CA APM のセキュリティの概要 › CA APM のセキュリティおよび権限の概要 › セキュリティ領域について

セキュリティ領域について

セキュリティ領域は、ユーザ、ユーザ グループ、およびユーザの認証、許可、または認証と許可を行うアクセス ポリシーのソースを規定します。

realms.xml ファイルで CA APM のセキュリティ領域を 1 つ以上構成します。 Introscope および CA CEM では、realms.xml で構成されたセキュリティ領域を使用して、ユーザの認証と許可の方法を決定します。 ユーザが Introscope または CA CEM のいずれかにログインするとき、ログインされるアプリケーションの側では、realms.xml 内で定義された順序で各セキュリティ領域をチェックします。 アプリケーションは、指定の ID を持つユーザが存在するかどうかを確認します。 入力されたユーザ パスワードが特定のセキュリティ領域について提供された値と一致した場合、認証は成功します。 以下の条件のいずれかが該当する場合、認証は失敗します。

• 定義された領域内にその名前のユーザが存在しない。
• 領域内にユーザは存在してもパスワードが正しくない。

realms.xml での領域の構成については、以下のトピックを参照してください。

• realms.xml でのローカルによる認証の構成
• realms.xml での LDAP による認証の構成
• realms.xml での CA EEM による認証の構成

Introscope のセキュリティをデプロイするには、以下の 3 つのセキュリティ領域のいずれか 1 つまたはサポートされている任意の組み合わせを使用します。

• ローカルの XML ファイル（ローカル）： ローカルによるセキュリティは、ローカルによる認証とローカル許可から構成されます。Enterprise Manager の <EM_Home>/config ディレクトリに格納される XML ファイルを使用します。
  • ローカルによる認証の場合、XML ファイルを使用して、ユーザ名とパスワードの情報を各 Enterprise Manager にローカルに格納します。 デフォルトのファイル名は users.xml です。 実行時、Introscope はローカル ファイル（users.xml）をチェックして、CA APM ユーザを認証します。
  • ローカル許可の場合、Introscope は 2 つの XML ファイルを各 Enterprise Manager にローカルに格納します。 Introscope では、ドメイン権限用に domains.xml、サーバ権限用に server.xml を使用します。 実行時、Introscope はローカル ファイル（domains.xml と server.xml）をチェックして、CA APM ユーザを許可します。

  Introscope のデフォルトはローカルによるセキュリティです。

  重要： デフォルト CA APM ログインを、Workstation、WebView、Web Start Workstation、または CEM コンソールから Enterprise Manager に変更することをお勧めします。 これに従わず、Introscope のローカルによるセキュリティのみを使用する場合、個人情報の盗難にあう危険性が高くなります。 そのため、セキュリティ メカニズムとして CA EEM をお勧めします。

• Lightweight Directory Access Protocol（LDAP）： TCP/IP 上で実行されるディレクトリ サービスを照会および変更するためのアプリケーション プロトコル。

  ローカルの XML ファイルを許可に使用する場合、LDAP のセキュリティ領域は CA APM ユーザを認証するためだけに使用できます。 詳細については、「LDAP による Introscope のセキュリティ保護」を参照してください。

• CA Embedded Entitlements Manager （CA EEM）：一般的なアクセス ポリシーの管理、認証、および許可の各サービスを他のアプリケーションが共有できるようにする CA Technologies アプリケーション

  注： CA EEM による Introscope のセキュリティ保護はオプションですが、使用することをお勧めします。 CA EEM は業界標準のソリューションであり、ユーザ管理のためのユーザ インターフェースと、許可のためのきめの細かい権限設定を可能にする一元化されたストレージを備えているからです。 Introscope のアプリケーション問題切り分けマップのセキュリティを保護する場合は、CA EEM をデプロイします。

  CA EEM をデプロイすると、CA APM ユーザを認証および許可できます。

  また、認証に LDAP、許可に CA EEM が使用されるように CA EEM を構成することもできます。 詳細については、「LDAP を使用した CA EEM による認証の構成」を参照してください。

以下の表に、Introscope セキュリティ領域がサポートする主な機能を示します。

CA CEM のセキュリティをデプロイするには、以下の 2 つのセキュリティ領域のいずれか 1 つまたはサポートされている任意の組み合わせを使用します。

• ローカルの XML ファイル（ローカル）： ローカルによるセキュリティは、ローカルによる認証とローカル許可から構成されます。Enterprise Manager の <EM_Home>/config ディレクトリに格納される XML ファイルを使用します。
  • ローカルによる認証および許可の場合、XML ファイルを使用して、ユーザ名とパスワードの情報を各 Enterprise Manager にローカルに格納します。 デフォルトの 4 つの CEM セキュリティ グループ、およびこれらのグループに属するユーザも、このファイルで定義します。 デフォルトのファイル名は users.xml です。 許可チェックは、デフォルトの 4 つのセキュリティ グループに対して定義されたメンバシップに基づいて行われます。 実行時、このローカル ファイル（users.xml）を使用して、CA CEM ユーザの認証および許可が行われます。

  Introscope のデフォルトはローカルによるセキュリティです。

• CA Embedded Entitlements Manager （CA EEM）： 一般的なアクセス ポリシーの管理、認証、および許可の各サービスを他のアプリケーションが共有できるようにする CA Technologies アプリケーション。

  注： CA Technologies はいくつかの理由で CA APM のセキュリティ保護に CA EEM を使用することをお勧めします。 CA EEM は業界標準のソリューションであり、ユーザ管理のためのユーザ インターフェースと、許可のためのきめの細かい権限設定を可能にする一元化されたストレージを備えているからです。

  • CA EEM をデプロイすると、CA APM ユーザを認証および許可できます。
  • CA SiteMinder と CA EEM を許可に使用して、CA EEM 認証を設定します。
  • 認証専用に CA EEM、許可にローカルの XML ファイルを構成します。

  CA EEM の詳細については、「CA EEM による Introscope のセキュリティ保護」を参照してください。

CA APM にはシングル ログイン機能があります。 CA CEM および Introscope の両方へのアクセスを許可されているユーザが、再度ログインする必要なしに 2 つのアプリケーション間を移動できます。 CA CEM または Introscope のユーザ認証が完了すると同時に、CA APM は、ユーザの ID およびユーザを認証した領域の名前を入手します。 Introscope は、ユーザが属するグループを取得するためにこの情報を使用します。 CA APM は、ユーザを許可するために以下のいずれかの方法を使用します。

• CA EEM の場合、ユーザのアクセス ポリシー
• ローカルによるセキュリティの場合、1 つ以上の CA CEM のセキュリティ ユーザ グループに属していること

CA APM のセキュリティを設定する際、単一または混合のどちらのセキュリティ領域をデプロイするかを決める必要があります。 CA APM ユーザが Introscope にアクセスできるようにするには、ローカル領域または CA EEM 領域のいずれかをデプロイします。

注： CA EEM による認証と許可の両方をデプロイすることをお勧めします。 詳細については、「CA EEM で CA APM をセキュリティ保護することの利点」を参照してください。