N1 Grid Service Provisioning System を使用して、ユーザーアカウントの作成やユーザーグループの定義を行なえます。個々のユーザーのアクセス許可は、そのユーザーが属するグループに付与されたアクセス許可で決まるため、アカウントやグループを設定する際には計画する必要があります。
この章の内容は次のとおりです。
すべてのアクセス許可は、ユーザーグループに関連付けられています。ユーザーグループにユーザーを追加したり、ユーザーを削除したりすると、ユーザーが実行するタスクに直接影響します。アクセス許可に関する詳細については、第 3 章「アクセス許可を使用したアクセスの制御」を参照してください。
ユーザーグループやユーザーアカウントを設定する場合は、フォルダをどのように設定するかも計画する必要があります。フォルダベースのアクセス許可は、フォルダに含まれるオブジェクト、つまり、コンポーネント、プラン、およびサブフォルダに対する許可を設定します。システム全体のアクセス許可は、フォルダに含まれないオブジェクト、つまり、ホスト、比較、およびユーザーに対する許可を設定します。システム全体のアクセス許可は、各ユーザーグループの「Details」ページで設定できます。また、フォルダレベルのアクセス許可を設定することもできます。
まず、ユーザーの役割に基づいてユーザーグループを設定します。次に、新しいユーザーアカウントを作成し、それを追加するユーザーグループを決定します。
ユーザーアカウントを設定するときは、次の項目について考慮します。
各ユーザーが実行する職務の種類
ユーザー間に必要とされるセキュリティのレベル
ユーザーグループとは、ユーザーを分類し、アクセス許可を定義するための、ユーザー定義可能なオブジェクトです。ユーザーグループの名前と、各グループに付与するアクセス許可を慎重に計画することで、ユーザーを 1 つまたは複数のグループの一部に含めることができ、個々のユーザーのアクセス許可を簡単に管理できます。
ユーザーグループの特性
ユーザーグループには、1 人以上のユーザーが含まれます。
ユーザーグループには、1 つ以上のユーザーグループが含まれることもあります。
ユーザーグループは、メンバーリストに含まれるすべてのユーザーグループのスーパーセットになることができます。
入れ子構造のユーザーグループは、含まれているユーザーグループのアクセス許可を継承します。
アクセス許可は追加することしかできないので、上位レベルのユーザーグループには最小限のアクセス許可を付与します。入れ子構造のユーザーグループは、アクセス許可の数が多いユーザーグループです。
システム全体のアクセス許可は、ユーザーグループの「Details」ページで設定します。
「ユーザーグループを編集する」を参照してください。
フォルダ固有のアクセス許可は、フォルダの「Details」ページで設定します。
「ユーザーグループのフォルダアクセス許可を変更する」を参照してください。
さまざまなユーザーグループのアクセス許可に関する詳細については、第 3 章「アクセス許可を使用したアクセスの制御」を参照してください。
プロビジョニングシステムをインストールすると、デフォルトで admin、registered、および universal の 3 つのユーザーグループが作成されます。デフォルトユーザーグループは削除できず、名前も変更できません。
プロビジョニングシステムではインストール後に admin ユーザーグループが作成され、システムの初期設定を行なえます。このユーザーグループは、プロビジョニングシステムの管理者用です。
admin ユーザーグループのメンバーは、プロビジョニングシステムのすべてのオブジェクトに対するすべてのアクセス許可を有し、オブジェクトを所有するか否かにかかわらず変更できます。
admin ユーザーグループのメンバーは、多数の機能を実行できます。
ホストの設定
新規ユーザーアカウントとユーザーグループの追加
ユーザーグループのアクセス許可の設定
ユーザーグループのフォルダ作成
プラグインのインポート
admin ユーザーグループには、デフォルトで 1 人のadmin ユーザーが作成されています。ただし、プロビジョニングシステムに複数の管理者がいる場合は、admin ユーザーグループにほかのユーザーを追加することもできます。
admin ユーザーは、プロビジョニングシステムのすべてに対して完全な制御権を持っているため、このグループにユーザーを割り当てる場合には注意が必要です。
admin ユーザーについては、「デフォルトユーザーアカウント」を参照してください。
新規ユーザーの作成については、「ユーザーアカウントを作成する」を参照してください。
registered ユーザーグループは、プロビジョニングシステムで作成されたすべてのユーザーで構成されます。
registered ユーザーグループの特性
すべてのユーザーは registered ユーザーグループのメンバーであり、メンバーは削除できません。
このユーザーグループには、すべてのオブジェクトに対する読み取り許可が付与されます。
読み取り許可は無効にできません。
新規アクセス許可をユーザーグループに付与できます。
registered グループにアクセス許可を付与することで、関連付けられるアクションをシステム内のすべてのユーザーが実行できるようになります。
すべてのユーザーは registered ユーザーグループに属していますが、このユーザーグループはユーザーのユーザーグループリストには表示されません。
universal ユーザーグループには、すべてのユーザーが含まれます。デフォルトでは、このグループには何のアクセス許可も与えられません。ただし、新しいアクセス許可を割り当てることは可能です。これにより、どのユーザーでも関連操作を実行できるようになります。registered グループは、このグループの子であるため削除できません。
ここでは、ブラウザインタフェースを使用してユーザーグループを作成する方法について解説します。また、次のコマンドを使用してユーザーグループを作成することもできます。
udb.g.add – 新規ユーザーグループを作成します。
このコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーグループを作成する前に、ユーザーをどのように編成するかを決定する必要があります。ユーザーグループの設定に関する詳細については、「ユーザーグループとユーザーアカウントの計画」を参照してください。
ユーザーグループを作成するには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
「User Groups」ページに移動します。
「ユーザーグループを表示する」を参照してください。
ユーザーグループが含まれる表の 1 行目に、新しいユーザーグループの名前と説明を入力し、「Create」をクリックします。
新しいユーザーグループの「Details」ページが表示されます。
グループにユーザーまたはユーザーグループを追加します。
新規作成されたユーザーグループには、メンバーは含まれていません。
ユーザーを追加するには、「Members of Group」エリアの「User」メニューからユーザーアカウントを選択し、「Add」をクリックします。
ユーザーグループに追加されたユーザーは、このユーザーグループ自身と、このユーザーグループを含むすべてのユーザーグループに対して与えられたアクセス許可を継承します。
ユーザーグループを追加するには、「Members of Group」エリアの「User Group」メニューからユーザーグループを選択し、「Add」をクリックします。
「Details」ページが更新され、追加されたユーザーや、ユーザーグループに追加されたメンバーが「Current Group Members」フィールドに反映されます。
「Current Group Members」フィールドは、ユーザーを一度のみリストします。ユーザーが複数のグループに属する場合も同様です。
このページの「Permissions of Group Users」エリアで、新規ユーザーグループのシステム全体のアクセス許可を設定します。
このユーザーグループに設定したアクセス許可は、そのユーザーグループのメンバーによって継承されます。このメンバーには、個々のユーザーのほかに、入れ子構造のほかのユーザーグループも含まれます。
ユーザーグループに比較のアクセス許可を与える場合、グループ内のユーザーが比較を実行できるホストセットを選択します。
詳細については、「システム全体のアクセス許可」を参照してください。
グループの構成を終了したら、「Save」をクリックします。
「User Group」ページに、新しいユーザーグループが表示されます。
特定のユーザーグループのユーザーやアクセス許可を表示できます。
ここでは、ブラウザインタフェースを使用してユーザーグループを表示する方法について解説します。また、次のコマンドを使用してユーザーグループを表示することもできます。
udb.g.la – すべてのユーザーグループを表示します。
udb.g.lo – 特定のユーザーグループに関する詳細情報を表示します。
udb.g.lp – ユーザーグループに与えられたシステム全体のアクセス許可を表示します。
udb.g.lu – ユーザーグループのメンバーを表示します。
これらのコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ナビゲーションメニューから、「User Group」を選択します。
「User Setup」ページが表示されます。
「User Setup」ページで「User Groups」をクリックします。
定義済みのユーザーグループをリストする「User Groups」ページが表示されます。
(省略可能) グループ内のユーザーのリストや、ユーザーグループに与えられたアクセス許可を表示するには、表示するグループが含まれる行を探し、「Details」をクリックします。
ユーザーグループを編集すると、ユーザーグループの作成後に次のタスクを実行できます。
ユーザーをユーザーグループに追加する
ユーザーグループに別のユーザーグループを追加する
ユーザーまたはユーザーグループを、ユーザーグループから削除する
ユーザーグループのシステム全体のアクセス許可を変更する
ここでは、ブラウザインタフェースを使用してユーザーグループを編集する方法について解説します。また、次のコマンドを使用してユーザーグループを編集することもできます。
udb.g.mod – ユーザーグループを編集します。
このコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーグループを編集するには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
編集するユーザーグループの「Details」ページを表示します。
「ユーザーグループを表示する」を参照してください。
(省略可能) グループにユーザーまたはユーザーグループを追加します。
新規作成されたユーザーグループには、メンバーは含まれていません。
ユーザーを追加するには、「Members of Group」エリアの「User」メニューからユーザーアカウントを選択し、「Add」をクリックします。
ユーザーグループに追加されたユーザーは、このユーザーグループ自身と、このユーザーグループを含むすべてのユーザーグループに対して与えられたアクセス許可を継承します。
ユーザーグループを追加するには、「Members of Group」エリアの「User Group」メニューからユーザーグループを選択し、「Add」をクリックします。
「Details」ページが更新され、追加されたユーザーや、ユーザーグループに追加されたメンバーが「Current Group Members」フィールドに反映されます。
「Current Group Members」フィールドは、ユーザーを一度のみリストします。ユーザーが複数のグループに属する場合も同様です。
(省略可能) このページの「Permissions of Group Users」エリアで、ユーザーグループのシステム全体のアクセス許可を設定します。
このユーザーグループに設定したアクセス許可は、そのユーザーグループのメンバーによって継承されます。このメンバーには、個々のユーザーのほかに、入れ子構造のほかのユーザーグループも含まれます。
ユーザーグループに比較のアクセス許可を与える場合、グループ内のユーザーが比較を実行できるホストセットを選択します。
詳細については、「システム全体のアクセス許可」を参照してください。
(省略可能) ページの「Permissions of Group Users」エリアで、ユーザーが比較を実行するホストセットを選択します。
変更が終了したら、「Save」をクリックします。
ユーザーグループが削除されると、すべてのユーザーグループからこのユーザーグループは削除されます。削除したグループに属していたユーザーまたはグループは存在し続けますが、そのユーザーグループには属さなくなります。そのため、削除されたユーザーグループに与えられたアクセス許可は継承しません。
フォルダによってユーザーグループにアクセス許可が与えられると、そのアクセス許可は、ユーザーグループが削除されると一緒に削除されます。
ブラウザインタフェースでは、2 つの方法でユーザーグループを削除できます。「User Groups」ページからは、複数のユーザーグループを一度に削除できます。また、ユーザーグループの「Details」ページでは、1 つずつ削除できます。ここでは、複数のユーザーグループを一度に削除する方法について説明します。
また、次のコマンドを使用してユーザーグループを削除することもできます。
udb.g.del – ユーザーグループを削除します。
このコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーグループを削除するには、以下の条件を満たしている必要があります。
ユーザーやグループに対する書き込み許可のあるユーザーグループに属していること
ユーザーグループは、デフォルトの admin、registered、または universal ユーザーグループではないこと
ユーザーグループがフォルダを所有していないこと。
ユーザーグループがフォルダを所有している場合は、フォルダの所有者ユーザーグループを変更する必要があります。次に、ユーザーグループを削除します。
「User Groups」ページに移動します。
「ユーザーグループを表示する」を参照してください。
削除するユーザーグループを選択します。
「User Groups」表の下にある「Delete」をクリックします。
確認ページに、選択したユーザーグループが表示されます。
「Continue to Delete」をクリックします。
ユーザーグループが削除されると、「User Group」ページが更新され、削除されたユーザーグループは表示されません。
N1 Grid Service Provisioning System ソフトウェアでは、ユーザーアカウントやプラン実行履歴の使用により、アクセスを制限し、監査トレールを提供します。アプリケーションを使用するには、すべてのユーザーはログインする必要があります。Master Server には、単一のデフォルトアカウント admin があります。その他すべてのアカウントはユーザー定義が可能です。
プロビジョニングシステムのデフォルトユーザーアカウントは、製品の初期アクセスを可能にし、システム管理者向けとして提供されます。このアカウントのユーザー名は admin で、製品のインストール時にデフォルトパスワードが設定されます。
admin でログインすると、ほかのユーザーアカウントやユーザーグループを設定できます。
admin ユーザーは、admin ユーザーグループのメンバーです。admin ユーザーは、admin ユーザーグループから削除できません。admin ユーザーの役割に関する詳細については、「admin ユーザーグループ」を参照してください。
ここでは、ユーザーアカウントの表示および作成方法について説明します。アカウントが作成されたあとで、ユーザーアカウントやパスワードを変更することもできます。
ユーザーがシステムにアクセスするためには、新しいユーザーアカウントを作成する必要があります。
プロビジョニングシステムに追加されたユーザーは、システム内のすべてのオブジェクトに対する読み取り許可を持ちます。システムに機密情報を保存している場合は、この機密情報にアクセスできるユーザーのみを追加するようにします。
また、次のコマンドを使用してユーザーアカウントを作成することもできます。
udb.u.add – ユーザーアカウントを追加します。
これらのコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーアカウントを作成するには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
外部認証されるユーザーを追加する場合は、以下の条件が満たされている必要があります。
ユーザーがプロビジョニングシステムにログインする前に、外部システムに存在していること
ユーザー名の先頭は文字で開始し、スペースは含まず、32 文字未満にすること
「Users」ページに移動します。
「ユーザーアカウントを表示する」を参照してください。
ユーザーアカウントが含まれる表の 1 行目に、新しいユーザーアカウントの名前を入力し、「Create」をクリックします。
新しいユーザーアカウントの「Details」ページが表示されます。
メニューから認証方式を選択します。
選択した認証方式にアスタリスク (*) が記されている場合は、「New Password」および「Confirm Password」フィールドにユーザーアカウントのパスワードを入力する必要があります。
プロビジョニングシステムに新しいログイン構成を追加する方法については、付録 A 「認証方式」を参照してください。
「Member of User Groups」エリアのコントロールを使用し、1 つ以上のユーザーグループにこのユーザーアカウントを追加します。
プロビジョニングシステムでは、アクセス許可は個々のユーザーアカウントではなく、ユーザーグループに基づいて付与されます。このユーザーアカウントをグループに追加することにより、このアカウントに与えられる特権が決定します。詳細については、「フォルダ固有のアクセス許可」を参照してください。
ユーザーをユーザーグループに追加する方法については、「ユーザーグループを編集する」を参照してください。
(省略可能) このユーザーアカウントを非表示にするには、「Hidden」を選択します。
「Save」をクリックします。
ユーザーアカウントは、次のような場合に表示します。
ユーザーアカウントを監査して、プロビジョニングシステムへのアクセスが許可されなくなったユーザーが削除されていることを確認する
ユーザーが正しいグループに属しており、正しいアクセス許可が与えられていることを確認する
ユーザーが、障害なく作業を実行するアクセス許可を持っていることを確認する
ここでは、ブラウザインタフェースを使用してユーザーアカウントを表示する方法について解説します。また、次のコマンドを使用してユーザーアカウントを表示することもできます。
udb.u.la – すべてのユーザーアカウントを表示します。
udb.u.lo – 特定のユーザーアカウントに関する詳細情報を表示します。
udb.u.lp – ユーザーグループに与えられたシステム全体のアクセス許可を表示します。
これらのコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ナビゲーションメニューから、「User Group」を選択します。
「User Setup」ページが表示されます。
「User Setup」ページで「Users」をクリックします。
「Users」ページには、アクティブ状態で表示状態のユーザーアカウントが一覧表示されます。
(省略可能) 非表示または非アクティブ状態のユーザーを表示するには、「Show Hidden Users」を選択します。
ブラウザインタフェースはすべてのユーザーを表示します。非表示または非アクティブ状態のユーザーアカウントは、別の色で表示されます。
(省略可能) 特定のユーザーに関する詳細を表示するには、そのユーザーの説明が含まれる行を探し、「Details」をクリックします。
選択したユーザーの「Details」ページが表示されます。
ユーザーアカウントを非アクティブ状態にすると、ユーザーはプロビジョニングシステムにはアクセスできなくなります。プロビジョニングシステムは、ユーザーアカウントごとにシステムアクティビティを追跡するので、プロビジョニングシステムからユーザーアカウントを削除することはできません。
「Users」ページに表示されるユーザーを管理する方法として、ユーザーアカウントを非表示にできます。
ここでは、ブラウザインタフェースを使用してユーザーアカウントを非アクティブ状態または非表示にする方法について解説します。また、次のコマンドを使用してユーザーアカウントを非アクティブ状態または非表示にすることもできます。
udb.u.mod – ユーザーアカウントを編集します。
このコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーアカウントを非アクティブ状態にするには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
編集するユーザーアカウントの「Details」ページを表示します。
「ユーザーアカウントを表示する」を参照してください。
ユーザーをリストする表で、非アクティブ状態にするユーザーの説明が含まれる行を探し、「Details」をクリックします。
ユーザーの「Details」ページが表示されます。
このユーザーアカウントを非表示または非アクティブ状態にするには、「Hidden」または「Deactivate」を選択します。
「Deactivate」を選択すると、ユーザーアカウントは自動的に非表示になります。
「Save」をクリックします。
ここでは、ブラウザインタフェースを使用してユーザーのグループメンバーシップを変更する方法について解説します。また、次のコマンドを使用してグループメンバーシップを変更することもできます。
udb.u.mod – ユーザーアカウントを編集します。
このコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーアカウントを編集するには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
編集するユーザーアカウントの「Details」ページを表示します。
「ユーザーアカウントを表示する」を参照してください。
ユーザーをリストする表で、変更するユーザーアカウントの説明が含まれる行を探し、「Details」をクリックします。
ユーザーの「Details」ページが表示されます。
グループのメンバーシップを変更するには、「Member of User Group」エリアのコントロールを使用して、このユーザーアカウントを追加したり、1 つ以上のユーザーグループから削除したりします。
「Save」をクリックします。
パスワードを変更する必要がある場合、パスワードに対して内部認証を使用していれば、「Log In」ページからパスワードを変更できます。外部認証を使用している場合は、そのアプリケーションからパスワードを変更できます。
この手続きによってパスワードを変更すると、暗号化されたすべてのセッション変数は、新しいパスワードによって再暗号化されます。
「Log In」ページのナビゲーションメニューで、「Change Password」をクリックします。
すでにログインしている場合は、右上の「Log Out」をクリックし、「Log In」ページにナビゲートします。
「User Name」フィールドに、ユーザー名を入力します。
現在のパスワードを「Current Password」フィールドに入力します。
新しいパスワードを、「New Password」フィールドに入力します。
「Confirm New Password」フィールドに新しいパスワードを再入力し、正しく入力したことを確認します。
「Change Password」ボタンをクリックします。
ほかのユーザーのパスワードは、以下のような場合に変更できます。
パスワードが内部的に有効である
ユーザーの編集と作成を行なうアクセス許可を持っている
ユーザーやグループのアクセス許可がない場合は、「「Log In」ページからパスワードを変更する」を参照してください。
ここでは、ブラウザインタフェースを使用してユーザーのパスワードを変更する方法について解説します。また、次のコマンドを使用してパスワードを変更することもできます。
udb.u.cp – 特定のユーザーのパスワードを変更します。
これらのコマンドに関する詳細については、『N1 Grid Service Provisioning System 5.0 コマンド行インタフェース (CLI) リファレンスマニュアル』の「udb.g:ユーザーグループの管理」を参照してください。
ユーザーアカウントのパスワードを変更したときに、そのユーザーアカウントが古いパスワードによって暗号化されたセッション変数を持つ場合、次回ログイン時にセッション変数を消去するか、復元するかを問い合わせるプロンプトが表示されます。
ほかのユーザーアカウントのパスワードを変更する場合は、ユーザーおよグループに対する書き込み許可を持つユーザーグループに属している必要があります。
ユーザーアカウントの「Details」ページに移動します。
「ユーザーアカウントを表示する」を参照してください。
新しいパスワードを「New Password」フィールドに入力します。
「Confirm New Password」フィールドに新しいパスワードを入力し、パスワードを確認します。
「Save」をクリックします。
ここでは、ブラウザインタフェースを使用してユーザーの認証方式を変更する方法について解説します。また、次のコマンドを使用して認証方式を変更することもできます。
udb.u.mod – ユーザーの認証方式を変更します。
ユーザーアカウントの認証方式を変更したときに、そのユーザーアカウントが古いパスワードによって暗号化されたセッション変数を持つ場合、次回ログイン時にセッション変数を消去するか、復元するかを問い合わせるプロンプトが表示されます。
ユーザーアカウントの認証方式を変更する前に、新しい認証方式をプロビジョニングシステムに構成する必要があります。付録 A 「認証方式」を参照してください。
ユーザーの認証方式を変更するには、ユーザーおよびグループに対する書き込み許可を持つユーザーグループに属す必要があります。
admin ユーザーの認証方式は変更できません。admin ユーザーは常に internal 認証に設定されている必要があります。
ユーザーアカウントの「Details」ページに移動します。
「ユーザーアカウントを表示する」を参照してください。
「Authentication Method」メニューで、新しい認証方式を選択します。
ユーザーを外部認証方式から内部認証方式に変更する場合は、ユーザーに新しいパスワードを与える必要があります。
「Save」をクリックします。