ユーザとグループの管理
ISWMでは、「ルートグループ」を頂点とするツリー構造でグループを管理します。ルートグループの 直下を「第1階層グループ」として、「第3階層グループ」まで作成できます。
グループには、ユーザとグループ管理者を登録できます。第1階層のグループ管理者と、第2階層、第 3階層のグループ管理者では、使用できる機能が異なります。
本書では、第2階層、第3階層のグループ管理者を、「サブグループ管理者」と呼びます。
注意: ルートグループには、ユーザとグループ管理者を登録できません。
ルートグループ
第1階層グループ 第1階層グループ
第2階層グループ 第2階層グループ 第2階層グループ
第2階層、第3階層のグループ管理者
(サブグループ管理者)
第1階層のグループ管理者
(グループ管理者)
第3階層グループ 第3階層グループ
グループ管理者とサブグループ管理者
1-2. グループについて
ISWMのグループはルートグループの下で管理されます。
初期設定ではルートグループの直下に第1階層グループとして、次の3つのグループが登録されて います。
注意: ADMINグループ、GROUP グループ、LDAP グループは、任意の名前に変更できますが、
グループを削除することはできません。
ルートグループ
すべてのグループのフィルタリングルールのベースとなる設定が登 録されています。
ルートグループは、グループ名を変更できません。また、ルートグルー プには、ユーザを登録できません。
ADMINグループ
ISWMの管理者が所属するグループです。
初期状態では、「root」アカウントが登録されています。
ADMINグループの下位には、グループを登録できません。
GROUPグループ グループ作成用のサンプルです。
初期状態では、「guest」アカウントが登録されています。
LDAPグループ
LDAPサーバと連携して、ユーザを管理するときに使用します。
管理画面で設定した条件で LDAPサーバを検索し、検索結果のルート に存在するユーザを格納します。
LDAPとの連携については、105ページの「8. ユーザ認証の設定」を参照 してください。
■ LDAP との連携
[システム管理] → [認証設定] で、LDAP連携を有効にしている場合、LDAPグループ特定方式の設定 により、2種類の登録方法があります。
● ユーザのDNからグループ階層を特定する
LDAPグループ特定方式で [ユーザのDNからグループ階層を特定する] を選択した場合、検索結果 のルートに存在するユーザが「LDAP」グループに登録されます。
検索結果のルート階層の直下に存在するグループは第1階層グループとして登録されます。
● グループ毎にユーザ抽出条件を指定する
LDAPグループ特定方式で [グループ毎にユーザ抽出条件を指定する] を選択した場合、検索に該当 するユーザはグループごとに指定した抽出条件に一致するグループに登録されます。複数グループ の抽出条件に一致する場合、設定した優先順位によってグループが決定されます。
すべてのグループの抽出条件に一致しないユーザは、LDAPグループに登録されます。
ou=member,dc=netstar,dc=jp
ou=sales ou=tech
ou=group1
LDAPのディレクトリツリー ou=group2 ou=group1
検索ベース
ISWM のグループ
sales
group1 group2 LDAP
ルートグループ
tech
group1
LDAPとの連携 (ユーザのDNからグループ階層を特定する)
ou=member,dc=netstar,dc=jp 検索ベース
ルートグループ
セキュリティグループ:
Sales Admins に所属するユーザ
LDAPとの連携 (グループ毎にユーザ抽出条件を指定する)
1-3. グループとフィルタリング設定
グループごとに異なるフィルタリング設定を適用できます。
マスタ管理者はすべてのグループのフィルタリング設定を管理できます。グループ管理者およびサ ブグループ管理者は、所属グループと下位グループのフィルタリング設定を管理できます。
注意: ・グループごとにフィルタリング設定を適用する場合、 [システム管理]→[認証設定] で ユーザ認証を有効にしてください。105ページの「8. ユーザ認証の設定」を参照してく ださい。
・グループごとにフィルタリング設定を適用しない場合、ルートグループのフィルタ リング設定が適用されます。
グループA
グループB
グループC ルートグループ
マスタ管理者
グループA管理者 (グループ管理者)
グループB管理者 (サブグループ管理者)
グループC管理者 (サブグループ管理者)
設定C 設定B 設定A ルート設定
グループごとにフィルタリング設定を管理する
■ フィルタリング機能の参照
上位グループと下位グループの間で、フィルタリング設定を参照できます。
フィルタリング設定の参照方法には、次の2種類があります。詳細については、211ページの「1-3. フィ ルタリング設定の参照」を参照してください。
・ 下位グループが、上位グループのフィルタリング設定を参照する (上位グループ参照) 下位グループは、参照先の上位グループからフィルタリング設定を共有できます。
上位グループ参照はグループを登録するときに設定できます。グループの登録後は [フィルタ リング設定] 画面で設定します。
・ 上位グループが、下位グループにフィルタリング設定を参照させる (下位グループ指定) 上位グループは、自分のグループのフィルタリング設定を下位グループに強制的に共有させま す。下位グループではフィルタリング設定を変更できません。また、例外ユーザも設定できませ ん。下位グループ指定は、 [フィルタリング設定] 画面で設定します。
設定C 設定B 設定A グループA
グループB
グループC
通常のフィルタリング設定 上位グループ参照を有効にした場合
設定A
設定A
設定A 共有
共有 グループA
グループB
グループC 上位グループ参照
上位グループ参照
設定B 設定A グループA
グループB
通常のフィルタリング設定 下位グループ指定を有効にした場合
設定A
設定A 共有 グループA
グループB 下位グループ指定
1-4. ユーザについて
ISWMには、次の4種類のユーザ種別があります。ユーザ種別によって、管理画面にログインした後に
表示される項目が異なります。
注意: ・グループ管理者またはサブグループ管理者は、アカウントで登録します。グループ管 理者またはサブグループ管理者をIPアドレスで登録することはできません。
・アカウントで登録したユーザは、[AMV 閲覧権限 ] をオンにすることで、アクセス マ ネジメント ビューを使用して、情報漏えいリスクを確認できます。IPアドレスで登録 したユーザは、アクセス マネジメント ビューを使用できません。
・LDAP 連携が有効な場合、管理画面でアカウントのパスワードを変更することはでき ません。このとき、エンドユーザではメールアドレスの変更だけが可能です。
マスタ管理者 ISWMの管理者です。マスタ管理者は、ADMINグループに所属します。
マスタ管理者は、管理画面のすべての設定が可能です。
グループ管理者
第1階層のグループ管理者です。
管理画面では、所属グループと下位グループのグループ管理、ユーザ 管理、フィルタリング設定、アクセスログの管理が可能です。
サブグループ管理者
第2階層、第3階層のグループ管理者です。
管理画面では、所属グループと下位グループのグループ管理、ユーザ 管理、フィルタリング設定が可能です。
エンドユーザ
各グループに所属するユーザです。
管理画面では、アカウントのパスワード、メールアドレスを変更でき ます。
■ 特殊なユーザ
次の特殊なユーザが存在します。ユーザを特殊なユーザとして登録することはできません。
注意: ・未登録ユーザは [グループ/ユーザ管理] には表示されません。 [フィルタリング設定]→ [グループ設定] では、「未登録ユーザ」グループのフィルタリング設定を管理できます。
・未登録ユーザへのフィルタリングを有効にするためには、 [システム管理]→[認証設
定] で [未登録ユーザ設定] を有効にしてください。105ページの「8. ユーザ認証の設
定」を参照してください。
未登録ユーザ
[システム管理]→[認証設定] で、ユーザ認証が有効なときに認証でき なかったユーザです。
未登録ユーザは「未登録ユーザ」グループに所属します。未登録ユーザ として、アカウントやIPアドレスを登録することはできません。
■ 管理者の管理権限について
マスタ管理者は、ルートグループ、特殊なグループを含めて、すべてのグループを管理できます。
グループ管理者、サブグループ管理者は、所属するグループと下位のグループを管理できます。
注意: マスタ管理者、グループ管理者、サブグループ管理者は、アカウントで登録します。IP ア ドレスでは登録できません。
ルートグループ
グループ管理者
第2階層グループ
第3階層グループ 第3階層グループ 第2階層グループ 第1階層グループ ADMINグループ 特殊なユーザ
未登録ユーザ サブグループ管理者
第2階層グループ
第3階層グループ 第1階層グループ マスタ管理者
サブグループ管理者
マスタ管理者の管理範囲
ルートグループ
グループ管理者
第2階層グループ
第3階層グループ 第3階層グループ 第2階層グループ 第1階層グループ
ADMINグループ 特殊なユーザ
未登録ユーザ サブグループ管理者
第2階層グループ
第3階層グループ 第1階層グループ マスタ管理者
サブグループ管理者
グループ管理者、サブグループ管理者の管理範囲
1-5. IP アドレスでユーザを管理する
ISWMでは、IPアドレスとアカウントの2種類でユーザを管理できます。
ここでは、ユーザをIPアドレスで管理する場合について説明します。ユーザをアカウントで管理する 場合は、159ページの「1-6. アカウントでユーザを管理する」を参照してください。
■ IP アドレス管理の特長
IP アドレスでユーザを管理すると、端末を使用するユーザに関係なく、端末のIPアドレス単位で管 理できます。単一のIPアドレスまたはIPアドレスを範囲指定して登録できます。IPアドレスを範囲 指定して登録した場合、指定した範囲内のIPアドレスを一括して管理できます。
注意: ・ユーザを認証する場合には、 [システム管理]→[認証設定] でユーザ認証を有効にして ください。
・マスタ管理者は、IPアドレスの登録および管理が可能です。
192.168.1.5 192.168.1.1
192.168.1.150~192.168.1.200 10.10.50.50~10.10.50.80
10.10.50.1
10.10.50.100~10.10.50.120
ルートグループ
グループB グループA
グループC グループD
グループA グループB