PlateSpin Protectのユーザ権限および認証のメカニズムは、ユーザの役割に基づいており、ユーザが実行できるアプリケーションへのアクセスやその他の操作を制御します。このメカニズムは、Integrated Windows Authentication (IWA)とそのInternet Information Services (IIS)との相互作用に基づきます。
役割ベースのアクセスメカニズムを使用すると、次のようないくつかの方法でユーザ権限の付与および認証を実行できるようになります。
アプリケーションへのアクセスを特定のユーザに制限する
特定の操作のみを特定のユーザに許可する
割り当てられた役割によって定義された操作を実行するために、ユーザごとに特定のワークロードへのアクセスを許可する
すべてのPlateSpin Protectインスタンスには、関連する機能の役割を定義する、次のような一連のオペレーティングシステムレベルのユーザグループが含まれています。
ワークロード保護の管理者: アプリケーションのすべての機能に無制限にアクセスできます。ローカル管理者は、暗黙的にこのグループに含まれます。
ワークロード保護のパワーユーザ: アプリケーションのほとんどの機能にアクセスできますが、ライセンスおよびセキュリティに関するシステム設定を変更する権限の制限など多少の制限があります。
ワークロード保護のオペレータ: システムの機能のうち、日常的な操作を行うのに十分な一部の機能にのみアクセスできます。
ユーザがPlateSpin Protectに接続しようとすると、ブラウザを介して提供される資格情報がIISによって検証されます。ユーザがワークロード保護の役割のメンバーに含まれない場合は、接続が拒否されます。
表 2-1 ワークロード保護の役割および権限の詳細
ワークロード保護の役割の詳細 |
管理者 |
パワーユーザ |
オペレータ |
---|---|---|---|
ワークロードの追加 |
許可 |
許可 |
拒否 |
ワークロードの削除 |
許可 |
許可 |
拒否 |
保護の設定 |
許可 |
許可 |
拒否 |
レプリケーションの準備 |
許可 |
許可 |
拒否 |
レプリケーション(完全)の実行 |
許可 |
許可 |
許可 |
増分の実行 |
許可 |
許可 |
許可 |
スケジュールの一時停止/再開 |
許可 |
許可 |
許可 |
テストフェールオーバー |
許可 |
許可 |
許可 |
フェールオーバー |
許可 |
許可 |
許可 |
フェールオーバーのキャンセル |
許可 |
許可 |
許可 |
中止 |
許可 |
許可 |
許可 |
廃棄(タスク) |
許可 |
許可 |
許可 |
設定(すべて) |
許可 |
拒否 |
拒否 |
レポート/診断の実行 |
許可 |
許可 |
許可 |
フェールバック |
許可 |
拒否 |
拒否 |
再保護 |
許可 |
許可 |
拒否 |
さらに、PlateSpin Protectソフトウェアでは、どのユーザがPlateSpin Protectワークロードインベントリ内のどのワークロードにアクセスできるようにするかを定義するセキュリティグループに基づいたメカニズムも提供されます。
PlateSpin Protectへの適切な役割ベースのアクセス設定には、次の2つのタスクが含まれます。
表 2-1で詳細が説明されている必要なユーザグループにユーザを追加する(Windowsのマニュアルを参照してください)。
それらのユーザを特定のワークロードに関連付けるアプリケーションレベルのセキュリティグループを作成する(PlateSpin Protectセキュリティグループおよびワークロードの権限の管理を参照してください)。
この項の手順に従って、新しいPlateSpin Protectユーザを追加します。
PlateSpin Protect Serverホスト上の既存のユーザに特定の役割権限を付与したい場合は、PlateSpin Protectユーザへのワークロード保護の役割の割り当てを参照してください。
PlateSpin Protect Serverホスト上で、システムのローカルユーザとグループのコンソールにアクセスします(lusrmgr.msc > )。
ノードを右クリックして を選択し、必要な詳細を入力して をクリックします。
これで、新しく作成されたユーザにワークロード保護の役割を割り当てることができます。PlateSpin Protectユーザへのワークロード保護の役割の割り当てを参照してください。
ユーザに役割を割り当てる前に、そのユーザに最適な権限のコレクションを決定します。表 2-1, ワークロード保護の役割および権限の詳細を参照してください。
PlateSpin Protect Serverホスト上で、システムのローカルユーザとグループのコンソールにアクセスします(lusrmgr.msc > )。
[
]ノードをクリックし、右側のペインの必要なユーザをダブルクリックします。[
]タブで、[ ]をクリックし、必要なワークロード保護グループを探してそれをユーザに割り当てます。変更が有効になるには数分かかる場合があります。変更を手動で適用するには、サーバを再起動します。システム変更を適用するためのPlateSpin Protectサーバの再起動を参照してください。
ユーザをPlateSpin Protectセキュリティグループに追加し、特定のワークロードのコレクションを関連付けることができるようになりました。PlateSpin Protectセキュリティグループおよびワークロードの権限の管理を参照してください。
PlateSpin Protectは、特定のユーザが特定のワークロードに対して特定のワークロード保護タスクを実行できるようにする、きめ細かいアプリケーションレベルのアクセスメカニズムを備えています。これは、セキュリティグループを設定することで実現します。
ユーザの権限が組織内における役割に最適になるようなワークロード保護の役割をPlateSpin Protectユーザに割り当てます。PlateSpin Protectユーザへのワークロード保護の役割の割り当てを参照してください。
PlateSpin Protect Webインタフェースを使用し、管理者としてPlateSpin Protectにアクセスし、
の順にクリックします。[セキュリティグループ]ページが開きます。
をクリックします。
フィールドにセキュリティグループ名を入力します。
をクリックし、このセキュリティグループに必要なユーザを選択します。
PlateSpin Protect Serverホストに最近追加されたPlateSpin Protectのユーザを追加する場合、ユーザインタフェースで直ちに使用できるようにならない場合があります。 この場合、まず[
]をクリックします。[
]をクリックし、必要なワークロードを選択します。このセキュリティグループに含まれるユーザのみが選択したワークロードにアクセスできます。
をクリックします。
ページが再ロードされ、セキュリティグループのリスト内に新しいグループが表示されます。
セキュリティグループを編集するには、セキュリティグループのリストの中からグループ名をクリックします。