2 組織、チームおよびユーザーに対する権限の設定

この章では、Oracle Linux Automation Managerを使用して、管理者が各レベルで権限を割り当てることができる組織、チームおよびユーザーを作成する方法について説明します。これらの権限は、ロールベースのアクセス制御に基づきます。

ノート:

この章で取り上げるOracle Linux Automation Managerアクセス・レベルは、LDAPなどの外部のID管理サービスと統合できます。なお、LDAPユーザー・アカウントの情報は、そのLDAPユーザー・アカウントがOracle Linux Automation Managerに初回ログインするまで、Oracle Linux Automation Managerに表示されません。LDAP認証と、ユーザー、チームおよび組織のマッピングの詳細は、『Oracle Linux Automation Manager 2.3: 管理者ガイド』を参照してください。

各レベルには次の機能があります。

• 組織: 管理者は、組織をプロジェクトおよびインベントリに関連付けることで、どの組織がどのインベントリでプレイブックを実行できるかを指定できます。組織は複数のプロジェクトおよびインベントリを指定できますが、各プロジェクトおよびインベントリに指定できる組織は1つのみです。

• チーム: チームは1つの組織に属し、チームはチームに割り当てられた任意のユーザーに適用されるデフォルトの権限を指定できます。

• ユーザー: ユーザーは、1つ以上の組織またはチームに属することができます。管理者は次のタイプのユーザーを作成できます:

  • システム管理者

    デフォルトでは、システム管理者はシステム全体の管理者権限を持ちます。

  • システム監査者

    デフォルトでは、システム監査者は監査を目的として読取り専用アクセス権を持ちます。

  • 標準ユーザー

    デフォルトでは、標準ユーザーは権限が制限されています。しかし、標準ユーザーには特定のリソース・タイプに対して管理者またはプロジェクト管理者などの高い権限のロールを割り当てられます。

    たとえば、Payroll_Engineerという名前の標準ユーザーを作成し、そのユーザーにPayroll_OrganizationおよびFinance_Organizationという組織リソース・タイプに対する管理者システム・ロールを割り当てることができます。さらに、Payroll_EngineerユーザーにPayroll_Teamというチーム・リソース・タイプに対する管理者システム・ロールを追加することもできます。

    このようにして、ユーザーは担当するリソース・タイプに応じて様々な権限を持つ場合があります。

  ノート:

  • セキュリティ面の目的から、ユーザー・アクセス権限を設定する際は最小権限の原則に従うことをお薦めします。
  • 説明のため、このドキュメントでは、Oracle Linux Automation Managerで使用できる機能を扱えるように、システム管理者アカウントを使用して例に従うことをお薦めします。

  次の表に、Oracle Linux Automation Managerの各リソース内で使用できる様々なロールを示します。

  表2-1 ロールベースのアクセス制御ロールの説明

  リソース・タイプ	システム・ロール	説明
  ジョブ・テンプレート	管理者	ジョブ・テンプレートのすべての側面を管理します。
  	エグゼクティブ	ジョブ・テンプレートを実行します。
  	読取り	ジョブ・テンプレートの設定を表示します。
  ワークフロー・ジョブ・テンプレート	管理者	ワークフロー・ジョブ・テンプレートのすべての側面を管理します。
  	エグゼクティブ	ワークフロー・ジョブ・テンプレートを実行します。
  	読取り	ワークフロー・ジョブ・テンプレートの設定を表示します。
  	承認	ワークフロー承認ノードを承認または却下できます。
  資格証明	管理者	資格証明のすべての側面を管理します。
  	使用	ジョブ・テンプレートで資格証明を使用します。
  	読取り	資格証明の設定を表示します。
  インベントリ	管理者	インベントリのすべての側面を管理します。
  	更新	インベントリを更新します。
  	アド・ホック	インベントリでアド・ホック・コマンドを実行します。
  	使用	ジョブ・テンプレートでインベントリを使用します。
  	読取り	インベントリの設定を表示します。
  プロジェクト	管理者	プロジェクトのすべての側面を管理します。
  	更新	プロジェクトを更新します。
  	使用	ジョブ・テンプレートでプロジェクトを使用します。
  	読取り	プロジェクトの設定を表示します。
  組織	管理者	組織のすべての側面を管理します。
  	エグゼクティブ	組織の実行可能リソースを実行します。
  	プロジェクト管理者	組織内のすべてのプロジェクトを管理します。
  	インベントリ管理者	組織内のすべてのインベントリを管理します。
  	資格証明管理者	組織内のすべての資格証明を管理します。
  	ワークフロー管理者	組織内のすべてのワークフローを管理します。
  	通知管理者	組織内のすべての通知を管理します。
  	ジョブ・テンプレート管理者	組織内のすべてのジョブ・テンプレートを管理します。
  	実行環境管理者	組織内のすべての実行環境を管理します。
  	監査者	組織のすべての側面を表示します。
  	メンバー	ユーザーを組織のメンバーにします。
  	読取り	すべての組織設定を表示します。
  	承認	ワークフロー承認ノードを承認または却下します。

組織の設定

Oracle Linux Automation Managerの設定では、少なくとも1つの組織リソースを設定する必要があります。

組織を設定するには、次を実行します:

1. 管理者ユーザー・アカウントでOracle Linux Automation Managerにログインします。

2. 左側のナビゲーション・メニューがまだ表示されていない場合は、ページの左上隅にあるグローバル・ナビゲーション・メニュー・ボタンを切り替えることで、表示します。

3. アクセス・セクションで、組織をクリックします。

   「組織」ページが表示されます。

4. 「追加」ボタンをクリックします。

   新規組織の作成ページが表示されます。

5. 名前フィールドに、組織の名前を入力します。たとえば、Organization 1などです。

6. インスタンス・グループ・フィールドで、検索ボタンをクリックします。

   インスタンス・グループの選択ダイアログが表示されます。

7. 追加する各インスタンス・グループの横にあるチェック・ボックスを選択します。
8. 選択をクリックします。
9. Galaxy資格証明フィールドで、検索ボタンをクリックします。

   Galaxy資格証明の選択ダイアログが表示されます。

10. プレイブックの実行中にコレクションにアクセスするには、https://galaxy.ansible.com/またはPrivate Automation Hub、あるいはその両方の資格証明の横にあるチェック・ボックスをそれぞれ選択します。

    複数の資格証明を選択する場合、Oracle Linux Automation Managerは、資格証明が組織に追加される順序で各サーバーをチェックします。

11. 選択をクリックします。

12. 保存をクリックします。

    新しく作成された組織が詳細タブに表示されます。

13. 「アクセス」タブをクリックします。

14. 「追加」ボタンをクリックします。

    ロールの追加ダイアログが表示されます。

15. ユーザー・オプションを選択します。

16. 次へをクリックします。

17. 組織に追加するユーザー・アカウントの横にあるチェック・ボックスを選択します。

18. 次へをクリックします。

19. 選択したユーザーに割り当てるロールの横にあるチェック・ボックスを選択します。

20. 保存をクリックします。

チームの設定

チームを設定するには、次を実行します:

1. 管理者ユーザー・アカウントを使用してOracle Linux Automation Managerにログインします。

2. 左側のナビゲーション・メニューがまだ表示されていない場合は、ページの左上隅にあるグローバル・ナビゲーション・メニュー・ボタンを切り替えることで、表示します。

3. アクセス・セクションで、チームをクリックします。

   「チーム」ページが表示されます。

4. 「追加」ボタンをクリックします。

   新規チームの作成ページが表示されます。

5. 名前フィールドに、チームの名前を入力します。たとえば、 Team 1などです。

6. 組織フィールドで、検索ボタンをクリックします。

   組織の選択ダイアログが表示されます。

7. 「組織」リストから、組織を選択します。

8. 選択をクリックします。

9. 保存をクリックします。

   新しく作成したチームが詳細タブに表示されます。

10. 「アクセス」タブをクリックします。

11. 「追加」ボタンをクリックします。

    ロールの追加ダイアログが表示されます。

12. ユーザー・オプションを選択します。

13. 次へをクリックします。

14. チームに追加するユーザー・アカウントの横にあるチェック・ボックスを選択します。

15. 次へをクリックします。

16. 選択したユーザーに割り当てるロールの横にあるチェック・ボックスを選択します。

17. 保存をクリックします。

ユーザーの設定

ユーザーを設定するには、次を実行します:

1. 管理者ユーザー・アカウントを使用してOracle Linux Automation Managerにログインします。

2. アクセス・セクションで、ユーザーをクリックします。

   ユーザー・ページが表示されます。

3. 「追加」ボタンをクリックします。

   新規ユーザーの作成ページが表示されます。

4. 必要に応じて、名、姓および電子メール・フィールドに入力します。

5. ユーザー名フィールドに、ユーザーのユーザー名を入力します。たとえば、User1などです。

6. 「パスワード」フィールドに、パスワードを入力します。

7. パスワードの確認フィールドに、パスワードを再入力します。

8. 「ユーザー・タイプ」から、次のいずれかのユーザー・タイプを選択します。

   • 通常ユーザー: ロールおよび権限に基づいて、リソース(インベントリやプロジェクトなど)への読取りおよび書込みアクセスを制限できます。

   • システム監査者: Oracle Linux Automation Manager内のすべてのオブジェクトに対する読取り専用権限をユーザーに制限できます。

   • システム管理者: Oracle Linux Automation Manager内のすべてのオブジェクトに対する完全なシステム管理権限(完全な読取りおよび書込み)を許可できます。

9. 組織フィールドで、検索ボタンをクリックします。

   組織の選択ダイアログが表示されます。

10. 組織リストから、組織を選択します。

11. 選択をクリックします。

12. 保存をクリックします。

    新しく作成したユーザーが詳細タブに表示されます。

13. 「組織」ボタンをクリックします。

    ユーザーが所属するすべての組織がリストに表示されます。これは読取り専用ページです。

14. 「チーム」タブをクリックします。

15. 関連付けボタンをクリックします。

    チームの選択ページが表示されます。

16. ユーザーに関連付けるユーザー・チームの横にあるチェック・ボックスを選択します。

17. 保存をクリックします

18. 「ロール」タブをクリックします。

19. 「追加」ボタンをクリックします。

    ユーザー権限の追加ダイアログが表示されます。

20. 次のいずれかのリソース・タイプを選択します:

    • ジョブ・テンプレート

    • ワークフロー・ジョブ・テンプレート

    • 資格証明

    • インベントリ

    • プロジェクト

    • 組織

21. 次へをクリックします。

    選択したリソース・タイプの使用可能なオプションが表示されます。たとえば、ジョブ・テンプレートを選択した場合は、使用可能なすべてのジョブ・テンプレートが表示されます。

22. ユーザーに追加する各リソース・アイテムの横にあるチェック・ボックスを選択します。

23. 次へをクリックします。

    選択したリソースに適用できる使用可能なロールが表示されます。

24. 選択したリソースに適用する各ロールの横にあるチェック・ボックスを選択します。

    ノート:

    適用することを選んだロールは、選択したすべてのリソースに適用されます。

    リソース・タイプ別の使用可能なロールの詳細は、「組織、チームおよびユーザーに対する権限の設定」を参照してください

25. 保存をクリックします。