前のトピック: 要求属性別の新規ユーザの自動割り当て次のトピック: 新規ユーザ グループの管理

CA CEM 上のユーザおよびグループの管理サブネット ユーザ グループへの新規ユーザの自動割り当て

サブネット ユーザ グループへの新規ユーザの自動割り当て

ユーザの IP サブネットによってユーザをグループ化することができます。 CA CEM は、新しいユーザの IP アドレスを既存のユーザ グループのサブネットと自動的に比較します。 最も限定的なサブネット マスクが最初に調べられます。 たとえば、以下のユーザ グループが定義されているとします。

SubGroup - 255.255.255.0 mask / 192.168.2.0 IP start
BigGroup - 255.255.0.0 mask / 192.168.0.0 IP start

SubGroup のサブネット マスクの方が限定的であるため、受信 IP トラフィックは最初に SubGroup ユーザ グループと比較されます。 たとえば、IP アドレス 192.168.2.4 は SubGroup グループに割り当てられ、IP アドレス 192.168.9.9 は BigGroup グループに割り当てられます。

SubGroup グループにも BigGroup グループにも含まれない IP アドレスが検出された場合、そのユーザは構成オプションに従って割り当てられます。 たとえば、IP アドレス 192.1.9.9 のサブネット マスクは 255.255.255.0 ですが、これは、どちらのグループの IP アドレス範囲にも当てはまりません。

注: ユーザ グループ パラメータ別のグループ化は、サブネット別の自動ユーザ グループ分類に優先します。 詳細については、「要求属性別の新規ユーザの自動割り当て」を参照してください。

新規ユーザのサブネット ユーザ グループの作成

サブネット ユーザ グループは、[設定]の[ドメイン]タブにある[IP サブネット別にユーザ グループを作成]オプションによって決まります。

[設定]の[ドメイン]ページにある[IP サブネット別にユーザ グループを作成]オプションを選択した場合、新しい IP アドレスが検出されると、[新規ユーザ]というグループに割り当てられるのではなく、新しいユーザ グループの作成がトリガされます。

重要: インストール環境が大規模な電子商取引サイト(ユーザ数が数十万人または数百万人のサイト)の場合は、この機能を使用しないでください。 作成されるユーザ グループの数が、処理できないほど膨大になる可能性があります。

デフォルトでは、自動的に作成されるユーザ グループの最大数は 5000 です。 デフォルト値を調整したい場合は「デフォルトの tess-default.properties ファイル」を参照してください。

新しいユーザ グループの名前は、検出された IP アドレスの先頭の数字になります。 この例では、新しいユーザ グループの名前は以下のようになります。

Usergroup-192.1.9.0 - 255.255.255.0 mask/192.1.9.0 address

新たに作成されたユーザ グループを表示する方法

  1. [管理]の[ユーザ グループ]を選択します。
  2. [Usergroup-192.1.9.0]をクリックして、リストされる新しいユーザを確認します。

注: ある IP アドレスを使用してサブネット ユーザ グループに割り当てられたユーザは、後でその IP アドレスが変更されても、そのユーザ グループに残ります。 必要に応じて、元のユーザ項目を手動で移動することができます。

プロキシ サーバを使用するユーザの識別

サブネット ユーザ グループへの新規ユーザの自動割り当て」で説明したシナリオでは、プロキシ サーバを使用するユーザは、クライアント マシンのサブネットではなく、そのプロキシ サーバのサブネットに従ってグループ化されます。 ビジネス ニーズによっては、これは目的の処理と異なる可能性があります。 クライアント サブネットに従ってユーザ グループを作成する必要がある場合もあります。

同様に、障害リスト([インシデント管理]の[障害]ページ)では、クライアント IP アドレスに、プロキシ サーバの IP アドレスではなく、親マシンの IP アドレスを表示したい場合もあります。

要求トラフィックに、クライアント IP アドレスを含む HTTP ヘッダがある場合は、ログインおよび障害で接続 IP アドレスではなくクライアント IP アドレスが報告されるように CA CEM を設定できます。 X-Forwarded-For、Forwarded-For、および iv-remote-address は、クライアント IP アドレスの識別に使用されるヘッダの例です。 ドットで区切られた 10 進数表記の IP アドレス(または標準表記の IPv6 アドレス)が含まれているその他のヘッダも使用できます。 例:

X-Forwarded-For: 172.24.192.4

ProxyForwardHeader という TIM 設定を使用して、ヘッダの名前を指定します。

注: ヘッダがない場合や値が IP アドレスの形式ではない場合は、接続 IP アドレスが使用されます。 つまり、動作はデフォルトと同じで、ProxyForwardHeader の設定は指定されません。

TIM ごとに、ProxyForwardHeader の値を、クライアントの IP アドレスを含むヘッダに設定します。

ヘッダの値に基づいて、プロキシ サーバを使用するクライアントを識別する方法

  1. TIM システム設定ページにアクセスします。 (「CEM コンソールから TIM へのアクセス」)。
  2. [Configure TIM Settings]をクリックします。

    [TIM Settings]ページが表示されます。

  3. [ProxyForwardHeader]をクリックします。
  4. [New value]フィールドに、ヘッダ名(コロンなし)を入力し、[Change]をクリックします。

    このフィールドでは、大文字小文字が区別されません。

  5. 複数の TIM がある場合は、各 TIM について上記の手順を繰り返します。 この設定は、その設定が定義されている各 TIM で監視されるすべてのサーバおよびアプリケーションに影響します。

ヘッダの値に基づいて、ユーザ グループを作成する方法

  1. 前述の「ヘッダの値に基づいて、プロキシ サーバを使用するクライアントを識別する方法」の説明に従って、ProxyForwardHeader を設定します。
  2. CEM コンソールで、[IP サブネット別にユーザ グループを作成]オプションが選択されていることを確認します。
    1. [設定] - [ドメイン]を選択します。
    2. [IP サブネット別にユーザ グループを作成]を選択します。

    これで、接続サブネットではなく、ヘッダに指定されているクライアント サブネットに基づいて、新しいユーザ グループが作成されます。 また、障害は、送信元が接続 IP アドレスではなく、クライアント IP アドレスとして報告されます。

  3. (オプション)プロキシ サーバを使用するクライアントの障害を作成して、構成をテストします。 障害に関連付けられた IP アドレスがプロキシ サーバではなくクライアントの IP アドレスの場合は、構成は適正です。