アクセス制御では、ユーザに権限を設定し、ユーザの識別、認証によりアクセスを管理します。システム内で、役割に応じてユーザにどのようなアクセス権を与えるかを整理し、管理することが重要となります。
適切なアクセス制御を行うことで、セキュリティ面において以下の効果があげられます。
権限のないユーザからのアクセスの防止やデータの不当な削除・改ざんなどの破壊行為を防止できます。
職務を越えたユーザからの誤操作を防止できます。
プロジェクトに対するアクセス制御
システム管理者または運用管理者が、プロジェクト単位で運用担当者のアクセス権を設定することにより、運用担当者の役割(権限)を限定することができます。
職務に応じて必要最小限の権限を与えられるため、職務担当以外の操作ミスによるトラブルや、職務を越えた行為のトラブルがなくなり、セキュリティ上、より安全に稼働させることができます。
例えば、以下のように、業務設計の担当者には登録権のみを、業務の操作担当者には操作権のみを与える等、職務に応じた権限だけを適切に割り当てるようにします。これにより、業務設計を担当する業務登録者が誤って運用操作を行ってしまうなど、作為・無作為に関わらず越権操作を防止することができます。
プロジェクトに設定できるユーザ種別とその役割については、以下のとおりです。
ユーザ種別 | 役割 |
|---|---|
システム管理者 | Systemwalker Operation Manager各種動作環境の設定、プロジェクトの登録/削除/アクセス権の設定を行う運用管理者 (自動的に更新権となります) |
更新権を持つ運用担当者 | 許可されたプロジェクト配下のグループ/ジョブネット/ジョブの更新/登録/操作/参照を行う |
登録権を持つ運用担当者 | 許可されたプロジェクト配下のグループ/ジョブネット/ジョブの登録/参照のみを行う |
操作権を持つ運用担当者 | 許可されたプロジェクト配下のグループ/ジョブネット/ジョブの操作/参照のみを行う |
参照権を持つ運用担当者 | 許可されたプロジェクト配下のグループ/ジョブネット/ジョブの参照のみを行う |
設定方法の詳細については、“Systemwalker Operation Manager 使用手引書”の“プロジェクトにアクセス権を設定する場合”を参照してください。
また、ユーザ種別ごとに利用可能なメニュー項目や操作、コマンド、APIについては、“Systemwalker Operation Manager 導入手引書”の“アクセス権別の利用可能項目一覧”を参照してください。
参考
ユーザに複数のアクセス権が設定されている場合について
以下の場合、アクセス権の中で一番強い権限(更新権>登録権・操作権>参照権)を持つ方が有効になります。
ユーザとユーザが属しているグループに、異なるアクセス権が設定されている場合
コマンドまたはAPIを実行したOSユーザが、複数のOperation Managerユーザ(運用管理者/運用担当者)に対応づけられており、異なるアクセス権が設定されている場合【UNIX版】
なお、上記の場合で一方に登録権、もう一方に操作権が設定されている場合、両方の権限が有効となります。
Systemwalker Operation Managerのディレクトリ、ファイルに対するアクセス制御
Systemwalker Operation Managerに関係するディレクトリ、ファイルへのアクセスを許可するユーザを、以下に限定できます。
システム管理者、運用管理者およびswadminグループに所属しているユーザ
ファイル、ディレクトリのオーナーおよびswadminグループに所属しているユーザ
許可するユーザを上記に限定する場合は、[Operation Manager共通パラメタの定義]ウィンドウで[Operation Manager利用者の限定]をチェックします。
システム管理者は、Systemwalker Operation Managerを利用するユーザすべてをswadminグループに登録してください。
また、チェックした場合、以下の機能の使用が、システム管理者、運用管理者およびswadminグループに所属しているユーザに限定されます。
デマンドジョブの起動
ジョブ実行制御属性のジョブネット起動
ジョブスケジューラのコマンド
なお、監査ログファイルの出力先は個別に設定が必要です。詳細については、“Systemwalker Operation Manager 導入手引書”の“利用者制限の定義”を参照してください。
