ここでは、Information Integratorを利用するユーザーの種類について説明します。
3.1 ユーザーの種類
Information Integratorで管理するリソース(定義、データ)に対しては、Information Integrator内で利用者権限を設定し、リソース操作ご とに認証することで、リソースの保護を行います。
Information Integratorを利用するためのユーザーの種類には、以下があります。
・ Information Integrator特権ユーザー
・ Information Integrator運用ユーザー
各ユーザーについて、説明します。
Information Integrator特権ユーザー
Information Integratorのすべてのリソース操作が可能な唯一のユーザーです。以降、特権ユーザーと呼びます。特権ユーザーは、以 下の条件を満たしている必要があります。
注意
ユーザーIDに以下の文字は利用できません。
半角空白、!、$、%、&、’、(、)、^、~、{、}、#
Windowsの場合
・ Administratorsグループに属していること
・ 以下のOS権限があること
- オペレーティングシステムの一部として機能
- クォータの増加(プロセスのメモリクォータの増加)
※Administratorsグループであれば、デフォルトで付与されます。
- サービスとしてログオン
- トークンオブジェクトの作成
- プロセスレベルトークンの置き換え 権限を付与する手順を以下に示します。
1. コントロールパネルの管理ツールのローカルセキュリティポリシーを開きます。
2. [セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]で該当のポリシーを選択し、利用者IDを追加します。
UNIXの場合
rootユーザーを指定してください。
Information Integrator運用ユーザー
Information Integratorで提供するコマンドやIII Studio、運用管理クライアント、デザインシートの登録などを操作して運用する、サーバ
OSにログイン可能な一般ユーザーです。
運用ユーザーに付与される権限(どのリソースに対して、どのような操作が可能か)は、あらかじめ特権ユーザーが定めた設定に従いま す。
注意
ユーザーIDに以下の文字は利用できません。
半角空白、!、$、%、&、’、(、)、^、~、{、}、#
UNIXの場合
インストール時に指定したグループに属しているユーザーである必要があります。
クラスタ運用時は、必ず運用側、待機側システムともに同じグループを指定してインストールしてください。グループ名(例えば「sys」や
「iii」など)ではなく、グループID(数値)を同一にしてください。
・ Solarisの場合
「/usr/bin/id -a」の出力結果の「gid(一次グループ)」と「groups(二次グループ)」が同じであることを確認してください。
・ Linuxの場合
「/usr/bin/id -a」の出力結果の「gid(一次グループ)」と「所属グループ(二次グループ)」が同じであることを確認してください。
例
インストール時に指定したグループが「iii」(gid=7002)の場合
Information Integrator運用ユーザーとしてのユーザーの利用可否について、「/usr/bin/id -a」の出力結果別に説明します。
なお、以下の出力例は、実際の出力例とは一部異なります。上記の説明に必要な内容のみ抜粋して説明しています。
・ 利用可能
「gid」が同一のため、利用可能です。
uid=6001(iiiuser) gid=7002(iii) groups=7002(iii),7003(apgrp)
・ 利用不可
「gid」が異なるため、利用できません。
uid=6002(iiiuser2) gid=7003(apgrp) groups=7002(iii),7003(apgrp)
3.2 各ユーザーの操作範囲
各ユーザーは、以下の操作を行うことが可能です。
操作 操作内容 特権ユーザー 運用ユーザー
権限付与の可否 セットアップ Information Integratorの動作環境をセット
アップします。
○ ×
注1 起動/停止 Information Integratorの環境を起動/停止
します。以下を起動/停止できます。
・ Information Integratorサーバ
・ Symfoware Server
定義操作 III Studioまたは、デザインシートで定義を
作成して、実行環境に登録します。
○
III Studioまたは、デザインシートで定義を
参照します。
○
操作 操作内容 特権ユーザー 運用ユーザー 権限付与の可否 処理プロセス操作・運用 処理プロセス実行および監視操作を行い
ます。
○ 注2 データ参照 異常時など必要に応じてデータを参照しま
す。
注3
○:権限付与可能
×:権限付与不可
必ず特権ユーザーが行う操作です。
注1:Windowsの場合、Administratorグループに属す他のユーザーIDでも実行可能ですが、特権ユーザーと同じOS権限が必要と
なります。そのため、特権ユーザーで実行するようにしてください。
注2:処理プロセスをグルーピングし、グループ単位に処理プロセス操作・運用が可能なユーザーを設定します。
処理プロセスグループの設計は、“3.3 処理プロセスの操作・運用を行う運用ユーザーの設計”を参照してください。
注3:処理プロセスの実行中に格納したデータは、処理プロセスを実行した運用ユーザーのみが参照できます。
権限の設定方法
特権ユーザーの設定および定義操作を行う運用ユーザーの権限の設定は、“セットアップガイド”を参照してください。
処理プロセス操作・運用を行う運用ユーザーの権限の設定については、“3.3 処理プロセスの操作・運用を行う運用ユーザーの設計”
を参照してください。
3.3 処理プロセスの操作・運用を行う運用ユーザーの設計
処理プロセスの操作・運用を行う運用ユーザーを決めます。
以下のように、Information Integratorで運用する処理プロセスを、グルーピングします。グルーピングした処理プロセスごとに、操作・運 用するユーザーを決めます。
図3.1 運用ユーザーの設計
権限の設定方法
処理プロセスのグループIDは、III Studioまたは、デザインシートのプロセス定義に入力します。
また、各プロセスグループに対する運用ユーザーの権限付与は、「ifiuserctl(ユーザー権限操作)」コマンドで行います。詳細は、“コマ ンドリファレンス”を参照してください。
ポイント
運用管理クライアントで表示される処理プロセス
運用管理クライアントでは、操作・運用が可能な処理プロセスのみ表示されます。上述の例の「ユーザーB」に対しては、運用管理クラ イアントで「プロセスグループa」に属するプロセス1~プロセス3は表示され、「プロセスグループb」に属するプロセス4およびプロセス5 は表示されません。
注意
統合管理オプションとファイル転送エージェントを併用する場合
統合管理オプションとファイル転送エージェントを併用する場合、ファイル転送エージェントごとに一意なプロセスグループ名を設定 し、各ファイル転送エージェントで必要な定義のみが参照できるようにしてください。
統合管理オプションとファイル転送エージェントを併用する場合についての詳細は、“セットアップガイド”を参照してください。