットを定義します。管理者アカウントにワークスペースを割り当てることで、それらのアカウントで利用可能なオブジェクトを制限できます。このワークスペースは、権限の適用範囲を制御します。これらの管理者アカウントを、スコープされた管理者
と呼びます。スコープされた管理者に関するガイドライン
スコープされた管理者は、
権限
を有するポリシー ストアのすべてのオブジェクトを管理することはできません。管理 UI は、割り当てられたワークスペースで定義されているオブジェクトのみが含まれているように見えます。スコープされた管理者が新規のトップレベル オブジェクトを追加した場合、そのオブジェクトは直ちに同様にスコープされた他の管理者のすべてに利用可能になります。
スコープされた管理者に、新規の管理者を作成する権限がある場合、同じワークスペースまたは
より限定的な
ワークスペースでの管理者のみ作成できます。スコープされた管理者が新規ワークスペースを作成して新規管理者をさらにスコープする場合、この新規のワークスペース オブジェクトが現在のワークスペースに追加されます。その後、管理者は、新規管理者にその現在のワークスペースまたは新しいワークスペースを割り当てることができます。新規管理者がオブジェクトを追加する場合、元の管理者もそれを表示できます。元の管理者が表示できる有効なオブジェクト セットには、自分で作成したワークスペースに追加された新規オブジェクトが含まれます。
スコープされた管理者は、権限を有するポリシー ストアのすべてのオブジェクトを管理することはできません。管理 UI は、割り当てられたワークスペースで定義されているオブジェクトのみが含まれているように見えます。
スコープされた管理者が新規のトップレベル オブジェクトを追加した場合、そのオブジェクトは直ちに同様にスコープされた他の管理者のすべてに利用可能になります。
重要:
管理者は別の管理者を作成できますが、その際に付与できる権限は自分の権限以下になります。たとえば、管理者が GUI 権限とレポート権限を持つ場合、その管理者は、これらの権限を持つ別の管理者を作成できますが、ローカル API 権限を持つ別の管理者を作成することはできません
。同様に、管理者は、割り当てられたワークスペースにより定義された範囲と同等またはそれ以下の範囲を持つ管理者のみを作成できます。新規管理者がオブジェクトを追加する場合、元の管理者もそれを表示できます。元の管理者が表示できる有効なオブジェクト セットには、自分で作成したワークスペースに追加された新規オブジェクトが含まれます。
注:
ワークスペース を使用してスコープされるのは管理者
アカウントのみです。レガシー管理者をスコープすることはできません。ただし、ポリシー ストアでレガシー管理者レコードと関連付けられた管理者アカウントは、スコープすることができます。スコープされた管理者を設定する際には、その管理者の以下の属性を考慮してください。
- 管理者のスコープ。管理者はすべてのポリシー データを管理できるのか、またはワークスペースで定義されたポリシー データのサブセットを管理できるのかという点です。
- 管理者がそれぞれのジョブを実行するために必要な権限は何か。これら権限の特定は、管理者に適切なセキュリティ カテゴリを委任する際に役立ちます。
- 管理者がアプリケーション セキュリティ ポリシーに責任を負うかどうか。
ワークスペースの作成
ワークスペースを作成して、スコープされた管理者が管理者権限を持つトップレベルのポリシー オブジェクト(たとえば、ドメイン、認証方式など)のサブセットを定義します。
注:
ワークスペースの実際の内容は、トップレベルのコンテンツに加えて、任意の子オブジェクトから構成されます。例には、ドメインの下のレルム、およびすべての必要なオブジェクト(自動的に含まれるオブジェクト)が含まれています。ワークスペースのコンテンツは以下に示すように動的です。
- ワークスペースのコンテンツはいつでも変更できます。ワークスペースに割り当てられたすべての管理者は、新規オブジェクトを直ちに利用できます。ワークスペースに割り当てられた管理者は、削除されたすべてのオブジェクトを利用できなくなります。
- スコープされた管理者にオブジェクト タイプを変更する権限がある場合、その管理者はワークスペースでオブジェクトを作成できます。これらの新規オブジェクトは、ワークスペースに割り当てられたすべての管理者に直ちに利用可能です。
以下の手順に従います。
- Single Sign-Onスーパーユーザまたは適切な権限を持った他の管理者アカウントを使用して、管理 UI にログインします。
- [管理]-[管理者]-[ワークスペース]-[ワークスペースの作成]をクリックします。[ワークスペースの作成]ページが表示されます。
- [一般]セクションのフィールドにワークスペースの名前および説明を入力します。
- [メンバ]セクションで、必要なポリシー データのサブセットを定義するオブジェクトをワークスペースに追加します。注:一般的に使用されている一部のオブジェクトをワークスペースに追加して、[メンバ]リストにデフォルトで表示されるようにします。必要に応じてそれを削除することもできます。
- [検索]をクリックします。[ワークスペース コンテンツの選択]ページが表示されます。
- タイプのドロップダウン メニューの[検索対象]オブジェクトからワークスペースに追加するオブジェクトのタイプを選択します。オプションで、[名前]または[説明](または両方)によって検索を特定のオブジェクトに絞り込みます。
- [検索]をクリックします。一致したオブジェクトが一覧表示されます。注:ログインしている管理者アカウント自体がスコープされる場合は、検索条件に一致したオブジェクトの一覧は使用できるオブジェクトに限定されます。
- ワークスペースに追加するオブジェクトを選択し(複数選択可)、[選択]をクリックします。[ワークスペースの作成]ページが再度表示されます。
- (オプション)対応する[読み取り専用]チェック ボックスをオンにしてワークスペース メンバの管理に設定します。
- [サブミット]をクリックします。ワークスペースの作成タスクがサブミットされて、処理が実行されます。Single Sign-Onでは、ワークスペースに矛盾がない(ワークスペースのオブジェクトに関連する必要なすべてのオブジェクトがワークスペースに存在する)ことを確認します。矛盾する場合、不在のオブジェクトが追加され、情報ダイアログが表示されて、一部のオブジェクトが自動的に追加されてワークスペースに矛盾がなくなったことを示します。
管理者の作成とワークスペースの割り当て
管理者アカウントを作成し、管理できるオブジェクトのスコープを定義するワークスペースを割り当てることによって、スコープされた管理者を作成します。
以下の手順に従います。
- 管理 UI にログインします。スーパーユーザまたは適切な権限を持った他の管理者アカウントを使用します。
- [管理]-[管理者]をクリックします。
- [管理者]をクリックします。
- [管理者の作成]をクリックします。
- [一般]の下の[検索]をクリックします。
- 検索条件を指定し、[検索]をクリックします。
- 目的の管理者を選択し、[選択]をクリックします。
- オブジェクトのサブセットを定義するワークスペースを選択し、管理者を[ワークスペース]のドロップダウン リストからスコープします。
- 以下のタスクのいずれかを実行します。
- すべての権限を委任するには、[スーパーユーザ]を選択して[サブミット]をクリックします。
- きめ細かく権限を委任するには、次の手順に進みます。
- 管理者に許可するポリシー サーバとの通信方法を、[アクセス方法]セクションで指定します。それぞれのロールにおいて管理者に必要な方法を選択します。例:管理者が XPSImport と XPSExport ツールを使用する場合は、インポートおよびエクスポートを可能にするオプションを選択する必要があります。
- [権限]セクションで[追加]をクリックします。
- 管理者に応じたセキュリティ カテゴリを選択し、[OK]をクリックします。注:セキュリティ カテゴリは、特定のオブジェクトに相当する 1 つ以上のタスクを含みます。
- 権限([読み取り]-[権限]-[変更]-[伝達])を選択して、[権限]セクションで追加したセキュリティ カテゴリに適用します。
- [サブミット]をクリックします。スコープされた管理者が作成されます。
管理者がスコープされていることを確認する
新しい管理者アカウントが、スコープされたオブジェクトのサブセットにのみアクセスできることを確認します。
以下の手順に従います。
- スコープされた管理者アカウントを使用して、管理 UI にログインします。
- 管理 UI を調べます。管理 UI で、ワークスペースからのスコープされたオブジェクトのサブセットのみが表示されることを確認します。