在 CA EEM 中创建并删除 APM 资源类

保护 Introscope › 使用 CA EEM 保护 Introscope › 配置 CA EEM 授权 › 在 CA EEM 中创建并删除 APM 资源类

在 CA EEM 中创建并删除 APM 资源类

每次注册新应用程序时，可能都需要定义 APM 资源类。 Introscope 至少需要域和服务器资源类。如果使用 CA CEM，则必须定义特定于 CA CEM 的资源类。有关 CA CEM CA EEM 安全的详细信息，请参阅 CA CEM 的 CA EEM 身份验证和授权。

重要信息！ 对于 CA APM 安全设置，必须使用固定的 APM 资源类和权限名称。

对于每个 APM 资源类，必须提供关联的权限（在 CA EEM 中称为操作）。

注意：有关创建具有默认资源类且名为 APM 的应用程序的 Safex 脚本代码，请参阅位于 <EM_Home>/examples/authentication 目录中的 eem.register.app.xml 示例文件。

注意：您也可以使用 CA EEM 界面执行这些任务。有关详细信息，请参阅《CA Embedded Entitlements Manager 入门指南》、《CA Embedded Entitlements Manager 联机帮助》、《CA Embedded Entitlements Manager 编程指南》。

使用 Safex 实用工具创建 APM 资源类：

在 <EEM_Server> 目录中创建 Safex XML 文件，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。
例如，C:\Program Files\CA\SharedComponents\iTechnology\Add_resource_classes.xml。
确定域资源类权限。
读取
用户或组可以查看域中的所有代理和业务逻辑。

该权限包括如下任务：
- 查看调查器树（将显示域中用户有权访问的代理）
- 在 Workstation 控制台中查看显示板
- 在“调查器预览”窗格中查看度量标准和元素数据，包括调查器树中特定资源的默认前 N 个筛选视图
- 查看任何管理模块、代理或元素设置
- 查看报警消息
- 在历史数据查看器中刷新历史数据和进行缩放
- 更改历史数据查看器的历史日期范围选项
- 显示/隐藏图表中的度量标准
- 在数据查看器中向后或向前移动度量标准
- 更改组和用户首选项（设置主显示板，显示管理模块名称和显示板名称）
注意：具有读取权限的用户或组可以查看 Workstation 中的所有命令。但他们无权访问的命令会被禁用。
写入
具有写入权限的用户或组不仅可以执行需要读取权限的所有操作，而且还可以：
- 查看域中的所有代理和业务逻辑
- 创建和编辑显示板
- 编辑域中的所有监控逻辑
run_tracer

用户或组可以为代理启动事务跟踪会话。

注意：该权限还需要分配读取权限。

historical_agent_control

用户或组可以安装和卸载代理。

注意：该权限还需要分配读取权限。

live_agent_control

用户或组可以关闭针对某个域中的度量标准、资源和代理的报告

注意：该权限还需要分配读取权限。

dynamic_instrumentation

用户或组可以执行动态检测。

有关动态检测的详细信息，请参阅《CA APM Java 代理实施指南》或《CA APM .NET 代理实施指南》。

thread_dump

用户或组可以查看和使用“线程转储”选项卡。

有关使用和配置线程转储的信息，请参阅《CA APM Workstation 用户指南》和《CA APM Java 代理实施指南》。

full

用户或组拥有域的所有可能权限。
有关配置 APM 域的信息，请参阅 Introscope 安全设置和权限概述。
确定服务器资源类权限。

shutdown

用户或组可以关闭企业管理器。

publish_mib

用户或组可以将 SNMP 收集数据发布到 MIB。

为了发布 MIB，用户必须创建 SNMP 收集。该任务要求对保存 SNMP 收集的域具有写入访问权限。

apm_status_console_control

用户或组可以看到 APM 状态报警图标，使用 APM 状态控制台，然后运行 APM 状态控制台 CLW 命令。

注意：想在度量标准浏览器树中查看“活动的限定”度量标准信息的用户，必须具有 domains.xml 超级域权限。

full

用户或组拥有所有可能的企业管理器服务器权限。
确定业务服务资源类权限以提供应用程序分类视图安全设置。

写入、读取以及读取敏感数据

Introscope 用户和组可以查看应用程序分类视图上的业务服务。

注意：可以使用任何 CA EEM 权限查看应用程序分类视图上的业务服务。在这种情况下，系统默认提供这三种权限。

注意：如果更改查看业务服务的用户权限，则在用户注销并再次登录到 Workstation 之前，这些更改不会反映在应用程序分类视图中。
确定业务应用程序资源类权限，以便为前端提供应用程序分类视图安全设置。

写入

Introscope 用户和组可以在应用程序分类视图上查看前端。

注意：超级域安全设置将覆盖应用程序分类视图安全设置。有关详细信息，请参阅超级域安全设置将覆盖应用程序分类视图安全设置。

注意：CA APM CA EEM 安全设置使用业务应用程序资源类为视图前端提供安全设置。

注意：可以使用任何 CA EEM 权限在视图上查看前端。在这种情况下，系统默认仅提供写权限。

注意：如果您更改了用户权限以查看视图前端，则只有当用户注销并再次登录到 Workstation 之后，这些更改才会反映在应用程序分类视图上。

剪切从 <ResourceClass> 开始到
</ResourceClass> 结束的代码并将其粘贴到 Safex XML 文件中，然后用您的变量替代资源类和权限，并配置其他相应的值。

注意：在 CA EEM 中，权限称为操作。

<Safex>
   <!-- 附加为全局用户 -->
   <Attach/>
   <!-- 注册“APM”应用程序  -->
   <Register certfile="APM.p12" password="EiamAdmin">
      <ApplicationInstance name="APM" label="APM">
             <Brand>Introscope</Brand>
             <MajorVersion>1</MajorVersion>
             <MinorVersion>0</MinorVersion>
             <Description>APM Application</Description>
             <ResourceClass>
                <Name>Domain</Name>
                <Action>read</Action>
                <Action>write</Action>
                <Action>run_tracer</Action>
                <Action>historical_agent_control</Action>
                <Action>dynamic_instrumentation</Action>
                <Action>live_agent_control</Action>
                <Action>Thread_Dump</Action>
                <Action>full</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Server</Name>
                <Action>shutdown</Action>
                <Action>publish_mib</Action>
                <Action>apm_status_console_control</Action>
                <Action>full</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Business Service</Name>
                <Action>write</Action>
                <Action>read</Action>
                <Action>read sensitive data</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Business Application</Name>
                <Action>write</Action>
            </ResourceClass>

      </ApplicationInstance>
   </Register>
   <Detach/>
</Safex>

注意：设置应用程序分类视图用户权限必须要有业务服务和业务应用程序资源类。如果没有设置权限，则所有用户都可以看到所有前端。业务应用程序资源类提供查看特定前端所需的权限。

打开命令提示符并导航到 <EEM_Server> 目录，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。

通过以下命令来运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xml

如果要为以 FIPS 模式与 CA EEM 集成的应用程序创建 APM 资源类，请运行以下命令以运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fips

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xml -fips

在 CA EEM 中查看 APM 资源类。
1. 登录到 CA EEM。
2. 单击“管理访问策略”选项卡。
3. 单击“策略”链接。
CA EEM 会列出针对资源类的策略。

使用 Safex 实用工具删除 APM 资源类：

在 <EEM_Server> 目录中创建 Safex XML 文件，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。
例如，C:\Program Files\CA\SharedComponents\iTechnology\Remove_Resource_class.xml。

剪切此代码并将其粘贴到 Safex XML 文件中，然后使用您的变量替代引号中的变量并配置其他相应的值。

<Safex>
   <!-- 附加为全局用户 -->
   <Attach/>

<!-- 删除资源类 -->
      <ApplicationInstance name="APM" label="APM">
      <Remove>
                <ResourceClass>
                   <Name>Business Service</Name>
                   <Action>write</Action>
                   <Action>read</Action>
                   <Action>read sensitive data</Action>
            </ResourceClass>
     </Remove>
   </ApplicationInstance>
   <Detach/>
</Safex>

打开命令提示符并导航到 <EEM_Server> 目录，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。

通过以下命令来运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xml

如果要为以 FIPS 模式与 CA EEM 集成的应用程序删除 APM 资源类，请运行以下命令以运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fips

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xml -fips

在 CA EEM 中查看 APM 资源类。
1. 登录到 CA EEM。
2. 单击“管理访问策略”选项卡。
3. 单击“策略”链接。
已删除的资源类不会列出。