9.5.1. アクセス制御

9.5.1.1. ユーザー管理によるアクセス制御

9.5.1.1.1. WEBユーザー管理アクセス権限

WEBコンソールで利用するユーザーの種別により、システムを利用する上での各画面のアクセス可否および制限は下記となります。

表 9.590 WEBユーザーのWEBユーザー管理権限

画面\権限

特権ユーザー(Rootカテゴリのロール)

一般ユーザー(Adminカテゴリのロール)

一般ユーザー(Userカテゴリのロール)

参照操作/設定変更画面

アクセス可能
・「ユーザー管理」機能のみ利用できます。その他の参照操作/設定変更画面は利用できません。

アクセス可能
・全ての機能を利用できます。
※ただし、サービスポリシーによって利用できる機能が制限されている場合、その機能は利用できません。

アクセス可能
・「ユーザー管理」機能を除く全ての機能を利用できます。
※ただし、サービスポリシーによって利用できる機能が制限されている場合、その機能は利用できません。

ユーザー一覧画面

アクセス可能
・全てのユーザーを参照できます。

アクセス可能
・同一テナントに所属するユーザーのみ参照できます。

アクセス不可

ユーザー新規作成画面

アクセス可能
・ユーザー種別が「特権」/「一般」の両方のユーザーを作成できます。
・特権ユーザーを作成する場合、Rootカテゴリのロール(RootRole)のみ割り当て可能です。
・一般ユーザーを作成する場合、Adminカテゴリのロールのみ割り当て可能です。
Adminカテゴリのロールをユーザーに割り当てた場合、自動的にテナントが作成されます。

アクセス可能
・ユーザー種別が「一般」のユーザーのみ作成できます。
・Userカテゴリのロールをユーザーに割り当てた場合、自動的にテナントが引き継がれます。

アクセス不可

ユーザー変更画面

アクセス可能
・特権ユーザーを作成する場合、Rootカテゴリのロール(RootRole)のみ割り当て可能です。
・一般ユーザーを作成する場合、Adminカテゴリのロールのみ割り当て可能です。また、ロールを変更する際は別テナントのロールを割り当てることはできません。

アクセス可能
一般ユーザーを作成する場合、AdminカテゴリのロールおよびUserカテゴリのロールを割り当て可能です

アクセス不可

ユーザー削除画面

アクセス可能
・ビルドインユーザー(root)および自分自身は削除できません。その他のユーザーは削除できます。

アクセス不可

アクセス不可

ロール一覧画面

アクセス可能
・自分自身のロールがオーナーのロールのみ参照できます。

アクセス可能
・自分自身のロールがオーナーのロールのみ参照できます。

アクセス不可

ロール新規作成画面

アクセス可能
・Adminカテゴリのロールのみ作成できます。

アクセス可能
Userカテゴリのロールのみ作成できます。

アクセス不可

ロール変更画面

アクセス可能
・自分自身のロールがオーナーのロールのみ変更できます。

アクセス可能
・自分自身のロールがオーナーのロールのみ変更できます。

アクセス不可

ロール削除画面

アクセス可能
・自分自身のロールがオーナーのロールのみ削除できます。
・ビルドインロールは削除できません。

アクセス可能
・自分自身のロールがオーナーのロールのみ削除できます。

アクセス不可

ドメインリスト一覧画面

アクセス可能
自分自身のロールがオーナーのドメインリストのみ参照できます。

アクセス可能
・自分自身のロールがオーナーのドメインリストのみ参照できます。

アクセス不可

ドメインリスト新規作成画面

アクセス可能
・ビルドインドメインリストの"ALL"に定義されているドメインを使って新規にドメインリストを作成することができます。

アクセス可能
・自身のAdminカテゴリロールに割り当てられたドメインリストに定義されているドメインを使って新規にドメインリストを作成することができます。

アクセス不可

ドメインリスト変更画面

アクセス可能
・自分自身のロールがオーナーのドメインリストのみ変更できます。

アクセス可能
・自分自身のロールがオーナーのドメインリストのみ変更できます。

アクセス不可

ドメインリスト削除画面

アクセス可能
・自分自身のロールがオーナーのドメインリストのみ削除できます。

アクセス可能
・自分自身のロールがオーナーのドメインリストのみ削除できます。

アクセス不可

サービスポリシー一覧画面

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ参照できます。

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ参照できます。

アクセス不可

サービスポリシー新規作成画面

アクセス可能
・ビルドインドメインリストの"ALL"で許可されている範囲内で新規にサービスポリシーを作成することができます。

アクセス可能
・自身のAdminカテゴリロールに割り当てられたサービスポリシーで許可されている範囲内で新規にサービスポリシーを作成することができます。

アクセス不可

サービスポリシー変更画面

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ変更できます。

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ変更できます。

アクセス不可

サービスポリシー削除画面

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ削除できます。

アクセス可能
・自分自身のロールがオーナーのサービスポリシーのみ削除できます。

アクセス不可

9.5.1.1.2. 千手ユーザーグループに対応する千手システムの権限

ドメインリストではドメインに接続するための千手ユーザーを設定することができます。

WEBコンソールでは、設定された千手ユーザーの権限に基いて各画面の参照・操作を制御します。

また、千手ユーザーの権限は所属する千手ユーザーグループにより決定されます。千手ユーザーについての詳細は 千手ユーザー を参照してください。

サービスポリシーと千手ユーザーグループ権限パターンに応じた各機能の参照可否および操作可否を下記に示します。

表 9.591 サービスポリシー権限参照

サービスポリシー名

権限と利用できる機能

ダッシュボード

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

グローバルノードモニタ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・千手システムプロセス起動
・千手システムプロセス停止
・リブート
・特別監視対象外設定
・特別監視対象外解除

ノードモニタ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・ノードモニタ[プロセス]->千手プロセス起動
・ノードモニタ[プロセス]->千手プロセス停止
・ノードモニタ[全監視タスク]->一時停止
・ノードモニタ[全監視タスク]->再開
・ノードモニタ[ログ監視]->一時停止
・ノードモニタ[ログ監視]->再開

グラフモニタ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作内容:
・リストダウンロード
・グラフ表示

モニタリング履歴検索

-

ジョブモニタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・ジョブモニタ->再ラン
・ジョブモニタ->強制停止
・ジョブモニタ->初期化
・ジョブモニタ->一時停止
・ジョブモニタ->スキップ
・ジョブモニタ->強制起動
・ジョブモニタ->強制分岐
・ジョブモニタ->設定
・ジョブモニタ->消去
・実行システムモニタ->投入
・実行システムモニタ->初期化
・フレームモニタ->投入
・フレームモニタ->テストラン
・フレームモニタ->再ラン
・フレームモニタ->強制停止
・フレームモニタ->初期化
・フレームモニタ->一時停止指定
・フレームモニタ->スキップ指定
・フレームモニタ->特別初期化
・フレームモニタ->サスペンド
・フレームモニタ->レジューム
・トリガモニタ->設定
・トリガモニタ->消去

ジョブサービスモニタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/Operators/OpeEditors/Users
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・確認
・結果の変更

ジョブ稼働履歴検索

-

ジョブモニタ

-

メッセージ履歴検索

-

ランブック稼働履歴検索

-

構成管理情報検索

-

オペレーション情報検索

-

千手統計情報検索

-

ソフトウェア/パッチ情報検索

-

構成管理モニタ

-

ファイル参照

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users/Viewers
操作可能な千手ユーザーグループ
・Administrators/Managers/OpeEditors/Operators/Users/Viewers
操作内容:
・ファイル内容の参照

ノードグループ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

ノードディスカバリー

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

監視項目

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

監視タスク

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

監視レシピ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

ログフィルタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

JSONログフィルタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

イベントログフィルタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

タスクスケジュール

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

グラフ

参照可能な千手ユーザーグループ:
・全ての千手ユーザーグループで利用できます。
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

ジョブスケジュール

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

運用日付

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

ジョブサービス

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

メッセージ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ
・-
操作内容:
・-

メッセージフィルタ

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

メッセージアクション

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

ランブックオートメーション

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・ブック即時実行

営業日カレンダー

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

週間スケジュール

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・-
操作内容:
・-

コマンド

参照可能な千手ユーザーグループ:
・Administrators/Managers/OpeEditors/Operators/Users
操作可能な千手ユーザーグループ:
・Administrators/Managers/Operators
操作内容:
・コマンド実行

注釈

一般ユーザー(AdminロールおよびUserロール)は、利用しているサービスポリシーとドメインポリシーによって利用できる機能が制限されます。

9.5.1.2. 千手のユーザースコープ機能によるアクセス制御

ドメインリストを利用した際に各ドメインの履歴検索機能のユーザースコープ設定について説明します。

ドメインリストの各ドメインに設定された千手ユーザーのスコープ情報に基づいて検索できる対象を決定します。

以下に、ドメインA、B、Cのそれぞれで該当のユーザーが存在し、ユーザースコープ設定がある場合、該当のユーザーが存在し、ユーザースコープ設定がない場合、および該当ユーザーが存在しない場合のユーザースコープの動作について例を示します。

表 9.592 履歴検索画面での検索対象

パターン

ドメインA

ドメインB

ドメインC

検索対象

1

各ドメインでスコープ表示する設定になっている情報

2

全ての情報

3

×

各ドメインに対し、○:スコープ情報 ×/△:全ての情報

4

×

×

×

履歴検索機能利用不可
【凡例】
  ○:該当ユーザーが存在し、ユーザースコープ設定あり
  △:該当ユーザーが存在し、ユーザースコープ設定なし
  ×:該当ユーザーが存在しない

警告

  • ドメインリストについて全てのドメインで存在しない千手ユーザーを設定している場合、履歴検索機能は利用不可になります。

  • 1つでも有効な千手ユーザーを設定している場合に、存在しない千手ユーザーを設定しているドメインは全ての情報を検索できるようになります。

  • ドメインリストの設定時には、不要な千手ドメインが設定されていないか、正しい千手ユーザーが登録されているかを必ず確認して下さい。