組織で Embedded Entitlements Manager をデプロイ済みの場合は、アクセス ポリシーを使用して、ビジネス サービスおよびその関連データへのアクセス権限を持つセキュリティ グループを制御することができます。
セキュリティ グループは Embedded Entitlements Manager APM アプリケーション向けに作成されたユーザのグループです。 Embedded Entitlements Manager では、セキュリティ グループはアプリケーション グループと呼ばれます。
管理者が、新たに作成されたすべてのビジネス サービスへのアクセス権限を自動的に取得するセキュリティ グループを設定します。
デフォルトでは、以下の 4 つのアクセス ポリシーが設定されています。
CEM システム管理者グループには、すべてのビジネス サービスに対するすべての権限が付与されます。
CEM 構成管理者グループには、すべてのビジネス サービスに対する読み取りおよび書き込みの権限が付与されます。
CEM インシデント アナリスト グループには、すべてのビジネス サービスに対する機密データの読み取り権限が付与されます。
CEM アナリストおよび CEM インシデント アナリスト グループには、すべてのビジネス サービスに対する読み取り権限が付与されます。
標準のセキュリティ グループ(CEM システム管理者、CEM 構成管理者、CEM インシデント アナリスト、CEM アナリスト)を使用している場合は、これらのアクセス ポリシーで十分です。 しかし、追加のセキュリティ グループを作成し、それらのグループのメンバにすべてのビジネス サービスのアクセス権限を付与する場合は、それらのグループを含むようにアクセス ポリシーを作成または変更する必要があります。
注: このトピックの手順では、すべてのビジネス サービスに対するアクセス ポリシーを変更または作成する方法について説明します。 特定のビジネス サービスに対するアクセス ポリシーを変更または作成する場合は、「CA APM トランザクション定義ガイド」を参照してください。
すべてのビジネス サービスに対する既存のアクセス ポリシーを表示または編集する方法
CA CEM のインストール後にアクセス ポリシーを追加していない場合は、以下に示すアクセス ポリシーが表示されます。
[更新アクセス ポリシー]ページが表示されます。
以下に、そのフィールドについて説明します。
[ビジネス サービス]で[すべて]を選択していることを確認します。 これは、選択されたセキュリティ グループが、これ以降に作成されるすべてのビジネス サービスに関連付けられ、既存のすべてのビジネス サービスに適用されることを意味します。
すべてのビジネス サービスに対する新規アクセス ポリシーを作成する方法
以下に、そのフィールドについて説明します。
注: [ビジネス サービス]で[すべて]を選択し、[セキュリティ グループ]で[選択]を選択していることを確認します。 これは、選択されたセキュリティ グループがすべての(既存およびこれ以降の)ビジネス サービスに関連付けられることを意味します。
次に、[新規アクセス ポリシー]ページのフィールドについて説明します。
ポリシーに意味のある名前を付けます。
説明的なコメントを追加します。
ビジネス サービスに対するアクションを明示的に許可または拒否するポリシーを作成する場合に選択します。
許可と拒否の間で競合が発生した場合は、拒否ポリシーが優先されます。
ポリシーを適用する場合は、ポリシーを有効にします。
現在は使用する必要がないが、将来的に使用する可能性がある場合は、ポリシーを無効にします。 二度と使用しないポリシーは削除します。
セキュリティ グループのメンバが、[ビジネス サービス]タブから、ビジネス サービスおよびそのすべての子オブジェクト(ビジネス トランザクション、トランザクション、コンポーネントなど)を表示、編集、および削除できるようにするには、このチェック ボックスをオンにします。
アクセス権限を持っていないビジネス サービスが 1 つでもあると、そのユーザに[ビジネス サービス]タブは表示されません。
セキュリティ グループのメンバが、[CEM]タブでそのビジネス サービスに関連付けられたグラフおよびレポートを表示できるようにするには、このチェック ボックスをオンにします。
注: Embedded Entitlements Manager が、構成されている唯一の領域である必要があります。 ローカル領域が(Embedded Entitlements Manager 領域のほかに)構成されている場合は、すべてのユーザが、スケジュール済みレポート内のすべてのデータにアクセスできます。 領域の詳細については、「CA APM セキュリティ ガイド」を参照してください。
セキュリティ グループのメンバが、障害に関連するホスト、URL パス、TCP ポート、Cookie、および HTTP ヘッダを参照できるようにするには、このチェック ボックスをオンにします。 これらの情報は、[CEM]-[インシデント管理]-[障害詳細]ページに表示されます。
[包括的な障害詳細をキャプチャ]チェック ボックス([設定]の[ドメイン]ページ)がオンの場合、障害についてのクエリおよびポストの各パラメータと要求および応答の本文情報も[障害詳細]ページに表示されます。 詳細については、「CA APM セキュリティ ガイド」の CA CEM の章を参照してください。
このオプションは[読み取り]チェック ボックスと一緒に使用してください。 [障害詳細]ページを表示するには読み取りアクションが必要です。
[すべて]を選択します。 これを選択した場合、アクセス ポリシーはすべてのビジネス サービス、および新規ビジネス サービスが作成された場合はすべての新規ビジネス サービスに適用されます。
注: 特定のビジネス サービスのアクセス ポリシーを変更するには、詳細について「CA APM トランザクション定義ガイド」を参照してください。 たとえば、1 つの特定のビジネス サービスに対するアナリストのアクセス権限を拒否する場合は、CEM アナリストおよび CEM インシデント アナリストの各セキュリティ グループのそのビジネス サービスに対して明示的拒否を設定します。
[選択]を選択し、ポリシーのセキュリティ グループを[選択]列に移動します。
ここに表示されるセキュリティ グループは、Embedded Entitlements Manager の APM アプリケーション固有のユーザ グループに対応します。 Embedded Entitlements Manager グローバル ユーザ グループは、CA CEM では選択できません。
セキュリティ グループを表示または変更するには、Embedded Entitlements Manager を使用します。 Embedded Entitlements Manager の使用方法の詳細については、「CA APM セキュリティ ガイド」を参照してください。 セキュリティ グループは CEM コンソールからは管理できません。
Copyright © 2013 CA.
All rights reserved.
|
|