https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/index.html Recent content in 3.6 システム on JP1 Cloud Service 運用統合 利用ガイド Hugo -- gohugo.io ja https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/user_management/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/user_management/index.html システム管理者はユーザー、グループ、ロールに対して作成や削除、編集などといった操作を行うことでユーザーマネジメントを実現します。 ロールはユーザーとグループに割り当てることができ、Ops Iの操作権限などを決定します。ロールが割り当てられたグループに所属しているユーザーはそのロールの権限が付与されます。 （図）ユーザー・グループ・ロールの関係性 【顧客分離によるアクセス制御】 ロールを適切に設定することで、顧客ごとに操作できる画面や、画面に表示される情報への参照・更新を制限することができます。例えば、ワークフロー一覧画面で、顧客ユーザーが所属する顧客のワークフローしか参照できなくする、などの制御が可能です。 顧客分離によるアクセス制御のためには、ユーザーを顧客ユーザーとして定義する必要があります。顧客ユーザーとして定義するためには、ユーザーに対して以下の両方を設定してください。 ユーザープロファイルで「顧客」が設定されている 以下のいずれかのロールが設定されている Pre-Installedロール「Customer Manager」 Pre-Installedロール「Customer User」 Primitiveロール「customer」および「free_user」 Primitiveロール「customer」および「manager」 上記のいずれかを関連ロールに設定したカスタムロール 注意事項 ユーザープロファイルで「顧客」を設定し、かつ、以下のいずれかのロールを割り当てていないユーザーの使用はサポートしません。※ Pre-Installedロール「Customer Manager」 Pre-Installedロール「Customer User」 Primitiveロール「customer」および「free_user」 Primitiveロール「customer」および「manager」 上記のいずれかを関連ロールに設定したカスタムロール ユーザープロファイルで「顧客」を設定した場合は、必ず、上記のいずれかを割り当ててください。 ユーザーに適切なOps Iロールが適用されない場合、そのユーザーが所属する顧客に関連がないレコード（チケットやワークフローなど）が参照、更新可能となるおそれがあります。 「顧客」を設定しない、かつ、以下のいずれかのロールが割り当てたユーザーの使用はサポートしません。※ Pre-Installedロール「Customer Manager」 Pre-Installedロール「Customer User」 Primitiveロール「customer」 上記のいずれかを関連ロールに設定したカスタムロール ユーザーに適切な顧客が適用されない場合、関連があるレコードを参照、更新できないおそれがあります。 ※サポートしないユーザーがITSMアプリケーションにアクセスした場合、そのユーザーを顧客ユーザーに変更することはできません。顧客ユーザーとして定義したい場合は、別のユーザーを再度作成してください。 標準で提供するロールの詳細については、「Ops I上のロールとサポート機能の対応関係」を参照してください。 また、サービスカタログについては、CatalogのYAMLファイル単位で顧客のアクセス制御を設定できます。詳細は「アクセス制御」を参照してください。 （図）サービスカタログ画面に対するロールによるアクセス制御 ワークフロー一覧画面は、顧客ユーザーとして定義しておくことで、操作対象ユーザーと同じ顧客に所属する顧客ユーザーが申請したワークフローのみ操作可能となるよう制御することができます。顧客ユーザーではないユーザー、例えば運用担当者は、すべてのワークフローを操作できます。 尚、非課金ユーザーは、課金ユーザーと異なり、一部権限が制限されます。 非課金ユーザーに関する説明は、以下を参照してください。 ユーザー管理：「ユーザー」 ロールの説明：「（表）特別なPrimitiveロール」 、「（表）Primitiveロールとサポート機能の関係」 サポート機能：「（表）free_user（非課金ユーザーロール）のサポート機能」 （図）ワークフロー一覧画面に対するロールによるアクセス制御 【グループ間の管理関係設定】 グループ間の管理関係を設定することで、ワークフロータブでの各ステップの担当者のアサインやリソースタブでのスキルの設定をすることができます。 （図）グループ間の管理関係 スキル設定機能を使用する場合、スキルを設定したいユーザーをYAMLファイル（skill、skillset）登録したグループに設定する必要があります。また、グループ間の管理関係は、グループ管理画面から表示できる関連グループ設定画面の関連タイプを指定することで、Manage、Managed、およびManage/Managedを設定できます。関連タイプがManage/Managedとなる場合は以下の2ケースがあります。関連グループの詳細については「（表）グループ追加時の関連するリソースエリアのタブ」を参照してください。 （表）関連タイプManage/Managedになるケース 起点グループ 関連グループ 関連タイプ 説明 A A Manage/Managed グループAがグループA自身を管理対象とします。 自分のグループに対し、担当者のアサイン、スキル設定をする場合、自分のグループを管理対象とする必要があります。 A B Manage/Managed グループAとグループBは相互に管理者、管理対象者となります。 「global」グループには、関連タイプの設定はしないでください。このグループは初期状態ですべてのユーザーに登録されているため、Manage/Managedと設定した場合、リソース一覧画面にすべてのユーザー情報が表示されてしまいます。 「global」グループの詳細については「グループ」、リソース一覧表示イメージは、「リソース一覧」を参照してください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/identity_provider/index.html アイデンティティプロバイダーでは「IdP連携の設定」によるシングルサインオンに関する以下の設定を行います。 OIDCの追加、確認、編集、削除 SAMLの追加、確認、編集、削除 属性/グループ/ロールのマッピングの追加、確認、編集、削除 ユーザーデータ再利用方針の設定、確認、変更 デフォルトのアイデンティティプロバイダーの設定、確認、変更 IdP連携のためのOIDCとSAMLそれぞれの接続設定手順については、「OIDCの接続設定手順」または、「SAMLの接続設定手順」を参照してください。 属性/グループ/ロールのマッピングの概要や設定に必要な説明については「属性/グループ/ロールのマッピング」を参照してください。 （1）アイデンティティプロバイダーの概要 アイデンティティプロバイダーで各種設定を行うためには、ナビゲーションエリアで[接続設定]または[共通設定]を選択します。アイデンティティプロバイダーのツリー情報について以下に示します。 （表）アイデンティティプロバイダーのツリー情報 項目 説明 接続設定 [接続設定]画面を開くと、OIDCとSAMLの接続設定の一覧が表示されます。各接続設定をクリックすると詳細画面が表示されます。 ID：接続設定の[ID] 表示名：接続設定の[表示名] 有効：接続設定の有効/無効 タイプ：接続設定のタイプ（OIDC/SAML） 共通設定 ユーザーデータ再利用方針 IdPと連携するユーザーが、OTOBO上に存在する過去に削除されたユーザーと同一の場合、ユーザー情報を引き継ぐか否かの設定を行います。詳細については「ユーザーデータ再利用方針」を参照してください。 デフォルトのアイデンティティプロバイダー ログイン時にデフォルトで使用するIdPを設定する場合に指定します。詳細については「デフォルトのアイデンティティプロバイダー」を参照してください。 [接続設定]画面の操作ボタンの種類について、以下に示します。 （表）[接続設定]画面の操作ボタン 項目 説明 OIDCを追加 OIDCの接続設定を追加します。接続設定の一覧でチェックボックスにチェックしている場合は非活性になります。 詳細については「OIDCの追加」を参照してください。 SAMLを追加 SAMLの接続設定を追加します。接続設定の一覧でチェックボックスにチェックしている場合は非活性になります。 詳細については「SAMLの追加」を参照してください。 削除 接続設定の削除を行います。接続設定の一覧でチェックボックスに1つもチェックしていない場合は非活性になります。 （2）OIDCの追加 OIDCの追加は、[接続設定]画面で[OIDCを追加]ボタンをクリックします。OIDC追加画面に遷移するので、必要な情報を入力し、[保存]ボタンをクリックするとOIDCが追加されます。[キャンセル]ボタンをクリックすると[接続設定]画面に戻ります。 OIDC追加後は、接続設定の詳細画面から追加したOIDCを編集することができます。接続設定の詳細画面については「接続設定の詳細画面」を参照してください。 OIDCの追加と編集では、表示される項目や編集できる項目が異なります。以下に、OIDC追加画面とOIDC編集画面の表示項目について示します。チェックボックスのある項目は、チェックすることでその項目が有効になります。[nonceを無効にする]のみ、チェックすることで無効になります。 （表）OIDC追加画面の表示項目 項目 必須 説明 追加画面 編集画面 一般設定 有効 No この接続設定の有効/無効を切り替えます。無効のOIDCは、Ops Iのログイン画面に表示されず使用できません。 ◯ ◯ リダイレクトURI No アイデンティティプロバイダーの設定で使用するリダイレクトURIです。 △ △ ID Yes IDは一意にアイデンティティプロバイダーを識別するもので、リダイレクトURIの構築にも使用されます。 使用できる文字数は1～20文字です。入力可能な文字は以下の通りです。 半角英数字： a～z 0～9 半角の特殊文字： - ◯ △ 表示名 No アイデンティティプロバイダーのフレンドリ名を指定します。[表示名]はOps Iのログイン画面に表示されます。 ◯ ◯ 表示順 No [表示名]の表示順序を指定します。昇順に表示されます。表示順序を固定したい場合は昇順になるよう指定してください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/org_management/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/org_management/index.html 組織管理では、自動化（AWX）の組織の作成、削除、およびユーザーに対する組織内のロール（AWXで使用するロール）の割り当てを行います。これにより、Ops IからPlaybookの自動実行や、その実行結果の確認を行うことができるようになります。 ここでは次の項目について説明します。 概要 組織の追加 組織の編集 組織内のロールの割り当て （1）概要 AWXを使用するには以下のOps Iのロールのいずれかを割り当てます。 automation_manager automation_auditor automation_user 「automation_manager」または「automation_auditor」を割り当てた場合、自動的に組織内のロール「システム監査者」が割り当てられ、AWXでの一部のリソースの作成や読み取りが可能になります。 さらに、ユーザーの操作権限に応じて、組織ごとに組織内のロールを別途割り当てます。 「admin」ユーザーに組織内のロールを割り当てる場合、最低でも一度は「admin」ユーザーで自動化にアクセスして、自動化の画面を表示する必要があります。 代表的な組織内のロールを「（表）Ops Iの自動化で使用する主な組織内のロール」に示します。 （表）Ops Iの自動化で使用する主な組織内のロール ロール 説明 管理者 組織内のロールのすべての権限を持つ。 このロールのみジョブテンプレートに実行インスタンスグループをひもづけることが可能。 プロジェクト管理者 プロジェクトやジョブテンプレートの作成 認証情報管理者 所属組織に関する認証情報の作成と変更 ジョブテンプレート管理者 所属組織に関するジョブテンプレートの作成と変更 インベントリー管理者 所属組織に関するインベントリーの作成と変更 実行 所属組織に関する実行可能なリソースの実行 実行環境管理者 所属組織に関する実行環境の作成と変更 組織内のロールの詳細については、AWXのマニュアルを参照してください。AWXのマニュアルおよびバージョン、エディションについては付録 「OSSのバージョンおよびエディション、参照先のマニュアル」を参照してください。 組織の追加や組織内のロールの割り当ては、組織管理画面で行うことができます。組織管理画面は、システム管理画面の選択ボタンで組織管理をクリックすることで遷移することができます。 （表）組織管理画面の操作ボタンの種類 項目 説明 追加 組織の追加を行います。 チェックボックスがチェックされている場合は非活性となります。 削除 組織の削除を行います。 チェックボックスがチェックされていない場合は非活性となります。 （2）組織の追加 組織の追加は組織追加画面で行うことができます。組織追加画面は、組織管理画面の追加ボタンをクリックすることで遷移することができます。 組織追加画面の詳細について以下に示します。各項目で入力可能な文字については「入力可能文字に関する注意事項」を参照してください。 （表）組織追加画面の表示内容の種類 項目 必須 説明 名前 Yes 組織名 詳細 No 自由記載欄 （表）組織追加画面の操作ボタンの種類 項目 説明 保存 入力した組織情報を保存します。 必須項目が入力されていない場合は非活性となります。 キャンセル 組織情報を登録せずに破棄します。 （3）組織の編集 登録されている組織の情報の参照および編集は、組織詳細画面および組織編集画面で行うことができます。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/outpost_management/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/outpost_management/index.html アウトポスト管理では、中継サーバーの設定、管理を行います。これにより、自動化アプリケーション（AWX）のジョブを中継サーバーから実行できるようになります。アウトポスト管理の操作を行うには、Primitiveロール「automation_manager」が付与されている必要があります。ロールについての詳細は「ロール」、「Ops I上のロールとサポート機能の対応関係」を参照してください。 選択ボタンで「組織管理」を選択すると、ナビゲーションエリアにアウトポスト管理が表示されます。 アウトポスト管理画面は、コントロールプレーン画面、ノード画面、ノードグループ画面、IPブロック画面で構成されます。 （表）アウトポスト画面構成 画面 説明 コントロールプレーン画面 コントロールプレーン情報の取得、更新、エージェントのダウンロードを行います。 ノード画面 ノード一覧情報の取得、削除を行います。ノードの削除はエージェントを停止しRPMパッケージをアンインストールしてから行ってください。 ノードの作成については、「アウトポスト設定の流れ」を、削除については「ノードの削除」を参照してください。 ノードグループ画面 ノードグループの作成、削除、編集を行います。 IPブロック画面 IPブロックの作成、削除、編集を行います。 コントロールプレーン、ノード、ノードグループ、IPブロックについては「中継サーバーの設定」を参照してください。 ここでは次の項目について説明します。 コントロールプレーン管理 ノード管理 ノードグループ管理 IPブロック管理 （1）コントロールプレーン管理 コントロールプレーン管理を行うには、ナビゲーションエリアでアウトポスト管理の配下にあるコントロールプレーンを選択します。 コントロールプレーン情報に表示されるフィンガープリント、エージェントトークンは中継サーバーの設定で必要になります。コントロールプレーン情報はRekeyボタンで再発行できます。再発行を行うと構築済、接続済のノードはOps Iに接続できなくなります。Rekeyを行った場合は再度中継サーバーの設定を行いノードの再構築をしてください。 中継サーバーの設定に必要なRPMパッケージはエージェントのダウンロードから入手できます。 （図）コントロールプレーン画面 （表）コントロールプレーン画面の表示内容の種類 項目 必須 説明 バージョン Yes コントロールプレーンのバージョン フィンガープリント Yes アウトポストコンポーネントのフィンガープリント エージェントトークン Yes アウトポストコンポーネントのエージェントトークン （表）コントロールプレーン画面の操作ボタンの種類 項目 説明 ① Rekey フィンガープリント、エージェントのトークンの再発行を行います。 Rekeyボタンをクリックすると、確認ダイアログが表示されます。チェックボックスをチェックしOKボタンをクリックすると、古い情報が削除され再発行が行われます。 ② コピーボタン フィンガープリント、エージェントのトークンのコピーを行います。 ③ Linux x86_64 RPM RPMパッケージのダウンロードを行います。 ④ Linux x86_64 RPM Signature RPMパッケージSignatureのダウンロードを行います。 （2）ノード管理 ノード管理を行うには、ナビゲーションエリアでアウトポスト管理の配下にあるノードを選択します。 ノード一覧画面には、登録されているノード名が一覧で表示されます。ノード一覧画面の操作ボタンの種類を以下に示します。 （表）ノード一覧画面の操作ボタンの種類 項目 説明 削除 ノードの削除を行います。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/repository_management/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/function/system/repository_management/index.html リポジトリの作成はリポジトリ管理で行います。リポジトリの作成時にYAMLファイルの管理を有効にすることができます。YAMLファイルを登録するリポジトリは、YAMLファイルの管理を有効にしてください。 リポジトリ管理ではナビゲーションエリアに表示されるグループを選択することで、そのグループに属するリポジトリの一覧を表示することもできます。 （図）リポジトリ管理画面 （表）リポジトリ管理画面の情報 構成要素 説明 ① 追加ボタン リポジトリの作成を行います。グループ一覧でグループを選択すると活性化します。 リポジトリの作成の詳細については「リポジトリの作成」を参照してください。 ② グループ一覧 グループの一覧が表示されます。 ③ リポジトリ一覧 グループ一覧で選択したグループに属するリポジトリの一覧が表示されます。表示されるカラムは以下です。 リポジトリ：リポジトリ名 グループ：グループ名 説明：リポジトリの説明 マニフェスト管理： 有効：YAMLファイルの管理が有効 無効：YAMLファイルの管理が無効 リポジトリが無いグループや自分が所属していないグループを選択した場合、何も表示されません。 ④ URLコピー Git のURL「https://git.テナント名.ops-integration.com/グループ名/プロジェクト名.git」をコピーします。 【リポジトリ管理に必要なロール】 リポジトリ管理画面を表示し、操作するためにはOps IのロールとGitロールが必要です。 Pre-InstalledロールのSystem Administrator、Site Reliability Engineer、またはPrimitiveロールのRepository_adminが割り当てられたユーザーは、リポジトリ管理画面を表示することができます。 リポジトリ管理画面でリポジトリ一覧を表示するためには、ユーザーが所属するグループにGitロールのReporter以上のロールが割り当てられている必要があります。また、リポジトリの追加はGitロールのMaintainerが割り当てられている必要があります。Maintainerロールが割り当てられていないユーザーがリポジトリの追加の操作を実行するとエラーになります。 【リポジトリの作成】 リポジトリの作成の操作について以下に示します。 1. リポジトリを作成したいグループをグループ一覧から選択して、追加ボタンをクリックします。 2. リポジトリの情報の入力画面が表示されるので、必要な情報を入力します。 （図）リポジトリの情報の入力画面 （表）リポジトリの情報の入力項目 項目 必須 説明 リポジトリ名 Yes リポジトリ名。リポジトリ名には以下の制限があります。 グループ内で一意である必要があります。 半角英数字（a～z 0～9）で開始する必要があります。 入力可能な文字は以下の通りです。 半角英数字： a～z 0～9 半角の特殊文字： . - 連続する半角の特殊文字を含めることはできません。 半角の特殊文字で終わることはできません。 始まりにハイフン（-）、終わりに". git"または ". atom "を使用しないでください。 使用できる字数は、グループ名 + スラッシュ（/） + リポジトリ名の合計で255文字以下です。 GitLabの予約語は指定できません。該当の予約語は以下を参照してください。