CA EEM での APM リソースクラスの作成と削除

Introscope のセキュリティ保護 › CA EEM による Introscope のセキュリティ保護 › CA EEM による許可の構成 › CA EEM での APM リソースクラスの作成と削除

CA EEM での APM リソースクラスの作成と削除

新しいアプリケーションを登録するごとに、APM リソースクラスを定義しなければならない場合があります。 Introscope では、少なくともドメインとサーバのリソースクラスが必要です。 CA CEM を使用する場合、CA CEM 固有のリソースクラスを定義する必要があります。 CA CEM の CA EEM によるセキュリティの詳細については、「CA CEM の CA EEM による認証および許可」を参照してください。

重要： CA APM のセキュリティでは、修正済みの APM リソースクラスおよび権限名を使用する必要があります。

APM リソースクラスごとに関連する権限を指定する必要があります。CA EEM ではこの権限のことをアクションと呼びます。

注：デフォルトのリソースクラスを含む APM という名前のアプリケーションを作成する Safex スクリプトコードについては、<EM_Home>/examples/authentication ディレクトリにある eem.register.app.xml サンプルファイルを参照してください。

注： CA EEM インターフェースを使用してこれらのタスクを実行することもできます。詳細については、「CA Embedded Entitlements Manager Getting Started Guide」、「CA Embedded Entitlements Manager Online Help」、および「CA Embedded Entitlements Manager Programming Guide」を参照してください。

Safex ユーティリティを使用して APM リソースクラスを作成する方法

<EEM_Server> ディレクトリ内に Safex XML ファイルを作成します。このディレクトリは通常、C:¥Program Files¥CA¥SharedComponents¥iTechnology にあります。
たとえば、C:¥Program Files¥CA¥SharedComponents¥iTechnology¥Add_resource_classes.xml となります。
ドメインリソースクラスの権限を決定します。
read
ユーザまたはグループは、ドメイン内のすべてのエージェントとビジネスロジックを表示できます。

この権限で実行できるタスクには以下のものがあります。
- Investigator ツリーの表示（ユーザがアクセス権を持つドメイン内のエージェントが表示されます）
- Workstation コンソールでのダッシュボードの表示
- Investigator のプレビューペインでのメトリックデータとエレメントデータの表示（Investigator ツリー内の特定リソースのデフォルトビューである、上位 N 件を示すフィルタされたビューの表示を含みます）
- 管理モジュール、エージェント、またはエレメントの設定の表示
- アラートメッセージの参照
- 履歴 Data Viewer での履歴データの更新および拡大/縮小表示
- 履歴 Data Viewer の履歴データの範囲に関するオプションの変更
- グラフでのメトリックの表示/非表示の切り替え
- Data Viewer でのメトリックの前面/背面移動
- グループとユーザの基本設定の変更（ホームダッシュボードの設定や、管理モジュール名をダッシュボード名と共に表示するかどうかなど）
注： read 権限を持つユーザまたはグループは、Workstation のすべてのコマンドを参照できます。ただし、アクセス権を持たないコマンドは無効になります。
write
write 権限を持つユーザまたはグループは、read 権限を持つユーザまたはグループが実行可能な操作をすべて実行できますが、以下のタスクも行うことができます。
- ドメイン内のすべてのエージェントとビジネスロジックの表示
- ダッシュボードの作成および編集
- ドメイン内のすべてのモニタリングロジックの編集
run_tracer

ユーザまたはグループは、エージェントについてトランザクション追跡セッションを開始できます。

注：この権限には、read 権限も割り当てる必要があります。

historical_agent_control

ユーザまたはグループはエージェント（複数可）をマウントおよびマウント解除できます。

注：この権限には、read 権限も割り当てる必要があります。

live_agent_control

ユーザまたはグループは、ドメイン内のメトリック、リソース、およびエージェントの報告をシャットオフできます。

注：この権限には、read 権限も割り当てる必要があります。

dynamic_instrumentation

ユーザまたはグループは動的インスツルメンテーションを実行できます。

動的インスツルメンテーションについては、「CA APM Java エージェント実装ガイド」または「CA APM .NET エージェント実装ガイド」を参照してください。

thread_dump

ユーザまたはグループは［スレッドダンプ］タブを参照および使用できます。

スレッドダンプの使用および設定については、「CA APM Workstation ユーザガイド」および「CA APM Java エージェント実装ガイド」を参照してください。

full

ユーザまたはグループは、ドメインに対するすべての権限を持ちます。
APM ドメインの構成については、「Introscope のセキュリティおよび権限の概要」を参照してください。
サーバリソースクラスの権限を決定します。

shutdown

ユーザまたはグループは Enterprise Manager をシャットダウンできます。

publish_mib

ユーザまたはグループは SNMP コレクションデータを MIB に発行できます。

MIB を発行するには、SNMP コレクションを作成する必要があります。このタスクを行うには、SNMP コレクションの保存先のドメインに対する書き込みアクセス権が必要です。

apm_status_console_control

ユーザまたはグループは、APM ステータスアラートアイコンの表示、APM ステータスコンソールの使用、APM ステータスコンソール CLW コマンドの実行を行えます。

注：メトリックブラウザツリーでアクティブなクランプのメトリック情報を表示するには、domains.xml のスーパードメイン権限を持っている必要があります。

full

ユーザまたはグループは Enterprise Manager サーバに対するすべての権限を持ちます。
アプリケーション問題切り分けマップのセキュリティを提供するビジネスサービスリソースクラスの権限を決定します。

書き込み、読み取り、および機密データの読み取り

Introscope ユーザおよびグループは、アプリケーション問題切り分けマップにビジネスサービスを表示できます。

注：アプリケーション問題切り分けマップにビジネスサービスを表示するには、任意の CA EEM 権限を使用できます。この場合、これらの 3 つの権限はデフォルトで使用できます。

注：ビジネスサービスを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。
フロントエンドに対してアプリケーション問題切り分けマップのセキュリティを提供するビジネスアプリケーションリソースクラスの権限を決定します。

書き込み

Introscope ユーザおよびグループは、アプリケーション問題切り分けマップにフロントエンドを表示できます。

注：スーパードメインのセキュリティは、アプリケーション問題切り分けマップのセキュリティに優先します。詳細については、「スーパードメインのセキュリティは、アプリケーション問題切り分けマップのセキュリティに優先する」を参照してください。

注： CA APM の CA EEM によるセキュリティは、ビジネスアプリケーションリソースクラスを使用して、マップのフロントエンドに対するセキュリティを提供します。

注：マップにフロントエンドを表示するには、任意の CA EEM 権限を使用できます。この場合、書き込み権限だけがデフォルトで使用できます。

注：マップのフロントエンドを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。

<ResourceClass> で始まり
</ResourceClass> で終わるコードを Safex XML ファイルにカットアンドペーストし、リソースクラスと権限を各自の変数に置き換えて、他の適切な値を構成します。

注： CA EEM では、権限はアクションと呼ばれます。

<Safex>
   <!-- Attach as global user -->
   <Attach/>
   <!-- register "APM" application  -->
   <Register certfile="APM.p12" password="EiamAdmin">
      <ApplicationInstance name="APM" label="APM">
             <Brand>Introscope</Brand>
             <MajorVersion>1</MajorVersion>
             <MinorVersion>0</MinorVersion>
             <Description>APM Application</Description>
             <ResourceClass>
                <Name>Domain</Name>
                <Action>read</Action>
                <Action>write</Action>
                <Action>run_tracer</Action>
                <Action>historical_agent_control</Action>
                <Action>dynamic_instrumentation</Action>
                <Action>live_agent_control</Action>
                <Action>Thread_Dump</Action>
                <Action>full</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Server</Name>
                <Action>shutdown</Action>
                <Action>publish_mib</Action>
                <Action>apm_status_console_control</Action>
                <Action>full</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Business Service</Name>
                <Action>write</Action>
                <Action>read</Action>
                <Action>read sensitive data</Action>
            </ResourceClass>
            <ResourceClass>
                <Name>Business Application</Name>
                <Action>write</Action>
            </ResourceClass>

      </ApplicationInstance>
   </Register>
   <Detach/>
</Safex>

注： ビジネスサービスおよびビジネスアプリケーション リソースクラスは、アプリケーション問題切り分けマップのユーザ権限を設定するために必要です。権限を設定しない場合は、すべてのユーザがすべてのフロントエンドを表示できます。ビジネスアプリケーションリソースクラスは、特定のフロントエンドを表示するための権限を提供します。

コマンドプロンプトを開き、<EEM_Server> ディレクトリに移動します。通常は、C:¥Program Files¥CA¥SharedComponents¥iTechnology です。
以下のコマンドを実行して Safex スクリプトを実行します。
```
>safex.exe -h localhost -u EiamAdmin -p <パスワード> -f <ファイル名>.xml
```
たとえば、以下のようになります。
```
>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xml
```
FIPS モードで CA EEM に統合されているアプリケーションに対して APM リソースクラスを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。
```
>safex.exe -h localhost -u EiamAdmin -p <パスワード> -f <ファイル名>.xml -fips
```
たとえば、以下のようになります。
```
>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xml -fips
```
CA EEM 内の APM リソースを表示します。
1. CA EEM にログインします。
2. ［アクセスポリシーの管理］タブをクリックします。
3. ［ポリシー］リンクをクリックします。
CA EEM にリソースクラスのポリシーが表示されます。

Safex ユーティリティを使用して APM リソースクラスを削除する方法

<EEM_Server> ディレクトリ内に Safex XML ファイルを作成します。このディレクトリは通常、C:¥Program Files¥CA¥SharedComponents¥iTechnology にあります。
たとえば、C:¥Program Files¥CA¥SharedComponents¥iTechnology¥Remove_Resource_class.xml となります。

Safex XML ファイルに以下のコードをカットアンドペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。

<Safex>
   <!-- Attach as global user -->
   <Attach/>

<!-- remove resource class -->
      <ApplicationInstance name="APM" label="APM">
      <Remove>
                <ResourceClass>
                   <Name>Business Service</Name>
                   <Action>write</Action>
                   <Action>read</Action>
                   <Action>read sensitive data</Action>
            </ResourceClass>
     </Remove>
   </ApplicationInstance>
   <Detach/>
</Safex>

コマンドプロンプトを開き、<EEM_Server> ディレクトリに移動します。通常は、C:¥Program Files¥CA¥SharedComponents¥iTechnology です。
以下のコマンドを実行して Safex スクリプトを実行します。
```
>safex.exe -h localhost -u EiamAdmin -p <パスワード> -f <ファイル名>.xml
```
たとえば、以下のようになります。
```
>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xml
```
FIPS モードで CA EEM に統合されているアプリケーションに対して APM リソースクラスを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。
```
>safex.exe -h localhost -u EiamAdmin -p <パスワード> -f <ファイル名>.xml -fips
```
たとえば、以下のようになります。
```
>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xml -fips
```
CA EEM 内の APM リソースを表示します。
1. CA EEM にログインします。
2. ［アクセスポリシーの管理］タブをクリックします。
3. ［ポリシー］リンクをクリックします。
削除したリソースクラスは表示されません。

CA EEM での APM リソース クラスの作成と削除

CA EEM での APM リソースクラスの作成と削除