前のトピック: エンドポイント CSV ファイルの作成次のトピック: 手動でのポーリング タスクの開始

エンタープライズ管理ガイド共有アカウントの実装SAM エンドポイントおよび共有アカウントのインポート方法共有アカウント CSV ファイルの作成

共有アカウント CSV ファイルの作成

特権アカウント CSV ファイル内の各行について、ヘッダ行の後にある行は CA ControlMinder エンタープライズ管理 で共有アカウントの作成や変更を行うタスクを表します。

重要: CSV ファイルを作成する際に、他にそのファイルを使用するアプリケーションがないこと、およびファイル名が変更できることを確認します。 SAM フィーダは、名前を変更できる CSV ファイルのみを処理します。

以下の手順に従います。

  1. CSV ファイルを作成して、適切な名前を付けます。

    注: エンドポイント CSV ファイルのサンプルのコピーを作成することをお勧めします。 サンプル ファイルは以下の場所にあります。このパスの ACServerInstallDir はエンタープライズ管理サーバをインストールしたディレクトリです。

    ACServerInstallDir/IAMSuite/AccessControl/tools/samples/feeder
  2. 共有アカウント属性の名前を指定するヘッダ行を作成します。

    共有アカウント属性の名前は以下のとおりです。

    OBJECT_TYPE

    インポートするオブジェクトのタイプを指定します。

    値: ACCOUNT_PASSWORD

    ACTION_TYPE

    実行するアクションのタイプを指定します

    : CREATE、MODIFY、DELETE

    ACCOUNT_NAME

    CA ControlMinder エンタープライズ管理 上の共有アカウントを表す名前を指定します。

    注: RACF、ACF、Top Secret、SSH Device などのエンドポイント タイプのメインフレーム システムでは、大文字と小文字を区別してユーザ名を使用します。 これらのエンドポイント タイプには、大文字と小文字が正しいアカウント名を入力します。 メインフレーム システムおよび Oracle Server 上のエンドポイント上の特権アカウントには、アカウント名を大文字で入力します。

    ENDPOINT_NAME

    共有アカウントが存在するエンドポイントの名前を定義します。 エンドポイントに対して任意の共有アカウントを作成できるようにするには、CA ControlMinder エンタープライズ管理 でエンドポイントを定義します。

    NAMESPACE

    エンドポイントのエンドポイント タイプを指定します。

    注: 利用可能なエンドポイント タイプを CA ControlMinder エンタープライズ管理 に表示できます。 CA Identity Minder プロビジョニング タイプのエンドポイントを作成する場合は、CA ControlMinder エンタープライズ管理 内に Identity Manager プロビジョニング タイプのコネクタ サーバ を作成しておきます。

    CONTAINER

    共有アカウント用のコンテナの名前を指定します。 コンテナは、そのインスタンスが他のオブジェクトの集合であるクラスです。 コンテナは、特定のアクセス ルールに従って、整理された方法でオブジェクトを格納するために使用されます。

    値: (Windows エージェントレスおよび Oracle Server のエンドポイント): Accounts

    (SSH Device エンドポイント): SSH Accounts

    (MS SQL Server エンドポイント) MS SQL Logins

    DISCONNECTED_SYSTEM

    接続を解除されたシステムから共有アカウントを実行するかどうかを指定します。

    TRUE を指定すると、SAM はアカウントを管理しません。 代わりに、SAM は、接続解除システムの共有アカウントのパスワード ボールトとしてのみ機能します。 SAM でパスワードを変更するたびに、管理対象エンドポイントでアカウントのパスワードを手動で変更します。

    値: TRUE、FALSE

    EXCLUSIVE_ACCOUNT

    単一ユーザのみが随時アカウントをチェックアウトできることを指定します。

    EXCLUSIVE を指定すると、SAM では、単一ユーザが随時アカウントをチェックアウトできます。 EXCLUSIVE_SESSIONS を指定すると、SAM ではオープン セッションの専用アカウントへのチェックインが拒否されます。 NONE を指定すると、SAM では、複数のユーザが同時にチェックアウトを実行できます。

    値: EXCLUSIVE_SESSIONS、EXCLUSIVE、NONE

    NEW_PASSWORD

    共有アカウントのパスワードを定義します。 この属性の値を指定しない場合、CA ControlMinder エンタープライズ管理 は指定したパスワード ポリシーに準拠したパスワードを生成します。

    注: パスワードは指定したパスワード ポリシーに準拠している必要があります。

    PASSWORD_POLICY

    共有アカウントのパスワード ポリシーを指定します。

    注: 存在しないパスワード ポリシーを指定するとタスクが失敗します。また、CA ControlMinder エンタープライズ管理 ではアカウントが作成されません。

    OWNER_INFO

    アカウント所有者の名前を指定します。

    DEPARTMENT_INFO

    部門の名前を指定します。

    CUSTOM1....5_INFO

    カスタマ固有の属性を 5 つまで指定します。

    CHANGE_PASSWORD_ON_CHECKOUT

    アカウントがチェックアウトされるたびに、CA ControlMinder エンタープライズ管理 でそのパスワードを変更するかどうかを指定します。

    値: TRUE、FALSE

    デフォルト: FALSE

    CHANGE_PASSWORD_ON_CHECKIN

    ユーザまたはプログラムによってアカウントがチェックインされるたび、またはチェックアウト期間の失効時に、CA ControlMinder エンタープライズ管理 でそのパスワードを変更するかどうかを指定します。

    値: TRUE、FALSE

    デフォルト: TRUE

  3. タスクの行を CSV ファイルに追加します。

    各行は共有アカウントを作成または変更するタスクを表します。また、ヘッダと同じ数の属性値が必要です。 行に属性の値がない場合は、フィールドを空にしておきます。

  4. ファイルをポーリング フォルダに保存します。

    共有アカウント CSV ファイルは、SAM フィーダによってインポートされる準備が完了しています。

    注: デフォルトのポーリング フォルダは以下の場所にあります。この JBoss_home は JBOSS をインストールしたディレクトリです。

    JBoss_home/server/default/deploy/IdentityMinder.ear/custom/ppm/feeder/waitingToBeProcessed

例: 共有アカウント CSV ファイル

以下は、共有アカウント CSV ファイルのサンプルです。 ACServerInstallDir/IAMSuite/AccessControl/tools/samples/Feeder ディレクトリに複数の共有アカウント CSV ファイルのサンプルがあります。

OBJECT_TYPE,ACCOUNT_NAME,ENDPOINT_NAME,NAMESPACE,CONTAINER,
DISCONNECTED_SYSTEM,EXCLUSIVE_ACCOUNT,NEW_PASSWORD,PASSWORD_POLICY

ACCOUNT_PASSWORD,demo1,local windows 2003,Windows Agentless,
Accounts,FALSE,FALSE,Password1@,default password policy

ACCOUNT_PASSWORD,demo2,local windows 2003,Windows Agentless,
Accounts,FALSE,FALSE,,default password policy

ACCOUNT_PASSWORD,disconnected1,local windows 2003,Windows Agentless,
Accounts,TRUE,FALSE,Password1@,default password policy