OMiでは,ロール内 で権 限 を適 用 することで,権 限 管 理 を微 調 整 できます。権 限 を使 用 すると,ロールの範 囲 を制 限 できます。
詳 細 については,『管 理 ガイド 』> 「ユーザ」> 「ユーザ,グループ,およびロール」を参 照 してください。
ノードと CI の責 務
OMiが焦 点 としているのは,ノード およびノード ・グループ中 心 型 の監 視 ではなく,CIおよびCIタイプ中 心 また はビューベースの監 視 です。そのため,OMiの認 証 ではノード ・グループは使 用 されません。対 応 するユーザの責 務 は,より柔 軟 性 の高 い方 法 であるビューを使 用 してOMiで定 義 できます。
ビューには通 常 ,RTSM内 にあるCIのサブセット が含 まれ,ノード ・グループ(OMiではCIコレクションと表 現)な どのあらゆるタイプのCIを含 めることが可 能 です。したがって,特 定 のノード ・グループのみ,またはCIコレクショ ンを含 むビューを作 成 すれば,理 論 上 はノード ・グループ・ベースで管 理 を継 続 することが可 能 です。ただし,
OMiでは,必 要 なCIをすべて含 むビューを使 用 して,できるだけビューの機 能 を使 用 し,オペレータの責 任 範 囲 を定 義 することが推 奨 されます。
次 の図 は,OMiのビューおよびビューの権 限 を示 しています。
OMiでは,ビューの権 限 を特 定 のビューにのみ付 与 することでユーザの責 務 を制 限 できます。
イベント の責 務
OMは,ノード ・グループ・ベースの制 限 に加 え,メッセージ・グループを使 用 してイベント へのアクセスを制 限 しま す。OMiでは,メッセージ・グループはイベント ・カテゴリと呼 ばれ,アクセスの制 限 にも使 用 できます。
OMiではさらに,イベント をユーザに割 り当 てるかどうかに基 づいて,さまざまな権 限 を定 義 できます。一 般 的 に,オペレータには,割 り当 てられたすべてのイベント を扱 い,終 了 するための権 限 が付 与 され,割 り当 てられて いないイベント に対 しては限 定 的 な権 限 しか付 与 されません。
OMiでは,自 動 割 り当 てルールを使 用 して,イベント をユーザ・グループに自 動 的 に割 り当 てることができます。
また,時 間 ベースのイベント 自 動 化 またはEPI Groovyスクリプト を使 用 して,イベント を個 々 のオペレータに自 動 的 に割 り当 てることもできます。
ただし,OMのメッセージ・グループ(OMiのイベント ・カテゴリ)に基 づく認 証 も引 き続 き使 用 でき,割 り当 てられて いないイベント についてはこれを使 用 します。
次 の図 は,OMiのイベント ・カテゴリを示 しています。
OM for UNIXとOM for Windowsは,オペレータがアクセスできるノード ・グループとメッセージ・グループを制 限 す ることで,どのメッセージをオペレータに表 示 するかを制 限 できます。
次 の図 は,OMでのイベント の責 務 を示 しています。
イベント 権 限
OM for Windowsでは,メッセージの変 更 に関 し,メッセージ・グループ単 位 で権 限 を細 かく設 定 できます。
OM for UNIXでは,オペレータ単 位 のグローバルな権 限 をいくつか設 定 できます。
OMiでは,OM for Windowsと同 じような細 かい権 限 設 定 が可 能 なうえ,OMiの割 り当 て機 能 やコント ロール 転 送 機 能 などに関 する権 限 をさらに設 定 できます。
次 の図 は,OMiでの細 かいイベント 権 限 を示 しています。
次 の図 は,OM for Windowsでのメッセージ権 限 を示 しています。
次 の図 は,OM for UNIXでのオペレータ・メッセージ権 限 を示 しています。
ツールへのアクセスの制 限
OMでは,ツール・グループに基 づいて,ツールへのアクセスを制 限 できます。また,OM for UNIXでは,個 々 の ツール・レベルでアクセスを制 限 できます。
OMiでは,ツールは特 定 のCIタイプに対 して定 義 され,ツールへのアクセスはツール・カテゴリを使 用 して制 限 できます。
次 の図 は,OMiでのツール・カテゴリの実 行 権 限 の設 定 内 容 を示 しています。
次 の図 は,OM for WindowsとOM for UNIXでのツール権 限 を示 しています。
管 理 権 限
OMiでは,新 しいツールの作 成 ,新 しいノード の設 定 ,ポリシーのデプロイなどの管 理 タスクへのアクセス権 の付 与 を,対 応 する管 理UIにフル・コント ロール権 限 を指 定 することで実 現 できます。
ポリシー・テンプレート ,アスペクト ,管 理 テンプレート の表 示 ,編 集 ,割 り当 てを行 うための権 限 は,各 構 成 フォ ルダのポリシー・テンプレート ・グループごとに付 与 できます。
次 の図 は,OMiでの管 理 権 限 の例 を示 しています。
ポリシー・カテゴリまたはパターン単 位 でのきめ細 やかな管 理 権 限
OM for Windowsのポリシー管 理 領 域 では,管 理 タスクを分 けることができます。この領 域 では,読 み取 り,編 集 ,デプロイ,削 除 の権 限 をポリシー・カテゴリ単 位 で定 義 できます。
OM for UNIXでは,パターンを使 用 して,特 定 のオブジェクト ・グループごとに異 なる管 理 権 限 を選 択 的 に付 与 できます。読 み取 り専 用 のアクセス権 を付 与 することも可 能 です。
OMi 10.01以 前 のバージョンでは,管 理UIへのアクセスを付 与 すると,そのUIで編 集 できるすべてのオブジェク ト(すべてのポリシー・テンプレート ,すべてのツールなど)へのアクセスが付 与 されました。
OMi 10.10以 降 では,ポリシー・テンプレート ,アスペクト ,または管 理 テンプレート の表 示 ,編 集 ,割 り当 てを行 うための権 限 は,各 構 成 フォルダのポリシー・テンプレート ・グループごとに付 与 できます。
ユーザ認 証
ユーザとユーザ・グループは,LDAPサーバを使 用 してOMiの内 外 で管 理 できます。認 証 は,内 部 的 に実 行 す るか,LDAPサーバを使 用 することで行 えます。OMiの標 準 設 定 のシングル・サインオン認 証 方 法 はLW-SSO です。LW-SSOは,OMiに組 み込 まれており,認 証 処 理 を行 う外 部 マシンは不 要 です。OMiは,スマート ・カー ド 認 証 とIdentity Managementシングル・サインオン(IDM-SSO)もサポート しています。
Windows Active DirectoryがLDAPサーバを実 装 するため,OM for Windowsに設 定 されているユーザとユー ザ・グループをOMiで設 定 することもできます。
OM for UNIXが備 えるPAM(Pluggable Authentication Module)は,OMiでは使 用 できません。
LDAP 認 証
OMiでは,OMiにログイン中 のユーザ向 けに,認 証 メカニズムとしてLDAPを構 成 し,グループのマッピングを 行 ったり,OMiユーザを外 部LDAPサーバで構 成 したユーザと同 期 できます。これにより,OMi管 理 者 が行 う ユーザ管 理 プロセスが簡 素 化 されます。使 用 できるのは,内 部 ユーザ,LDAP認 証 ,またはそれら両 方 です。
LDAPを有 効 または無 効 にするには,LDAP認 証 管 理 ウィザード を使 用 します。
ユーザ管 理 のための API およびコマンドライン・インタフェース
OMiには現 在 ,ユーザ,ユーザ・グループ,LDAP / SSO設 定 を追 加 ,変 更 ,エクスポート ,インポート するため のAPIやコマンド ライン・インタフェースはありませんが,コンテンツ・パックを使 用 してユーザ・ロール(権 限 を含 む)を エクスポート またはインポート することは可 能 です。
OM と OMi でのユーザ管 理 機 能 の比 較
OMの機 能 OMiの同 等 機 能
ユーザ・グループおよびユーザ・プロファイル (OM for UNIX)
ユーザ・ロール(OM for Windows)
ユーザ・グループおよびユーザ・ロール
メッセージ・グループとノード ・グループを使 用 して責 務 を制 限
概 念 は同 じ(ビューおよびイベント ・カテゴリ(メッセージ・グループ) を使 用)
きめ細 やかなイベント 権 限(OM for Windows)
あり
ツール・グループに基 づいてツールへのアクセ スを制 限
概 念 は同 じ(ツール・カテゴリに基 づいてツールへのアクセスを制 限)
オペレータ機 能 と管 理 機 能 の両 方 に権 限 を付 与
あり
ポリシー・カテゴリを使 用 してポリシーへのア クセスを制 限
はい。
きめ細 やかな管 理 権 限(OM for Windows) あり オブジェクト ・カテゴリまたはパターン単 位 で
のきめ細 やかな管 理 権 限(OM for UNIX)
あり。ポリシー・テンプレート ・カテゴリ/構 成 フォルダごと
読 み取 り専 用 の管 理 権 限(OM for UNIX) あり(ビュー権 限) Windows Active Directoryを介 したユーザ
認 証(OM for Windows)
あり(LDAP認 証 を使 用)
内 部 的 なユーザ認 証(OM for UNIX) あり PAM(Pluggable Authentication Module)認 証(OM for UNIX)
なし。LDAP認 証 または統 合 認 証 のみ
ユーザおよび権 限 を構 成 するためのAPI opccfguser(OM for UNIX)
あり。ユーザ管 理 Webサービスおよびopr-user CLI
ユーザ・ロールと権 限 をエクスポート およびイ ンポート するためのCLI
opccfgdwn / upl(OM for UNIX) ovpmutil(OM for Windows)
ユーザ・ロールおよび権 限 をエクスポート およびインポート するた めのコンテンツ・マネージャCLIおよびコンテンツ・パックUI
ユーザ,ユーザ・ロール,ユーザ・グループの作成
OMユーザと権 限 をOMiに自 動 的 にインポート するためのツールは現 在 ありません。
ユーザの作 成 と権 限 の定 義 は,[管 理 ]> [ユーザ]> [ユーザ、グループ、およびロール]で手 動 で行 います。何 人 もいるオペレータの責 務 と権 限 を区 別 するには,複 数 のユーザ・ロールとグループを作 成 します。
始 める前 に,必 要 なロールとそのロールに関 連 する権 限 ,およびそれらのロールを割 り当 てるユーザとグループを 決 めておきます。
必 要 なユーザ・ロールと権 限 を最 初 に作 成 してから,必 要 なグループを作 成 し,それらにロールを割 り当 てま す。
注:ユーザは複 数 のグループのメンバーになることができます。また,グループをネスト して,親 グループから権 限 を継 承 することもできます。
最 後 の手 順 として,必 要 なユーザを作 成 します。LDAPを使 用 している場 合 は,初 回 ログイン時 にユーザを自 動 的 に作 成 し,LDAPのグループ・メンバーシップに基 づいてOMiのユーザ・グループ・メンバーシップを作 成 でき
ます。詳 細 については,『管 理 ガイド 』> 「ユーザ」> 「認 証 管 理 」> 「LDAP認 証 とマッピング」を参 照 してくださ い。
オペレータ責務ごとのビュー作成
OMiでは,ビューへのアクセスを許 可 または禁 止 することで,責 務 の範 囲 を定 義 できます。オペレータがRTSM のコンテンツやイベント をフィルタ処 理 する場 合 にもビューは使 用 されます。そのため,RTSMビューの選 択 または 作 成 は必 要 です。
たとえば,データベース・オペレータ・グループに対 し,EMEAの全 データベースのうちイベント と状 況 の情 報 にしか アクセスを許 可 しない場 合 は,EMEAのデータベース・システムだけが表 示 されるカスタム・ビューを作 成 します。
それ以 外 のオペレータ・グループに対 しては,設 定 済 みのビューを選 択 するか,他 の適 切 なビューを作 成 しま す。1つのオペレータ・グループには複 数 のビューを定 義 できます。
できるだけパターン・ビューを使 用 してください。パターン・ビューは,RTSMに新 しいCIができると自 動 的 に更 新 されるからです。手 動 で管 理 されているインスタンスベースのビューは,動 的 な環 境 には通 常 は適 しません。
注:ビューに,イベント を表 示 するCIがすべて含 まれていることを確 認 してください。たとえば,あるイベント がインタフェースCIにマッピングされており,ビューにはコンピュータCIはあるものの基 盤 となるインタフェース CIがない場 合 ,そのビュー・フィルタを使 用 してもイベント は表 示 されません。
ユーザ・グループ割り当てルールの作成
複 数 のオペレータ・グループと,それらがアクセスするビューを定 義 したら,受 信 したイベント をオペレータ・グループ のいずれかに自 動 的 に割 り当 てる,ユーザ・グループ割 り当 てルールを作 成 することをお勧 めします。手 動 で行 う 場 合 は,組 織 内 で特 別 なディスパッチャ・ロールを定 義 し,ディスパッチャが手 動 でイベント をオペレータ・グループ に割 り当 てます。
割 り当 て後 ,グループの各 オペレータは,イベント に対 する上 位 権 限 を得 て,イベント の変 更 ,終 了 が可 能 に なります。
自 動 割 り当 てルールを定 義 するには,[管 理 ]> [イベント 処 理 ]> [自 動 化 ]> [ユーザ グループの割 り当 て]
に移 動 します。
注:割 り当 てルールでは,前 の手 順 で作 成 したビューを再 利 用 できます。そのようなビューにある,CIに関 連 するイベント は,指 定 したユーザ・グループに自 動 的 に割 り当 てられます。
次 の図 は,さまざまなビューとイベント ・フィルタが表 示 された[イベント の自 動 化:ユーザ グループの割 り当 て]を 示 しています。