CA EEM インストール時に外部ユーザ ストアを参照する場合、グローバル グループとユーザ アカウントが CA EEM に自動的にロードされます。 CA Process Automation では、設定可能なパラメータを使用して CA EEM 設定の 2000 を拡張し、最大 10,000 のアカウントをロードできます。 この設定のカスタマイズの詳細については、「CA EEM ユーザまたはグループの最大数の設定」を参照してください。
参照される外部ユーザ ストアからのユーザ アカウントは、読み取り専用レコードとしてロードされます。 新規ユーザがアカウントを必要な場合、外部ユーザ ストアに作成します。 新しい記録は自動的にロードされます。 グローバル グループ レベルまたはグローバル ユーザ レベルのいずれかで、CA Process Automation へのアクセスを提供できます。
このセットアップでは、CA EEM を設定して、CA Process Automation およびそのコンポーネントへのアクセス権をユーザに付与します。ただし、認証は、参照ユーザ ストアによって管理されます。 ログイン アクセス権を持つグローバル ユーザは、CA Process Automation にログインするために、参照されているユーザ ストアのユーザ名とパスワード(またはプリンシパル名とパスワード)を使用します。
注: 外部ユーザ ストア内に格納されたユーザ レコードを更新する場合に、CA EEM を使用することはできません。
外部ユーザ ストア内にアカウントが格納されているユーザのアクセス権を管理するには、以下の方法を検討してください。
各グローバル ユーザを名前で検索します。 デフォルト アプリケーション グループ(PAMAdmins、デザイナ、プロダクション ユーザまたは PAMUsers)のうちの 1 つ、またはカスタム グループをグローバル ユーザ アカウントに割り当てます。 グローバル グループを作成し、作成したグローバル グループに選択したグローバル ユーザを追加することもできます。
重要: 外部ユーザ ストア内のエントリをすべて表示しないようにするために、検索するときは常に条件を入力します。
具体的には、そのグループ内の全ユーザに付与するアクセス権を提供する事前定義済みポリシーに、グローバル グループを追加します。 たとえば、グローバル グループ内のすべてのグローバル ユーザが CA Process Automation にログインできるようにするには、そのグローバル グループを PAM40 ユーザ ログイン ポリシーに追加します。 [デザイナ]タブへのアクセス権を与えるには、グループを PAM40 デザイナ ポリシーに追加します。
この手順では、CA EEM で設定を行うことなしに、AD 内のすべてのユーザに CA Process Automation へのフル アクセス権を付与します。 実装は容易ですが、ロール ベース アクセス権で実現されるセキュリティには欠けています。
重要: サードパーティ LDAP サーバの場合、ou=system context level の下に以下のパラメータを設定します。
ou=Global Groups
|
Copyright © 2013 CA.
All rights reserved.
|
|