エンタープライズ管理ガイド › 共有アカウントの実装 › 共有アカウントのセットアップ方法 › 特権またはサービス アカウントの作成

特権またはサービス アカウントの作成

管理対象および接続解除システム上でアカウント パスワードを管理するために、特権およびサービス アカウントを作成します。 特権およびサービス アカウントは、異なる目的で使用します。

• ユーザに特権アカウント パスワードをチェックアウトおよびチェックインさせるために、特権アカウントを作成します。
• CLI、データベースまたは Windows RunAs パスワード コンシューマをセットアップするには、特権アカウントを作成します。
• Windows サービスよび Windows スケジュール タスク パスワード コンシューマをセットアップするには、サービス アカウントを作成します。

  注： サービス アカウント パスワードはチェックアウトおよびチェックインできません。

複数のアカウントを作成するには、特権アカウント検出ウィザードおよびサービス アカウント検出ウィザードを使用して、エンドポイント上の特権およびサービス アカウントを検索します。 単一のアカウントを作成するには、このウィンドウに特権またはサービス アカウントの詳細を入力します。

以下の手順に従います。

1. CA ControlMinder エンタープライズ管理 で、［特権アカウント］-［アカウント］-［特権アカウントの作成］ をクリックします。

   ［特権アカウントの作成： 特権アカウントの選択］ページが表示されます。

2. （オプション）既存の特権アカウントを選択して、パスワード ポリシーをそのコピーとして、以下のように作成します。
   1. ［特権アカウント タイプのオブジェクトのコピーの作成］を選択します。
   2. 検索属性を選択し、フィルタ値を入力し、［検索］をクリックします。

      フィルタ条件に一致する特権アカウントのリストが表示されます。

   3. 新規特権アカウントのベースとして使用するオブジェクトを選択します。
3. ［OK］をクリックします。

   ［特権アカウントの作成］タスク ページの［全般］タブが表示されます。 特権アカウントを既存のオブジェクトから作成した場合、ダイアログ ボックスのフィールドには、既存オブジェクトの値がすでにロードされています。

4. ［全般］タブで以下のフィールドに入力します。

   アカウント名

   ユーザがこの特権アカウントを参照するために使用する名前を定義します。

   注： RACF、ACF、および Top Secret などのメインフレーム システムには、大文字小文字を区別するユーザ名を使用します。 大文字でアカウント名を入力します。

   切断アカウント

   アカウントの場所を接続解除システムにするかどうかを指定します。

   このオプションを選択すると、SAM はアカウントを管理しません。 代わりに、SAM は、接続解除システムの特権アカウントのパスワード ボールトとしてのみ機能します。 パスワードを変更するたびに、管理対象エンドポイント上のアカウント パスワードも手動で変更する必要があります。

   アカウント タイプ

   アカウントが共有（特権）アカウントかサービス アカウントかを指定します。

   注： サービス アカウントの作成時に、SAM はアカウント パスワードの変更を試行しません。

   エンドポイント名

   特権またはサービス アカウントが存在する、定義済みのエンドポイントの名前を指定します。 CA ControlMinder エンタープライズ管理 は、指定したタイプのエンドポイントのみをリスト表示します。

   エンドポイント タイプ

   特権またはサービス アカウントが存在するエンドポイントのタイプを指定します。

   コンテナ

   特権またはサービス アカウントのコンテナの名前を指定します。 コンテナは、そのインスタンスが他のオブジェクトの集合であるクラスです。 コンテナは、特定のアクセス ルールに従って、整理された方法でオブジェクトを格納するために使用されます。

   パスワード ポリシー

   特権またはサービス アカウントに適用するパスワード ポリシーを指定します。

   パスワード

   ユーザが新しい特権アカウントで使用するパスワードを定義します。

   注： 新しいパスワードは、指定するパスワード ポリシーに準じる必要があります。

   チェックアウト期限

   チェックアウト アカウントが失効するまでの期間を分単位で指定します。

   専用アカウント

   単一ユーザだけがいつでもアカウントを使用することができるかどうかを指定します。 専用アカウントは、アカウントの使用を１ 回に 1 ユーザに制限する、特権アカウントの制限事項です。

   排他的セッションは、エンドポイント上で現在実行されているオープン セッションがない場合に、単一ユーザのみがアカウントを使用できることを指定します。

   チェックアウト時にパスワードを変更

   特権アカウントがチェックアウトされるたびに、CA ControlMinder エンタープライズ管理 でそのパスワードを変更するかどうかを指定します。

   注： このオプションはサービス アカウントに適用されません。

   チェックイン時にパスワードを変更

   ユーザまたはプログラムによって特権アカウントがチェックインされるたび、またはチェックアウト期間の失効時に、CA ControlMinder エンタープライズ管理 でそのパスワードを変更するかどうかを指定します。

   注： アカウントが専用ではない場合、すべてのユーザがアカウントをチェックインしている場合のみ、CA ControlMinder エンタープライズ管理 は新規特権アカウント パスワードを生成します。

   注： このオプションはサービス アカウントに適用されません。

   ログイン アプリケーション チェックアウトのみ

   エンドポイントに対してログイン アプリケーションが定義されている場合にのみ、パスワードのチェックアウトを許可するかどうかを指定します。

   注： このオプションを有効に設定すると、ユーザはパスワードの表示やクリップボードへのコピーを実行できません。

5. （オプション）［パスワード コンシューマ］タブに移動します。

   設定されている場合、CA ControlMinder エンタープライズ管理 は特権アカウントを使用するパスワード コンシューマを表示します。

6. （オプション）［情報］タブをクリックして、タブ内のフィールドに値を入力します。

   このタブでエンドポイント固有の属性を指定すると、特権アクセス ロールを定義または変更するときにその属性を使用することができます。

   特権アクセス ロールのメンバが CA ControlMinder エンタープライズ管理 にログインする際に、そのユーザは特権アクセス ロールに定義された属性に従って特権アクセス アカウントへのアクセスを取得します。

   所有者

   エンドポイント所有者の名前を指定します。

   部署

   部門の名前を指定します。

   例： Development

   Custom 1...5

   エンドポイント固有のカスタム属性を指定します（最大 5 つ）。

   注： 特権アクセス ロールのカスタム属性は、［メンバ］タブ、［メンバ ポリシー］セクション、［メンバ ルール］ウィンドウ内で指定します。

7. ［サブミット］をクリックします。

   CA ControlMinder エンタープライズ管理 は新しい特権またはサービス アカウントを作成します。