PlateSpin Forgeのユーザ権限および認証のメカニズムは、ユーザの役割に基づいており、ユーザが実行できるアプリケーションへのアクセスやその他の操作を制御します。このメカニズムは、Integrated Windows Authentication (IWA)とそのInternet Information Services (IIS)との相互作用に基づきます。
役割ベースのアクセスメカニズムを使用すると、次のようないくつかの方法でユーザ権限の付与および認証を実行できるようになります。
アプリケーションへのアクセスを特定のユーザに制限する
特定の操作のみを特定のユーザに許可する
割り当てられた役割によって定義された操作を実行するために、ユーザごとに特定のワークロードへのアクセスを許可する
すべてのPlateSpin Forgeインスタンスには、関連する機能の役割を定義する、次のような一連のオペレーティングシステムレベルのユーザグループが含まれています。
ワークロード保護の管理者: アプリケーションのすべての機能に無制限にアクセスできます。ローカル管理者は、暗黙的にこのグループに含まれます。
ワークロード保護のパワーユーザ: システムの機能のうち、日常的な操作を行うのに十分な一部の機能にのみアクセスできます。
ワークロード保護のオペレータ: アプリケーションのほとんどの機能にアクセスできますが、ライセンスおよびセキュリティに関するシステム設定を変更する権限の制限など多少の制限があります。
ユーザがPlateSpin Forgeに接続しようとすると、ブラウザを介して提供される資格情報がIISによって検証されます。ユーザがワークロード保護の役割のメンバーに含まれない場合は、接続が拒否されます。ユーザがForge VMのローカル管理者である場合、このアカウントは暗黙的にワークロード保護管理者とみなされます。
表 2-1 ワークロード保護の役割および権限の詳細
さらに、PlateSpin Forgeソフトウェアでは、どのOSレベルユーザがPlateSpin Forgeワークロードインベントリ内のどのワークロードにアクセスできるようにするかを定義するセキュリティグループに基づいたメカニズムも提供されます。
PlateSpin Forgeへの適切な役割ベースのアクセス設定には、次の2つのタスクが含まれます。
表 2-1で詳細が説明されている必要なユーザグループにOSレベルのユーザを追加する。
それらのユーザを特定のワークロードに関連付けるアプリケーションレベルのセキュリティグループを作成する。
Microsoft Windows Server管理のWebユーザインタフェースにアクセスするには:
Webブラウザを開いて、https://IP_address:8098にアクセスします。
IP_addressの部分を、Forge VMのIPアドレスで置き換えます。
ブラウザがサーバに接続され、デフォルトの[ようこそ]ページが表示されます。
図 2-1 Microsoft Windows Server管理のWebユーザインタフェース
この項の手順に従って、新しいPlateSpin Forgeユーザを追加します。
Forge VM上の既存のユーザに特定の役割権限を付与する方法については、PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。
Forge VMのサーバ管理Webユーザインタフェースにアクセスします。
PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
の順にクリックします。
[Local Users on Server (サーバ上のローカルユーザ)]ページが開きます。
の下で、 をクリックし、ユーザ名、パスワード、およびその他のオプション情報を入力します。
をクリックします。
[Local Users on Server (サーバ上のローカルユーザ)]ページが再ロードされます。
これで、新しく作成されたユーザにワークロード保護の役割を割り当てることができます。PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。
ユーザに役割を割り当てる前に、そのユーザに最適な権限のコレクションを決定します。表 2-1, ワークロード保護の役割および権限の詳細を参照してください。
Forge VMのサーバ管理Webユーザインタフェースにアクセスします。PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
の順にクリックします。
[Local Groups on Server (サーバ上のローカルグループ)]ページが開きます。
グループのリストから必要なワークロード保護グループを選択し、
の下の をクリックします。対応するグループプロパティページが開きます。
をクリックし、リストから必要なユーザを選択して をクリックします。
選択されたユーザが
リストに追加されます。をクリックします。
ユーザをPlateSpin Forgeセキュリティグループに追加し、特定のワークロードのコレクションを関連付けることができるようになりました。PlateSpin Forgeセキュリティグループおよびワークロードの権限の管理を参照してください。
Forge VMの管理者アカウントのパスワードを変更するには:
Forge VMのサーバ管理Webユーザインタフェースにアクセスします。PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
をクリックして新しいパスワードを入力し、それを確認し、 をクリックします。
PlateSpin Forgeは、特定のユーザが特定のワークロードに対して特定のワークロード保護タスクを実行できるようにする、きめ細かいアプリケーションレベルのアクセスメカニズムを備えています。これは、セキュリティグループを設定することで実現します。
ユーザの権限が組織内における役割に最適になるようなワークロード保護の役割をPlateSpin Forgeユーザに割り当てます。PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。
PlateSpin Forge Web Clientを使用し、管理者としてPlateSpin Forgeにアクセスし、 の順にクリックします。
[セキュリティグループ]ページが開きます。
をクリックします。
フィールドにセキュリティグループ名を入力します。
をクリックし、このセキュリティグループに必要なユーザを選択します。
OSレベルのユーザとして追加したばかりのPlateSpin Forgeユーザは、Forge VMに追加しようとしてもユーザインタフェースで直ちに使用できない場合があります。 この場合、まず[ ]をクリックします。
[
]をクリックし、必要なワークロードを選択します。このセキュリティグループに含まれるユーザのみが選択したワークロードにアクセスできます。
をクリックします。
ページが再ロードされ、セキュリティグループのリスト内に新しいグループが表示されます。
セキュリティグループを編集するには、セキュリティグループのリストの中からグループ名をクリックします。