Introscope のセキュリティ保護 › ローカルによるセキュリティを使用した Introscope のセキュリティ保護 › domains.xml での CA Introscope® ドメイン権限の構成

domains.xml での CA Introscope® ドメイン権限の構成

権限が適用されるのは、CA APM ユーザまたはグループがログインするときです。 CA APM ユーザまたはグループがログインしている間に変更が行なわれた場合、その変更は次回ログイン時まで認識されません。 つまり、セッション中に権限が変更されても、CA Introscope® はセッションを終了しません。

CA Introscope® の権限は動的であり、ログイン試行のたびに domains.xml ファイルと server.xml ファイルが Enterprise Manager によってチェックされます。 したがって、権限の変更は Enterprise Manager を再起動しなくても行うことができます。

ユーザはドメインに対する権限を以下の順序で与えられます。

• ユーザを指定する各ドメインに記述されたすべての権限
• ユーザが所属するグループの各ドメインに記述されたすべての権限

また、これらのルールはドメインへのアクセス時に適用されます。

• 権限の観点から言うと、スーパードメインは、ほかのすべてのドメインと同じように扱われます。
• スーパードメインへのアクセス権を持つユーザまたはグループに与えられた権限は、すべてのユーザ定義ドメインでも使用できます。
• 1 人のユーザまたは 1 つのグループは、1 つのドメインに対して複数の権限を持つことができます。
• 1 人のユーザまたは 1 つのグループは、複数のドメインで権限を持つことができます。

以下の手順に従います。

1. XML 編集プログラムを使用して、<EM_Home>/config ディレクトリの domains.xml ファイルを開きます。
2. ドメインごとに以下のプロパティを使用して、ユーザまたはグループの権限を定義します。

   注： ユーザまたはグループが複数の権限を持っている場合は、ユーザ/権限の組み合わせごとに設定行を 1 行追加します。

   read

   ユーザまたはグループは、ドメイン内のすべてのエージェントとビジネス ロジックを表示できます。

   この権限で実行できるタスクには以下のものがあります。

   • Investigator ツリーの表示（ユーザがアクセス権を持つドメイン内のエージェントが表示されます）
   • Workstation コンソールでのダッシュボードの表示
   • Investigator のプレビュー ペインでのメトリック データとエレメント データの表示（Investigator ツリー内の特定リソースのデフォルト ビューである、上位 N 件を示すフィルタされたビューの表示を含みます）
   • 管理モジュール、エージェント、またはエレメントの設定の表示
   • アラート メッセージの参照
   • 履歴 Data Viewer での履歴データの更新および拡大/縮小表示
   • 履歴 Data Viewer の履歴データの範囲に関するオプションの変更
   • グラフでのメトリックの表示/非表示の切り替え
   • Data Viewer でのメトリックの前面/背面移動
   • グループとユーザの基本設定の変更（ホーム ダッシュボードの設定や、管理モジュール名をダッシュボード名と共に表示するかどうかなど）

   注： read 権限を持つユーザまたはグループは、Workstation のすべてのコマンドを参照できます。 ただし、アクセス権を持たないコマンドは無効になります。

   write

   write 権限を持つユーザまたはグループは、read 権限を持つユーザまたはグループが実行可能な操作をすべて実行できますが、以下のタスクも行うことができます。

   • ドメイン内のすべてのエージェントとビジネス ロジックの表示
   • ダッシュボードの作成および編集
   • ドメイン内のすべてのモニタリング ロジックの編集

   run_tracer

   ユーザまたはグループは、エージェントについてトランザクション追跡セッションを開始できます。

   注： この権限には、read 権限も割り当てる必要があります。

   historical_agent_control

   ユーザまたはグループはエージェント（複数可）をマウントおよびマウント解除できます。

   注： この権限には、read 権限も割り当てる必要があります。

   live_agent_control

   ユーザまたはグループは、ドメイン内のメトリック、リソース、およびエージェントの報告をシャットオフできます。

   注： この権限には、read 権限も割り当てる必要があります。

   dynamic_instrumentation

   ユーザまたはグループは動的インスツルメンテーションを実行できます。

   動的インスツルメンテーションについては、「CA APM Java エージェント実装ガイド」または「CA APM .NET エージェント実装ガイド」を参照してください。

   thread_dump

   ユーザまたはグループは［スレッド ダンプ］タブを参照および使用できます。

   スレッド ダンプの使用および設定については、「CA APM Workstation ユーザ ガイド」および「CA APM Java エージェント実装ガイド」を参照してください。

   full

   ユーザまたはグループは、ドメインに対するすべての権限を持ちます。

   注： XML タグはすべて大文字と小文字が区別されます。

3. ユーザまたはグループを追加するたびに、手順 2 （「ドメインごとに以下のプロパティを使用して ...」）を繰り返します。
4. domains.xml ファイルを保存し、閉じます。

   CA APM ユーザのログイン時、Enterprise Manager は、ユーザが適切なドメイン権限を持っているかどうかを domains.xml ファイルでチェックします。

注： domains.xml ファイルに構文エラーなどのエラーがあると、Enterprise Manager は起動しません。