ユーザー権限(ユーザーロール)ごとに
アクセス制御を設定する
サーバーやネットワーク機器を運用自動化ツールで一元管理することで、生産性の向上やコスト削減の効果が期待できます。このような場合、複数の部門や担当者で運用自動化ツールを利用することが前提になるため、細かなアクセス制限が必要となります。
ITインフラ運用自動化ソリューション「POLESTAR Automation」 では、特定のデバイスへのアクセスや個々のジョブの利用、利用できる機能など、細かくアクセス権限の設定を行うことができます。
ロールベースのアクセス制御方式
POLESTAR Automationでは、ロールベースのアクセス制御方式を提供しています。
ユーザーには1つ以上のロールが付与され、与えられたロールに割り当てられているシステムオブジェクトにアクセスができます。(システムオブジェクトとは、ユーザーがPOLESTAR Automationで利用するオブジェクトを意味しており、サーバーやネットワーク機器、点検グループ、ライブラリ、ジョブが含まれます。)
2つのユーザー権限認証
ユーザー権限の認証には、ロールベース認証とオブジェクトベース認証があります。システムオブジェクトに対して操作するためには、ロールベース認証とオブジェクトベース認証、両方の認証が必要になります。
例えば、ユーザーがジョブAを実行する場合、ジョブ実行権限を持つロールがあるかを確認するロールベース認証と、このロールが実際にジョブAに対するアクセス権限があるかを確認するオブジェクトベース認証を行います。作業対象がシステムオブジェクト以外の場合、ロールベース認証のみを行います。
POLESTAR Automationでは、このようなアクセス制御の設定を画面からマウスで設定するだけなのでとても簡単です。
このようなアクセス制御を採用していることで、POLESTAR Automationでは実行する作業に対して制限を行いセキュリティ上のリスクを最小限にすることができます。
また、デバイスの情報収集やスクリプト実行などの変更作業はロールベースのアクセス制御で制限することができ、ユーザーの権限に応じたアクセスが行えます 。
ロールベース認証
管理者は、システム管理者やDBMS管理者、ウェブ管理者のような役割と、部門や組織などに分類してロールを定義します。ロールを定義した後、権限を付与します。権限には次のような種類があります*。
*購入されるライセンスにより異なります。
権限を使って、メニューやオブジェクトに対するアクセスを制御できます 。
表1 権限の種類
| No. | アクセス権限区分 | 対象のアクセス権限 |
|---|---|---|
| 1 | Agentless | エージェントレス |
| 2 | AuditJob | 監査ジョブ |
| 3 | BatchJob | バッチジョブ |
| 4 | Bulletin | お知らせの管理権限 |
| 5 | Compliance | 点検グループ |
| 6 | ComplianceJob | 点検ジョブ |
| 7 | ConfigrationDictionary | 校正リスト |
| 8 | Dependency | 関連情報管理 |
| 9 | FileCollectJob | ファイル収集ジョブ |
| 10 | FileDeployJob | ファイル配布ジョブ |
| 11 | ForbiddenCommand | 禁止コマンド |
| 12 | InstantCommand | 登録コマンドと入力コマンド実行 |
| 13 | Job | ジョブ管理 |
| 14 | Library | ライブラリ |
| 15 | LiveObjectSearch | ライブオブジェクト |
| 16 | NetworkDrive | ネットワーク機器 |
| 17 | NetworkScriptJob | ネットワークスクリプトジョブ |
| 18 | Notification | 通知管理 |
| 19 | ObjectGroup | グループ |
| 20 | PropertyClass | プロパティリスト |
| 21 | Report | Report |
| 22 | Role | Role |
| 23 | ScriptJob | スクリプトジョブ |
| 24 | ServerDevice | サーバー |
| 25 | SystemAdministration | システム管理メニュー |
| 26 | User | ユーザー管理メニュー |
| 27 | WidgetDashboad | ダッシュボード管理 |
| 28 | WindowsUpdateJob | Windows Update |
例えば、[User]というロールの場合、読み取り権限を持つユーザーはユーザー一覧の照会ができ、書き込み権限を持つユーザーはユーザー生成及び修正を、削除権限を持つユーザーはユーザーを削除することができます。
ジョブには、読み取り/書き込み/削除/実行の権限 があります。
読み取り権限・・・ジョブの確認
書き込み権限・・・ジョブの生成及び修正
削除権限・・・ジョブの削除
実行権限・・・生成されたジョブの実行
図1 ロール権限設定
オブジェクトベース認証
(1) デバイスのアクセス制御
デバイスごとにアクセスを制御することができます。ロール設定は、画面からマウスで簡単に行うことができます。図2は、デバイスの基本情報からロールを確認する画面です。
図2 サーバーに対するユーザーロールの追加
(2) ジョブのアクセス制御
それぞれのジョブに対してアクセスを制御することもできます。
ロールの修正や削除は、ロール設定画面からマウスでカンタンに行うことができます。他のツリーと同様に、権限があるライブラリのみ確認できます。図3はジョブ管理からロールを確認する画面です。
図3 ジョブに対するユーザーロールの追加
(3) グループのアクセス制御
グループに対してアクセスを制御することもできます。ロールの修正や削除は、ロール設定画面からマウスで行うことができます。図4はグループプロパティからロールを確認する画面です。
図4 グループに対するユーザーロールの追加
ロール一括変更
ロール一括変更機能を使えば、複数のオブジェクトのロールを一括変更することもできます。
図5はロール一括変更でロールを変更する画面です。
図5 ロール一括変更画面
以上のように、POLESTAR Automationでは、ロールベース認証とオブジェクトベース認証でユーザーロール毎に細かくアクセス制御を設定することが可能です。
