JP1/Integrated Management - Rule Operation システム構築・運用ガイド
JP1/IM - RLでは,認証サーバで認証されたJP1ユーザーだけがログインできますが,ログインしたすべてのJP1ユーザーが,すべてのルールに対してあらゆる操作を実行できるのでは問題があります。JP1/IM - RLでは,ルールを幾つかのグループに分けて管理することをお勧めします。このグループを,JP1資源グループと呼びます。JP1資源グループごとに,操作権限(JP1権限レベル)とJP1ユーザーを付与することで,JP1/IM - Viewからの操作を制御できます。
設定できるJP1権限レベルには,次の5種類があります。
- JP1_Rule_Admin
JP1資源グループの設定に関係なく,すべての操作を実行できます。
- JP1_Rule_Manager
設定されたJP1資源グループの範囲内で,すべての操作を実行できます。
- JP1_Rule_Editor
設定されたJP1資源グループの範囲内で,ルール編集ツリーでの操作(ルール編集グループの作成,ルールの作成および編集)を実行できます。
- JP1_Rule_Operator
設定されたJP1資源グループの範囲内で,ルール運用ツリーでの操作(ルールの適用および適用解除)を実行できます。
- JP1_Rule_User
設定されたJP1資源グループの範囲内で,ルールの参照および実行結果の参照ができます。
JP1/IM - RLのルールに,JP1資源グループを設定した例を,次の図に示します。
図2-21 ルールにJP1資源グループを設定した例
この例では,ルールをシステム単位でグルーピングしています。ユーザー1は,JP1資源グループ1に対してすべての操作を実行でき,JP1資源グループ2に対しては参照だけができます。ユーザー2は,JP1資源グループ2に対してはすべての操作を実行できますが,JP1資源グループ1のルールは,操作権限が割り当てられていないため,参照することもできません。
JP1ユーザーの操作権限を管理するのは,認証サーバです。ログイン時にはユーザー認証を行い,ログインユーザー(JP1ユーザー)の操作権限情報をJP1/IM - RLに返し,その情報に従ってJP1/IM - View側で操作制御を行います。
JP1ユーザーの操作権限は,JP1ユーザーを認証サーバに登録する際に設定します。JP1/IM - Viewの操作をする際には,JP1ユーザーに付与されたJP1権限レベルによって操作できる範囲が制御されます。
JP1/IM - RLでのアクセス制御の概要を,次の図に示します。
図2-22 アクセス制御の概要
JP1/IM - RLでは,ルールをJP1資源グループでグルーピングし,各ユーザーに操作対象となるJP1資源グループと操作権限を割り当てて運用することをお勧めします。JP1/IM - RLのJP1権限レベルは,ルールの編集や運用など,ユーザーの役割ごとに細かく設定できます。JP1権限レベルの設定例を,次の図に示します。
図2-23 JP1権限レベルの設定例
なお,ルールに定義されているコマンドは,ルール編集時に定義した実行ユーザーの権限で実行されます。ルールを適用するJP1ユーザーの権限では実行されません。
JP1/IM - RLでは,JP1/IM - Managerで設定したJP1権限レベルをそのまま使用することができます。JP1/IM - ManagerとJP1/IM - RLのJP1権限レベルの対応を,次の表に示します。
表2-9 JP1権限レベルの対応(JP1/IM - ManagerとJP1/IM - RL)
JP1/IM - ManagerでのJP1権限レベル 対応するJP1/IM - RLのJP1権限レベル JP1_Console_Admin JP1_Rule_Admin JP1_Console_Operator JP1_Rule_Operator JP1_Console_User JP1_Rule_User 例えば,JP1_Console_Admin権限を持つJP1ユーザーは,JP1/IM - RLでJP1_Rule_Admin権限の操作を実行できます。JP1資源グループごとに操作権限を設定したり,ルール編集を特別な管理者に実行させたりする場合には,JP1/IM - RLの操作権限を指定してください。
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.