2.2 操作対象を管理するための機能
JP1/AOには,操作対象を管理するため,次のような機能があります。
-
グループの管理
ユーザーグループとリソースグループを使用して,サービスを実行したり,タスクを参照したりできる範囲をユーザーグループごとに制限できます。
-
エージェントレス接続先の管理
JP1/AOでは,サービスの操作対象とする接続先ホストをエージェントレス接続先と呼びます。サービスの操作対象とするエージェントレス接続先をリソースグループごとに制限したり,接続先ホストの認証情報を一元管理して,運用時の負担を軽減したりできます。
運用や業務に応じた細やかなアクセス制御 − グループの管理
リソースグループをユーザーグループに割り当てることで,ユーザーが参照できるサービスやタスクを制限できます。このとき,権限(ロール)を設定すれば,サービスへの操作(サービス管理やサービス実行など)をユーザーグループごとに制限できます。
リソースグループとユーザーグループを利用したアクセス制御の例を次に示します。
|
|
![[図データ]](GRAPHICS/DG020030.GIF)
図中の例では,ユーザーグループ1に所属するユーザーA,B,Cは,リソースグループ1のリソースを使用できます。ユーザーグループ2に所属するユーザーC,D,Eは,リソースグループ2とリソースグループ3のリソースを使用できます。ビルトインユーザーグループに所属するユーザーFは,All Resources(ビルトインリソースグループ)が割り当てられているため,JP1/AO上の全サービスにアクセスできます。そのため,ユーザーグループ1にだけ所属するユーザーAおよびユーザーBからは,リソースグループ2およびリソースグループ3のサービスは参照できません。
このように,グループの管理を利用すると,ユーザーの利用目的に合わせて,アクセスできるサービスを効率良く制御できるようになります。
例えば,データセンターでのIT運用を複数のテナントで分割する場合なども,テナントごとに利用するサービスをリソースグループで分類して,各ユーザーグループが実行できるサービスを限定できます。これによって,誤って別テナントのサービスを実行してしまうことを防いだり,テナントごとに参照できるタスクの範囲を制限したりできます。
管理の負荷を減らすエージェントレス運用 − エージェントレス接続先の管理
エージェントレス接続先ごとの接続先情報(リソースグループ名,ホスト名など)や認証情報(接続先ホストにログインするためのユーザーID,パスワード,プロトコルなど)を管理する機能を,エージェントレス接続先管理機能と呼びます。
JP1/AOに接続先情報を登録しておくと,サービスを実行する際,接続先ホストへのアクセスをリソースグループごとに制御できます。さらに,接続先情報に加えて,認証情報も登録しておけば,サービス間で共通して使用するパスワードなどをJP1/AOで管理できるため,サービスの実行ごとに認証情報を入力する手間を軽減できます。また,接続ホストごとにプロトコルと認証方式を設定できます。
|
|
![[図データ]](GRAPHICS/DG020040.GIF)
この図では,Adminロールを持つ管理者ユーザーが操作画面で接続先情報と認証情報を登録したあと,リソースグループRに対してSubmitロールを持つサービス実行ユーザーがサービスを実行しています。この場合,サービス実行ユーザーは接続先情報が登録されたhost1にだけ接続でき,それ以外のホストへの接続は制限されます。また,JP1/AOにhost1の認証情報が登録されているため,サービス実行時にユーザーIDやパスワードを入力する必要がありません。