JP1/Automatic Job Management System 2 解説
JP1/AJS2では,JP1/Baseのユーザー認証機能を使ってユーザーのログイン認証や操作権限を管理します。
JP1/Baseのユーザー認証とは,JP1/AJS2 - Viewや他のJP1シリーズプログラム(JP1/IM)からのログイン認証,およびログインしたユーザーの操作権限を制御する機能です。ログイン認証やログインしたユーザーの操作権限を管理するJP1/Baseを認証サーバといいます。この認証サーバに,JP1/AJS2を使用するユーザーをJP1ユーザーとして登録し,各JP1ユーザーにユニットの操作権限を設定します。認証サーバ以外のサーバのJP1/Baseでは,認証サーバとされているホストを定義しておきます。これにより,JP1/AJS2 - Viewから他ホストへのログイン時には,認証サーバに登録されているJP1ユーザー情報を基にログインの可否や操作権限が決定されます。ユーザー認証の例を次に示します。
図8-1 ユーザー認証の例
この例では,HostAを認証サーバとします。HostB,HostCには,認証サーバとしてHostAが指定されているので,HostA,HostB,HostCは同一認証圏となります。認証サーバのHostAには,JP1ユーザーとしてjp1user1が登録されています。この場合に,jp1user1というJP1ユーザーとjp1user2というJP1ユーザーがHostBへのログインを試みたとき,HostBの認証サーバであるHostAが登録されているJP1ユーザー情報を基にその可否を判断します。例の場合,jp1user2は認証サーバに登録されていないため,ログインできないと判断されます。
- <この項の構成>
- (1) JP1ユーザーの登録
- (2) アクセス権限の設定
JP1/AJS2やJP1シリーズプログラムを使用するユーザーをJP1ユーザーといいます。JP1ユーザーは,認証サーバに登録します。登録する際には,JP1ユーザー名とともに,ログインの際に使用するパスワードを指定します。
ここで登録したJP1ユーザーは,JP1/AJS2だけでなく他のJP1シリーズプログラム(JP1/IM)でも適用されます。
JP1/AJS2のユニットに対する操作権限をアクセス権限といいます。アクセス権限は,JP1ユーザーごとに設定します。
アクセス権限は,JP1資源グループと呼ばれるグループごとに,権限レベルと呼ばれる操作権限を設定していきます。
権限レベルには,次の2種類があります。
- ジョブネット定義・実行時のアクセス権限
- ジョブの実行・操作時のアクセス権限
それぞれの権限レベルについて説明します。
- ジョブネット定義・実行時のアクセス権限
- JP1_AJS_Admin
管理者権限です。ユニットの所有者や資源グループの操作権限,ジョブネットの定義・実行・編集権限などを持っています。
- JP1_AJS_Manager
ジョブネットの定義・実行・編集権限などを持っています。
- JP1_AJS_Editor
ジョブネットの定義・編集権限などを持っています。
- JP1_AJS_Operator
ジョブネットの実行・参照権限などを持っています。
- JP1_AJS_Guest
ジョブネットの参照権限などを持っています。
- ジョブの実行・操作時のアクセス権限
- JP1_JPQ_Admin
管理者権限です。ジョブ実行環境の設定権限,キューやジョブ実行先エージェントの操作権限,ほかのユーザーがキューイングしたジョブの操作権限を持っています。
- JP1_JPQ_Operator
キューやジョブ実行先エージェントの操作権限,ほかのユーザーがキューイングしたジョブの操作権限を持っています。
- JP1_JPQ_User
サブミットジョブの登録や,自分がキューイングしたジョブの操作権限を持っています。
各権限レベルで操作できる詳細な内容については,マニュアル「JP1/Automatic Job Management System 2 設計・運用ガイド 2.3.3(2) 設定するJP1権限レベルの検討」を参照してください。
ただし,Administrators(Windowsの場合)権限およびスーパーユーザー(UNIXの場合)権限を持つOSユーザーがマッピングされているJP1ユーザーの場合は,JP1_AJSの権限(JP1_JPQの権限は該当しません)については,JP1権限レベルに関係なくすべての操作を実行できます。OSユーザーのマッピングについては,「8.1.2 JP1/Baseのユーザーマッピング機能を使ったユーザー管理」を参照してください。
JP1資源グループは,JP1/AJS2の各ユニットへのJP1ユーザーのアクセス制御を行う場合にユニット側に設定するものです。
例えば,ジョブネットAというユニットにkeiriというJP1資源グループが設定されているとします。一方,認証サーバには,jp1user1というJP1ユーザーに資源グループkeiriに対する権限レベルとしてJP1_AJS_Operator,資源グループeigyoに対する権限レベルとしてJP1_AJS_Editorが設定されているとします。この場合,ジョブネットAに対してjp1user1というJP1ユーザーは,keiriという資源グループに設定されているJP1_AJS_Operatorの持つ権限で操作を行えます。したがって,この場合はジョブネットAを実行登録または登録解除したり,スケジュールの一時変更やジョブの状態を変更したりできます。ただし,ジョブネットAの定義内容を変更したり,削除したりすることはできません。なお,ジョブネットAにeigyoというJP1資源グループが設定されている場合は,ジョブネットAの定義内容を変更したり,削除したりできますが,実行登録または登録解除したり,スケジュールやジョブの状態を一時変更したりすることはできません。また,ジョブネットAにjinjiというJP1資源グループが設定されている場合,jp1user1はジョブネットAに対する一切の権限がないためアクセスできません(ただし,jp1user1がAdministrators(Windowsの場合)権限またはスーパーユーザー(UNIXの場合)権限を持つ場合は,JP1資源グループの権限レベルに関係なく操作できます)。
このように,JP1/AJS2の各ユニットに対するJP1ユーザーのアクセス制御は,JP1/AJS2のユニット側にJP1資源グループが設定されることで有効になります。したがって,ユニット側にJP1資源グループが設定されていない場合は,JP1ユーザーの権限によるアクセス制御は行われません。
Copyright (C) 2006, 2010, Hitachi, Ltd.
Copyright (C) 2006, 2010, Hitachi Software Engineering Co., Ltd.