管理者ユース ケース

この管理者ユース ケースは、以下の状況について示しています。
casso127jpjp
この管理者ユース ケースは、以下の状況について示しています。
  • 管理者の作成
  • 既存の管理者が新しい管理者を作成して権限を与える方法
このシナリオでは、3 人の管理者を使います。
  • Single Sign-On
    デフォルト管理者(スーパー ユーザ)
  • 上級管理者
  • 下級管理者
これら 3 人の管理者を使用して、以下のシナリオを説明します。
このユース ケースで使われる用語の説明は以下のとおりです。
  • アクセス方法
    管理者がポリシー サーバと通信する方法を指定します。
  • セキュリティ カテゴリ
    管理者が、ポリシー サーバのオブジェクト、またはツールを管理するタスクを実行できる機能領域を指定します。
  • Scope
    管理者権限がすべてのポリシー オブジェクトに有効なのか、または割り当てられたワークスペースで定義されたオブジェクトのサブセットに有効なのかを示します。
  • アクセス権
    セキュリティ カテゴリに関して管理者が実行するタスクを決定します。読み取り、管理、伝達、実行などのタスクです。
  • 権利
    管理者の完全な権限セットを定義します。権利は、セキュリティ カテゴリ、スコープ、アクセス権に基づいています。
スーパーユーザによる上級管理者の作成
スーパーユーザは、外部管理者ユーザ ストアへの接続が設定されたときにシステム権限が委任された管理者です。スーパーユーザは、すべてのカテゴリ、権限、スコープを他の管理者に割り当てることができます。
スーパーユーザは、管理 UI から、「上級管理者」と呼ばれる管理者を作成します。上級管理者は、スーパーユーザが割り当てるまで最初は何も権限を持っていません。
スーパーユーザは、上級管理者に以下の権限を割り当てます。
  • アクセス方法
    GUI を許可
  • 権利
セキュリティ カテゴリ
権限 *
エージェント管理
V, M
アプリケーション管理
V, M, P
ポリシー管理
V, M, P
* 権限:表示、管理、伝達、実行 (レポート実行の場合のみ)
: 伝達権限では、ある管理者が別の管理者にカテゴリを割り当てることができます。
上級管理者が管理 UI にログインすると、ポリシー ストアのすべてのエージェント、アプリケーション、ドメインを表示および変更できます。上級管理者が管理者アカウントを作成すると、その上級管理者は、「アプリケーション管理」および「ポリシー管理」のセキュリティ カテゴリのみをそのアカウントに割り当てることができます。
スーパーユーザによるワークスペースの作成と割り当て、および上級管理者のスコープ
スーパーユーザは上級管理者のスコープを制限して、上級管理者がポリシー データのサブセットのみ管理できるようにしたい場合があります。スーパーユーザは、まず以下のメンバを持つ Workspace1 という名前のワークスペースを作成します。
Type
名前
エージェント
Agent1
アプリケーション
Application1
アプリケーション
Application2
ドメイン
DomainB
スーパーユーザは次に、Workspace1 を割り当てるために上級管理者の管理者レコードを編集します。
この段階で、上級管理者がログインすると、DomainB 内の Agent1、Application1、Application2、およびポリシーのみを表示して変更できます。ポリシー ストアの他のエージェント、アプリケーション、およびドメインは管理 UI に表示されません。
上級管理者による下級管理者の作成
このユース ケースの後半の部分では、特定の権限のセットを持つ管理者が別の管理者を作成する方法を示します。
「上級管理者」が、「下級管理者」と呼ばれる管理者を作成します。上級管理者が下級管理者に対してセキュリティ カテゴリを追加するとき、(上級管理者が伝達権限を有している)以下のみを利用できます。
  • アプリケーション管理
  • ポリシー管理
: 伝達権限により、ある管理者が別の管理者にカテゴリを割り当てることができます。
上級管理者は下級管理者に、アクセス方法と権限を以下のように割り当てることができます。
  • アクセス方法
    GUI を許可
  • 権利
セキュリティ カテゴリ
権限 *
アプリケーション管理
V
ポリシー管理
V, M
* 権限:表示、管理、伝達、実行 (レポート実行の場合のみ)
この段階で、下級管理者が管理 UI にログインすると、Application1 と Application2 を表示できます。さらに DomainB を表示し変更できます(デフォルトで上級管理者のスコープに制限される)。
上級管理者 がワークスペースの作成および割り当てを行い、さらに下級管理者をスコープする
上級管理者が下級管理者のスコープをさらに限定して、下級管理者がポリシー データのより小さいサブセットのみを管理できるようにします。これを行うには、上級管理者は、まず以下のメンバを持つ Workspace2 という名前のワークスペースを作成します。
Type
名前
アプリケーション
Application2
ドメイン
DomainB
上級管理者は次に、Workspace2 を割り当てるために下級管理者の[管理者]レコードを編集します。
この段階で、上級管理者がログインすると、DomainB の Application2 のみを表示し、DomainB のポリシーを変更できます。ポリシー ストアの他のアプリケーションおよびドメインは管理 UI に表示されません。