アクセス制御リスト(ACL)は広く使用されるセキュリティ メカニズムです。 ACL がユーザに付与するアクセス権は、そのユーザのロール ベースのアクティビティを実行するために必要なアプリケーション機能のみを対象にしています。 DevTest Solutions では、ライセンス契約書の遵守をモニタして維持するために、ACL が必要です。 ライセンス契約書は、同時ユーザ セッションの最大数を基準にしています。
この概要では、以下の ACL トピックについて説明します。
ACL 展開のプランニング
DevTest Solutions 8.0 以降では、アクセス制御リスト(ACL)システムを介したアクセスの制限が要求されます。 ACL システムに対する認証を行わずに、DevTest ワークステーション または DevTest ポータルにアクセスすることはできません。
ACL を設定する前に、ユーザがそれぞれ DevTest Solutions、および各タイプのユーザにとって必要な、対応するアクセスをどのように使用するか慎重に検討します。
デフォルトでは、スーパー ユーザおよびシステム管理者のみが、ACL システムへの管理アクセス権を提供するサーバ コンソールへのアクセス権を持ちます。
ACL 管理者
ACL 管理者は、以下のアクティビティを担当します。
管理者は、さまざまな ACL ロールおよびそれらのロールに関連付けられた権限について十分に理解し、各ユーザに適切なロールを割り当てる必要があります。
重要: ACL システムの管理に、デフォルトのスーパー ユーザまたはシステム管理者ユーザを使用しないでください。 デフォルトのスーパー ユーザを使用して、デフォルト スーパー ユーザおよびシステム管理者と同じロールを持つ新しいユーザを作成します。 ACL システムの管理には新しいユーザを利用し、不正アクセスを防ぐために、デフォルト スーパー ユーザおよびシステム管理者のパスワードを変更してください。
DevTest Solutions と組み合わせたライトウェイト ディレクトリ アクセス プロトコル(LDAP)の使用
また、LDAP による DevTest Solutions のパスワードの管理を選択することもできます。この方法は、特に LDAP または Active Directory システムがすでに使用可能な場合に有用です。 LDAP を使用する場合、ユーザ パスワードの変更は LDAP 管理者によって行われます。 ACL 管理者は、パスワードを変更できなくなります。
重要: ACL システムの実装、および LDAP サービスとの統合の責任が、お客様の側にあることに変わりはありません。 これらの実装アクティビティについて支援が必要な場合は、CA Services にお問い合わせください。 ACL によるユーザ管理は、ACL または LDAP 管理者が担当します。 CA Support は、ロール テーブルへの閲覧アクセスを使用できないケースを前に進めることはできません。
たとえば、お客様がテストのステージングの際に権限の問題が理由で発生したトラブルを報告する場合、CA Support が関わる際に、お客様の側で、ACL/LDAP 管理者が対応できるようにしておく必要があります。 ACL 管理者は、そのユーザおよびグループにロールを割り当てる際に、これらの要素を考慮に入れる必要があります。
認証
DevTest がユーザを認証する方法を決定できます。 ACL データベースにユーザを手動で追加して、認証情報を指定できます。 認証情報とは、DevTest Solutions ユーザ インターフェースまたはコマンドライン インターフェースにユーザがログインする際に使用するユーザ ID およびパスワードのことです。 また、LDAP データベースの認証情報でユーザがすでに定義されている場合は、認証に LDAP サーバを使用することができます。 この場合、「LDAP 認証を使用するための ACL の設定」の手順を実行します。
認証
DevTest は、ユーザの業務上の役割に基づいて、各ユーザがアクセスできる DevTest 機能を制限します。 DevTest Solutions では、インストールの際に、12 個を超える標準ロールがセットされます。 標準ユーザとしてログオンすることにより、さまざまなロールを持ったユーザがどのように DevTest を経験するかを知ることができます。 標準ユーザは一意の標準的なロールを割り当てられます。
重要: ACL 管理者は、セキュリティを保証するために、できるだけ早く、デフォルト パスワード(admin、guest)を変更する必要があります。忘れにくいパスワードを設定してください。
ユーザを ACL データベースに手動で追加する際に、各ユーザにロールを割り当てます。 ロールは、1 つの権限セットを付与します。 複数のロールを割り当てることもできますが、責任が重いロールには関連する責任が軽いロールの権限が含まれるため、必要なことはほとんどありません。 LDAP を使用する場合、ACL には、ユーザごとの行が自動的に埋め込まれます。 この場合、「authorize users authenticated by LDAP」の説明に従って、ロールのみを割り当てます。
以下のアクティビティは、権限を使用して制御できるアクティビティの例です。
ユーザ セッション
認定ユーザが DevTest UI または CLI にログインすると、ユーザ セッションが作成されます。 ユーザ セッションは監査され、使用状況監査レポートの基礎を形成します。 ユーザ タイプが複数のロールを含むカテゴリである場合、これらのレポートにはユーザ タイプごとの最大同時ユーザ セッションについてのメトリックおよび統計が含まれます。 「ACL and User Sessions」を参照してください。
認証情報なしで実行された CLI および API の ACL と下位互換性
DevTest ユーザ インターフェースまたはコマンド ライン インターフェースにアクセスするには、ユーザは有効なユーザ名およびパスワードでログインする必要があります。 認証情報の要件は、またテストの実行および仮想サービスの開始にも適用されます。 前のリリースで自動化したテスト ケースを認証情報なしで実行する場合、ACL を一時的にオーバーライドして、スケジュールどおりに実行を続けることができます。 「ACL and Command-Line Tools or APIs」を参照してください。
ACL データベース
ACL データはインストール後、デフォルトの内部 Derby データベースに保存されます。 「Installing」で説明するように、Derby データベースはエンタープライズ データベースと入れ替える必要があります。 詳細は、「Database Administration」を参照してください。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|