管理ガイド › カスタム ロールおよびカスタム ポリシー › カスタム ユーザ ロールおよびアクセス ポリシーの設定 › スコープ ポリシーの作成

スコープ ポリシーの作成

任意のグローバル リソースに関するスコープ ポリシーを作成できます。 スコープ ポリシーのアクションは、読み取りおよび書き込みに制限されます。

• 以下のグローバル リソースは、多くの CA 製品（アプリケーション）によって使用されます。
  • Calendar
  • GlobalUser
  • GlobalUserGroup
  • iPoz
  • Policy
  • User
  • UserGroup
  • AppObject
• グローバル リソース AppObject によって、アプリケーション固有のリソースおよびモジュールに関するスコープ ポリシーを作成できます。 これを行うには、アプリケーション固有のコンテンツまたはモジュールが保存される関連の EEM フォルダを指定するフィルタを追加します。
  • AppObject リソースに関するフィルタ内で使用できる EEM コンテンツ フォルダには、以下のものがあります。
    • EventGrouping
    • Integration（サーバ）
    • Profile
    • Report
  • AppObject リソースに関するフィルタ内で使用できる CA Enterprise Log Manager モジュール フォルダには、以下のものがあります。
    • ［イベント ログ ストア］
    • レポート サーバ
    • サブスクリプション

既存の設定を流用できるポリシーがない場合は、最初からポリシーを作成できます。 作成した CALM ポリシーに関連したスコープ ポリシーを作成する場合は、関連する CALM ポリシー内にあるものと同じ ID を指定します。

Administrator のみがアクセス ポリシーを作成、編集、削除、表示できます。

明示的な許可のスコープ ポリシーを新規作成する方法

1. ［管理］タブをクリックし、［ユーザとアクセスの管理］サブタブをクリックします。
2. ［アクセス ポリシー］をクリックします。
3. ［スコープ ポリシー］フォルダの左側にある［新規スコープ ポリシー］ボタンをクリックします。
4. ポリシーに意味のある名前を付けます。 たとえば、ポリシーが適用されるロールやスコープ内のタスクを名前に含めます。 この命名規則の使用方法については、事前定義済みポリシーの名前を参考にしてください。
5. 暗号化された名前が何を意味するかを十分にわかる短い説明を入力します。
6. 通常、リソース クラス名として SafeObject をそのまま使用します。
7. 以下の基準に従って［一般］パネルでタイプを選択します。
   • 選択したすべての ID について、選択したすべての適応対象のリソースに対して選択したすべてのアクションを実行することを許可するか拒否するには、アクセス ポリシーを選択します。
   • 選択したすべての ID について、選択した 1 つのリソースに対して選択したアクションのみを実行することを許可するか拒否するには、アクセス制御リストを選択します。

     注： 複数のリソースを対象とするフィルタを保存することはできません。 回避策は、リソースとフィルタの組み合わせごとに個別のポリシーを作成することです。

   • 選択した各 ID について、選択したすべての適応対象のリソースに対して選択したアクションを実行することを許可するか拒否するには、ID アクセス制御リストを選択します。
8. ポリシー タイプがアクセス ポリシーまたはアクセス制御リストである場合は、［ID］領域を使用して、このポリシーが適用されるユーザまたはグループを選択します。
   1. ［タイプ］で［アプリケーション グループ］を選択し、［ID の検索］をクリックして、［検索］をクリックします。
   2. 使用可能な ID から必要な ID を選択し、［移動］ボタンをクリックして、それらを［選択された ID］ボックスに移動します。
9. ポリシー タイプがアクセス ポリシーである場合、デフォルトでは、すべてのアクションがすべてのリソースに対して選択されます。 このポリシーをカスタマイズするには、以下のようにアクセス ポリシー設定を完了します。
   1. ［リソースの追加］ドロップダウン リストからリソースを選択し、［追加］をクリックします。
      • 読み取りまたは書き込みアクセスが設定されるリソースが CA Enterprise Log Manager 固有のリソースである場合は、［AppObject］を選択します。
      • ［管理］タブの［ユーザとアクセスの管理］サブタブにある［ユーザ］ボタンへのアクセスについては、［ユーザ］と［グローバル ユーザ］を選択します。
      • ［管理］タブの［ユーザとアクセスの管理］サブタブにある［グループ］ボタンへのアクセスについては、［ユーザ グループ］と［グローバル ユーザ グループ］を選択します。
      • ［管理］タブの［ユーザとアクセスの管理］サブタブにある［アクセス ポリシー］、［EEM フォルダ］、および［テスト ポリシー］ボタンへのアクセスについては、［ポリシー］を選択します。
      • ［管理］タブの［ユーザとアクセスの管理］サブタブにある［カレンダ］ボタンへのアクセスについては、［Calendar］を選択します。
      • ［管理］タブの［ユーザとアクセスの管理］サブタブにある［パスワード ポリシー］および［ユーザ ストア］ボタンへのアクセスについては、［iPoz］を選択します。
   2. 表示アクセスを許可/拒否するには［読み取り］を選択します。編集アクセスを許可/拒否するには［書き込み］を選択します。 いずれも選択しない場合は、すべてのアクションが選択されます。

      注： 作成アクセスを許可/拒否するには、CALM アクセス ポリシーを定義し、CA Enterprise Log Manager リソースを個別に選択する必要があります。

   3. 必要に応じて、選択したリソースに適用する汎用のフィルタを追加します。
10. ポリシー タイプがアクセス制御リストである場合は、以下のようにアクセス制御リスト設定を完了します。
    1. ［リソースの追加］ドロップダウン リストからリソースを選択し、［追加］（+）ボタンをクリックします。
    2. アクションについて、「読み取り」、「書き込み」、またはその両方を選択します。
    3. ［フィルタの編集］ボタンをクリックして、フィルタ フォームを開きます。 左辺のタイプ/値、演算子のタイプ/値、右辺のタイプ/値について値を選択または入力することにより、関連するリソース用のフィルタを作成します。
    4. フィルタに値としてリソース名が含まれる場合は、［リソース名を正規表現として扱う］チェック ボックスをオンにします。 それ以外の場合は、このチェック ボックスをオフのままにします。

       重要： リソースとフィルタの組み合わせごとに 1 つのポリシーを定義します。

11. ポリシー タイプが ID アクセス制御リストである場合は、ID アクセス制御リスト設定を以下のように完了します。
    1. タイプについて、表示されたオプションの 1 つを選択します。 たとえば、［アプリケーション グループ］を選択し、［ID の検索］リンクをクリックします。［検索］ボタンをクリックして、選択したタイプのメンバを表示します。
    2. ID を選択し、移動ボタンをクリックして、［選択された ID］ペインに入力します。
    3. 選択した各 ID について、［読み取り］、［書き込み］、またはその両方を指定します。

       ID に固有のアクションは、選択したすべてのリソースに適用されます。 つまり、指定した ID は表示、表示と編集、選択したすべてのリソースの編集のみのいずれかが可能です。

    4. ID に固有のアクションが許可または拒否されるリソースを追加します。
12. 以下のチェック ボックスを確認し、該当するチェック ボックスをオンにします。
    • アクセスを許可するポリシーから、アクセスを拒否するポリシーにポリシーを変更するには、［明示的な否認］をオンにします。
    • 新規の場合は、［Disabled］をオンにして、このポリシーを一時的に非アクティブ化します。
    • テスト目的でポリシーを使用する場合や、カスタム ラベルでポリシーを分類する場合は、［導入前］をオンにし、［ラベルの割り当て］を選択して、ラベルを追加します。
13. ［保存］をクリックし、左のペインで［閉じる］をクリックします。

詳細情報：

手順 3： Win-Admin システム アクセス ポリシーの作成