Novell Doc: PlateSpin Forge3.1ユーザガイド - ユーザ権限および認証の設定

2.2 ユーザ権限および認証の設定

2.2.1 PlateSpin Forgeのユーザ権限および認証について

PlateSpin Forgeのユーザ権限および認証のメカニズムは、ユーザの役割に基づいており、ユーザが実行できるアプリケーションへのアクセスやその他の操作を制御します。このメカニズムは、Integrated Windows Authentication (IWA)とそのInternet Information Services (IIS)との相互作用に基づきます。

役割ベースのアクセスメカニズムを使用すると、次のようないくつかの方法でユーザ権限の付与および認証を実行できるようになります。

アプリケーションへのアクセスを特定のユーザに制限する
特定の操作のみを特定のユーザに許可する
割り当てられた役割によって定義された操作を実行するために、ユーザごとに特定のワークロードへのアクセスを許可する

すべてのPlateSpin Forgeインスタンスには、関連する機能の役割を定義する、次のような一連のオペレーティングシステムレベルのユーザグループが含まれています。

ワークロード保護の管理者: アプリケーションのすべての機能に無制限にアクセスできます。ローカル管理者は、暗黙的にこのグループに含まれます。
ワークロード保護のパワーユーザ: システムの機能のうち、日常的な操作を行うのに十分な一部の機能にのみアクセスできます。
ワークロード保護のオペレータ: アプリケーションのほとんどの機能にアクセスできますが、ライセンスおよびセキュリティに関するシステム設定を変更する権限の制限など多少の制限があります。

ユーザがPlateSpin Forgeに接続しようとすると、ブラウザを介して提供される資格情報がIISによって検証されます。ユーザがワークロード保護の役割のメンバーに含まれない場合は、接続が拒否されます。ユーザがForge VMのローカル管理者である場合、このアカウントは暗黙的にワークロード保護管理者とみなされます。

表 2-1 ワークロード保護の役割および権限の詳細

ワークロード保護の役割の詳細	管理者	パワーユーザ	オペレータ
ワークロードの追加	許可	許可	拒否
ワークロードの削除	許可	許可	拒否
保護の設定	許可	許可	拒否
レプリケーションの準備	許可	許可	拒否
レプリケーション(完全)の実行	許可	許可	許可
増分の実行	許可	許可	許可
スケジュールの一時停止/再開	許可	許可	許可
テストフェールオーバー	許可	許可	許可
フェールオーバー	許可	許可	許可
フェールオーバーのキャンセル	許可	許可	許可
中止	許可	許可	許可
廃棄(タスク)	許可	許可	許可
設定(すべて)	許可	拒否	拒否
レポート/診断の実行	許可	許可	許可
フェールバック	許可	拒否	拒否
再保護	許可	許可	拒否

さらに、PlateSpin Forgeソフトウェアでは、どのOSレベルユーザがPlateSpin Forgeワークロードインベントリ内のどのワークロードにアクセスできるようにするかを定義するセキュリティグループに基づいたメカニズムも提供されます。

PlateSpin Forgeへの適切な役割ベースのアクセス設定には、次の2つのタスクが含まれます。

表 2-1で詳細が説明されている必要なユーザグループにOSレベルのユーザを追加する。
それらのユーザを特定のワークロードに関連付けるアプリケーションレベルのセキュリティグループを作成する。

2.2.2 PlateSpin Forgeのアクセスおよび権限の管理

PlateSpin Forgeサーバ管理インタフェースへのアクセス

Microsoft Windows Server管理のWebユーザインタフェースにアクセスするには:

Webブラウザを開いて、https://IP_address:8098にアクセスします。

IP_addressの部分を、Forge VMのIPアドレスで置き換えます。

ブラウザがサーバに接続され、デフォルトの［ようこそ］ページが表示されます。

図 2-1 Microsoft Windows Server管理のWebユーザインタフェース

PlateSpin Forgeユーザの追加

この項の手順に従って、新しいPlateSpin Forgeユーザを追加します。

Forge VM上の既存のユーザに特定の役割権限を付与する方法については、PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。

Forge VMのサーバ管理Webユーザインタフェースにアクセスします。

PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
［ユーザ］>［Local Users (ローカルユーザ)］の順にクリックします。

［Local Users on Server (サーバ上のローカルユーザ)］ページが開きます。
［タスク］の下で、［新規］をクリックし、ユーザ名、パスワード、およびその他のオプション情報を入力します。
［OK］をクリックします。

［Local Users on Server (サーバ上のローカルユーザ)］ページが再ロードされます。

これで、新しく作成されたユーザにワークロード保護の役割を割り当てることができます。PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。

PlateSpin Forgeユーザへのワークロード保護の役割の割り当て

ユーザに役割を割り当てる前に、そのユーザに最適な権限のコレクションを決定します。表 2-1, ワークロード保護の役割および権限の詳細を参照してください。

Forge VMのサーバ管理Webユーザインタフェースにアクセスします。PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
［ユーザ］>［Local Groups (ローカルグループ)］の順にクリックします。

［Local Groups on Server (サーバ上のローカルグループ)］ページが開きます。
グループのリストから必要なワークロード保護グループを選択し、［タスク］の下の［プロパティ］をクリックします。

対応するグループプロパティページが開きます。
［メンバー］をクリックし、リストから必要なユーザを選択して［追加］をクリックします。

選択されたユーザが［メンバー］リストに追加されます。
［OK］をクリックします。

ユーザをPlateSpin Forgeセキュリティグループに追加し、特定のワークロードのコレクションを関連付けることができるようになりました。PlateSpin Forgeセキュリティグループおよびワークロードの権限の管理を参照してください。

PlateSpin Forge管理者パスワードの変更

Forge VMの管理者アカウントのパスワードを変更するには:

Forge VMのサーバ管理Webユーザインタフェースにアクセスします。PlateSpin Forgeサーバ管理インタフェースへのアクセスを参照してください。
［Set Administrator Password (管理者パスワードの設定)］をクリックして新しいパスワードを入力し、それを確認し、［OK］をクリックします。

2.2.3 PlateSpin Forgeセキュリティグループおよびワークロードの権限の管理

PlateSpin Forgeは、特定のユーザが特定のワークロードに対して特定のワークロード保護タスクを実行できるようにする、きめ細かいアプリケーションレベルのアクセスメカニズムを備えています。これは、セキュリティグループを設定することで実現します。

ユーザの権限が組織内における役割に最適になるようなワークロード保護の役割をPlateSpin Forgeユーザに割り当てます。PlateSpin Forgeユーザへのワークロード保護の役割の割り当てを参照してください。
PlateSpin Forge Web Clientを使用し、管理者としてPlateSpin Forgeにアクセスし、［設定］>［許可］の順にクリックします。

［セキュリティグループ］ページが開きます。
［セキュリティグループの作成］をクリックします。
［セキュリティグループ名］フィールドにセキュリティグループ名を入力します。
［ユーザの追加］をクリックし、このセキュリティグループに必要なユーザを選択します。

OSレベルのユーザとして追加したばかりのPlateSpin Forgeユーザは、Forge VMに追加しようとしてもユーザインタフェースで直ちに使用できない場合があります。この場合、まず［ユーザアカウントの更新］をクリックします。
［ワークロードの追加］をクリックし、必要なワークロードを選択します。

このセキュリティグループに含まれるユーザのみが選択したワークロードにアクセスできます。
［作成］をクリックします。

ページが再ロードされ、セキュリティグループのリスト内に新しいグループが表示されます。

セキュリティグループを編集するには、セキュリティグループのリストの中からグループ名をクリックします。