エンタープライズ管理ガイド特権アカウントの実装PUPM エンドポイントおよび特権アカウントのインポート方法 › 特権アカウント CSV ファイルの作成

前のトピック: エンドポイント CSV ファイルの作成

次のトピック: 手動でのポーリング タスクの開始

特権アカウント CSV ファイルの作成

特権アカウント CSV ファイルにおける各行では、ヘッダ行の後で、CA Access Control エンタープライズ管理 で特権アカウントの作成や変更を行うタスクを表します。

重要: CSV ファイルを作成する際に、他にそのファイルを使用するアプリケーションがないこと、およびファイル名が変更できることを確認します。 PUPM フィーダは、名前を変更できる CSV ファイルのみを処理します。

特権アカウント CSV ファイルを作成する方法

  1. CSV ファイルを作成して、適切な名前を付けます。

    注: エンドポイント CSV ファイルのサンプルのコピーを作成することをお勧めします。 サンプル ファイルは以下の場所にあります。このパスの ACServer はエンタープライズ管理サーバをインストールしたディレクトリです。

    ACServer/IAMSuite/AccessControl/tools/samples/feeder
  2. 特権アカウント属性の名前を指定するヘッダ行を作成します。

    特権アカウント属性の名前は以下のとおりです。

    OBJECT_TYPE

    インポートするオブジェクトのタイプを指定します。

    値: ACCOUNT_PASSWORD

    ACTION_TYPE

    実行するアクションのタイプを指定します

    : CREATE、MODIFY、DELETE

    ACCOUNT_NAME

    CA Access Control エンタープライズ管理 上の特権アカウントを表わす名前を指定します。

    注: RACF、ACF、Top Secret、SSH Device などのエンドポイント タイプのメインフレーム システムでは、大文字と小文字を区別してユーザ名を使用します。 これらのエンドポイント タイプには、大文字と小文字が正しいアカウント名を入力します。 メインフレーム システムおよび Oracle Server 上のエンドポイント上の特権アカウントには、アカウント名を大文字で入力します。

    ENDPOINT_NAME

    特権アカウントが存在するエンドポイントの名前を定義します。 エンドポイントで任意の特権アカウントを作成できるようにするには、CA Access Control エンタープライズ管理 でエンドポイントを定義する必要があります。

    NAMESPACE

    エンドポイントのエンドポイント タイプを指定します。

    注: 利用可能なエンドポイント タイプを CA Access Control エンタープライズ管理 に表示できます。 CA Identity Manager プロビジョニング タイプのエンドポイントを作成する前に、CA Access Control エンタープライズ管理 内に Identity Manager プロビジョニング タイプのコネクタ サーバ を作成する必要があります。

    CONTAINER

    特権アカウント用のコンテナの名前を指定します。 コンテナは、そのインスタンスが他のオブジェクトの集合であるクラスです。 コンテナは、特定のアクセス ルールに従って、整理された方法でオブジェクトを格納するために使用されます。

    値: (Windows エージェントレスおよび Oracle Server のエンドポイント): Accounts

    (SSH Device エンドポイント): SSH Accounts

    (MS SQL Server エンドポイント) MS SQL Logins

    DISCONNECTED_SYSTEM

    特権アカウントを接続解除システムから実行するどうかを指定します。

    TRUE を指定すると、PUPM はアカウントを管理しません。 代わりに、PUPM は、接続解除システムの特権アカウントのパスワード ボールトとしてのみ機能します。 PUPM でパスワードを変更するたびに、管理対象エンドポイント上のアカウントのパスワードも手動で変更されます。

    値; TRUE、FALSE

    EXCLUSIVE_ACCOUNT

    単一ユーザのみがいつでもアカウントをチェックアウトできるかどうかを指定します。

    TRUE を指定すると、PUPM では単一ユーザのみがいつでもアカウントをチェックアウトできます。

    値: TRUE、FALSE

    NEW_PASSWORD

    特権アカウントのパスワードを定義します。 この属性の値を指定しない場合、CA Access Control エンタープライズ管理 は指定したパスワード ポリシーに準拠したパスワードを生成します。

    注: パスワードは指定したパスワード ポリシーに準拠している必要があります。

    PASSWORD_POLICY

    特権アカウントのパスワード ポリシーを指定します。

    注: 存在しないパスワード ポリシーを指定するとタスクが失敗します。また、CA Access Control エンタープライズ管理 によって特権アカウントが作成されません。

  3. タスクの行を CSV ファイルに追加します。

    各行は特権アカウントを作成または変更するタスクを表します。また、ヘッダと同じ数の属性値が必要です。 行に属性の値がない場合は、フィールドを空にしておきます。

  4. ファイルをポーリング フォルダに保存します。

    特権アカウント CSV ファイルは、PUPM フィーダによってインポートされる準備が完了しています。

    注: デフォルトのポーリング フォルダは以下の場所にあります。この JBoss_home は JBOSS をインストールしたディレクトリです。

    JBoss_home/server/default/deploy/IdentityMinder.ear/custom/ppm/feeder/waitingToBeProcessed

例: 特権アカウント CSV ファイル

以下は、特権アカウント CSV ファイルのサンプルです。 ACServer/IAMSuite/AccessControl/tools/samples/Feeder ディレクトリに複数の特権ファイルのサンプルがあります。

OBJECT_TYPE,ACCOUNT_NAME,ENDPOINT_NAME,NAMESPACE,CONTAINER,
DISCONNECTED_SYSTEM,EXCLUSIVE_ACCOUNT,NEW_PASSWORD,PASSWORD_POLICY

ACCOUNT_PASSWORD,demo1,local windows 2003,Windows Agentless,
Accounts,FALSE,FALSE,Password1@,default password policy

ACCOUNT_PASSWORD,demo2,local windows 2003,Windows Agentless,
Accounts,FALSE,FALSE,,default password policy

ACCOUNT_PASSWORD,disconnected1,local windows 2003,Windows Agentless,
Accounts,TRUE,FALSE,Password1@,default password policy