役割ベース・アクセス制御 (RBAC) の管理
IBM WebSphere Business
Integration Server には、役割を使用してシステムにアクセスするユーザーに権限を付与することが可能な、役割ベース・アクセス制御 (RBAC) という主要な機能があります。役割は、管理者が容易に定義してユーザー・グループに割り当てることができ、鍵コンポーネントへのアクセスを検証済みのユーザーに制限します。役割は、機能関連とともに割り当てることができ、管理上の負担を大幅に軽減することが可能です。1 人または複数のユーザーに役割を割り当てることにより、役割定義に記述されているシステムのコンポーネントにのみアクセスを許可します。
RBAC 機能を使用することにより、管理者または役割を管理する許可を持つユーザーだけが、ユーザーを作成して役割を割り当てることができるようにします。RBAC がサーバーでアクティブになっていない場合は、任意のユーザーが検証なしでユーザーと役割を作成できます。
注:
InterChange Server Express で RBAC をアクティブにすると、System Manager 画面に RBAC 実行時状況が表示されます。
役割ベース・アクセス制御については、RBAC のセットアップ手順を参照してください。
注:
Failed Events Manager は、RBAC 機能を使用して、失敗したイベント情報に対するアクセス制御を管理する役割を確立します。
このセクションの内容は次のとおりです。
RBAC のセットアップ手順
RBAC の非アクティブ化手順
役割の管理
ユーザーの管理
ユーザーおよび役割の割り当ての管理
セキュリティー・ポリシー許可の管理
メンバーシップおよびセキュリティー・ポリシー情報の管理
セキュリティー管理
RBAC のセットアップ手順
RBAC をセットアップする前に、少なくとも 1 人のユーザーを管理者の役割に割り当てる必要があります。管理者役割に割り当てられているユーザーがいないと、サーバーは必ず RBAC を使用不可にしてリブートします。役割ベース・アクセス制御をセットアップするには、以下の手順を実行します。
- 「セキュリティー: RBAC」タブ (サーバーの「構成を編集」コンテキスト・メニューにある) で、「RBAC の使用可能化」のチェック・ボックスを選択します。
- 役割ベース・アクセス制御を適用するユーザー・レジストリー、つまり「リポジトリー」または「LDAP」を選択します。
注:
LDAP ユーザー・レジストリーを選択する場合は、正常な機能を保証するために、サーバーのプライバシー鍵ストアをセットアップしておく必要があります。
- 「サーバー開始ユーザー名 (Server Start User Name)」フィールドで、サーバーを始動するユーザー名を入力します。
- 「サーバー開始パスワード」フィールドで、ユーザー名に関連付けられているパスワードを入力します。
- 「リポジトリー」を選択した場合は、以下のフィールドに詳細を入力します。
- ホスト名
- データベース
- ポート番号
- ユーザー名
- パスワード
- 最大接続数。ユーザーが開くことのできる接続の最大数
- 最大接続再試行回数。接続の開始を試みることができる最大回数
- 接続再試行間隔。接続の再試行間の時間
- 「LDAP」を選択した場合は、以下のフィールドに詳細を入力します。
- LDAP URL。LDAP インストールの URL
- ユーザー名。ユーザー・アカウントのことで、大文字と小文字の区別なし
- パスワード。ユーザー・アカウントに対応するパスワード
- ユーザーベース DN。ベースの識別名で、すべての検索と更新のルートとして動作する
- ユーザー名属性。InterChange Server がユーザー名として使用するスキーマ内の属性
- 検索条件。LDAP ユーザーを検索するときに使用する検索条件で、オプション
- 最大検索リターン数。検索によって戻される最大エントリー数
- SSL。True に設定すると、SSL プロトコルを使用して接続を保護する
- 「監査」設定をオンにするには、「監査の使用可能化」のチェック・ボックスを選択し、以下のフィールドに詳細を入力します。
- 監査ログ・ディレクトリー。監査ログ・ファイルへのパス
- 監査ログの頻度。毎日、毎週、または毎月など
- 監査ファイルのサイズ。監査ファイルの最大サイズ (MB)
RBAC の非アクティブ化手順
RBAC を非アクティブ化するには、以下の手順を実行します。
- 「セキュリティー: RBAC」タブで、「RBAC の使用可能化」のチェック・ボックスを選択します。RBAC 機能を使用不可にすると、表示のすべてのフィールドがグレー表示になります。
役割の管理
役割ベース・アクセス制御 (RBAC) では、役割に基づいて、複数のユーザーと拡張されたセキュリティー機能をサポートします。役割は、共通の機能性を共用するユーザーの集合です。役割に機能を割り当てることにより、管理者は許可の割り当て時の管理者にかかる負荷を軽減できるので、管理者の作業効率を向上させることができます。
サーバーが機能するため役割が不要になった場合は、リストから役割を削除することも選択できます。一度役割が削除されると、すべての役割参照は、該当するユーザーから除去されます。
注:
Failed Events Manager も、RBAC 機能を使用して、失敗したイベント情報に対するアクセス制御を管理する役割を確立します。
役割の作成手順
役割を作成するには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、リストからユーザーと役割を選択します。
- 「ユーザーおよび役割の管理」タブで、「役割」タブを選択します。
- メインの役割フォルダーを右マウス・ボタンでクリックし、「新規役割」を選択します。「役割名」ダイアログ・ボックスが表示されます。
- 役割名を入力します。役割に一度付けた名前は、変更できません。
- 必要な場合は役割記述を入力します。役割記述はオプションのフィールドです。
- 「OK」を選択します。
役割の削除手順
役割を削除するには、以下の手順を実行します。
注:
administrator 役割はデフォルトであり、削除できません。大文字と小文字が区別されます。
- サーバー名を右マウス・ボタンでクリックし、リストからユーザーと役割を選択します。
- 役割を右マウス・ボタンでクリックし、「役割の削除」を選択します。
- プロンプトが出されたら、「OK」を選択して役割を削除します。一度削除した役割は、リストアできません。
ユーザーの管理
「ユーザーおよび役割の管理」画面では、ツリー・ディレクトリー表示の下方に役割がリスト表示されます。ユーザーを任意の数の役割に割り当てることができます。役割に割り当てられたユーザーは、割り当てられた役割の下のツリー・ディレクトリーにリスト表示され、許可と責任をすばやく簡単にスキャンすることができるようになっています。
また、ユーザー情報をインポートまたはエクスポートして、RBAC 機能で使用できます。
ユーザーの追加手順
RBAC にユーザーを追加するには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、リストからユーザーと役割を選択します。
- 「ユーザーおよび役割の管理」タブで、「ユーザー」タブを選択します。
- メインのユーザー・フォルダーを右マウス・ボタンでクリックし、「新規ユーザー」を選択します。「ユーザーの作成」ダイアログ・ボックスが表示されます。
- 「ユーザー名」フィールドで、ユーザーの名前を入力します。
- 「パスワード」フィールドで、ユーザーのパスワードを入力します。
- パスワードを確認します。
- 「識別名」、「共通名」、および「姓」の各フィールドに情報を追加します。
- 「OK」を選択します。
ユーザーの削除手順
RBAC からユーザーを削除するには、以下の手順を実行します。
注:
Guest は唯一のデフォルト・ユーザーであり、削除できません。
- サーバー名を右マウス・ボタンでクリックし、リストからユーザーと役割を選択します。
- ユーザーを右マウス・ボタンでクリックし、「ユーザーを削除」を選択します。
- プロンプトが出されたら、「OK」を選択してユーザーを削除します。ユーザーを削除すると、すべての事前割り当ての役割からユーザーが除去されます。
ユーザーとパスワードのインポート手順
RBAC にユーザーとパスワードをインポートするには、以下の手順を実行します。
注:
DATABASE がユーザー・レジストリーの場合は、ユーザーをインポートする場合のサポートを使用可能です。ただし、この機能は LDAP ユーザー・レジストリーではサポートされていません。中央ユーザー・レジストリー・データベースまたは中央 LDAP レジストリーを作成し、さまざまな InterChange Server Express マシン全体でユーザー・レジストリーを転送するのではなく、複数の InterChange Server Express マシンがこの中央リポジトリーを使用できるようにする方法をお勧めします。
- サーバー名を右マウス・ボタンでクリックし、「インポート」>「ユーザー・レジストリー」を選択します。これにより「インポート」ダイアログ・ボックスが表示されるので、バイナリー・ファイルへのパスを指定します。このパスは、InterChange Server Express を実行しているサーバー・マシンで有効なパスにしてください。
- インポートするファイルを選択します。
ユーザーとパスワードのエクスポート手順
RBAC にユーザーとパスワードをエクスポートするには、以下の手順を実行します。
注:
DATABASE がユーザー・レジストリーの場合は、ユーザーをエクスポートする場合のサポートを使用可能です。ただし、この機能は LDAP ユーザー・レジストリーではサポートされていません。中央ユーザー・レジストリー・データベースまたは中央 LDAP レジストリーを作成し、さまざまな InterChange Server マシン全体でユーザー・レジストリーを転送するのではなく、複数の InterChange Server Express マシンがこの中央リポジトリーを使用できるようにする方法をお勧めします。
- サーバー名を右マウス・ボタンでクリックし、「エクスポート」>「ユーザー・レジストリー」を選択します。これにより「エクスポート」ダイアログ・ボックスが表示されるので、ファイル・パスを指定できます。
- ファイルのエクスポート先を選択します。このパスは、InterChange Server を実行しているサーバー・マシンで有効なパスにしてください。
ユーザーおよび役割の割り当ての管理
使用可能なユーザーに役割を割り当てると、個々の許可を重要な機能に割り当てるために管理者にかかる負荷が大幅に軽減されます。ユーザーに、数多くの役割を割り当て、すべてをユーザーのログイン ID によって規定することができます。役割に割り当てられたユーザーは、割り当てられた役割の下にあるツリー・ディレクトリーにリスト表示されます。ユーザーに役割を割り当てるには、以下の手順を実行します。
ユーザーへの役割の割り当て手順
ユーザーに役割を割り当てるには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、ユーザーと役割を選択します。
- リストから、役割を割り当てる先のユーザーを選択します。
- ユーザー名を右マウス・ボタンでクリックし、「役割の追加」を選択します。これにより「役割の追加」ダイアログ・ボックスが表示され、すべての選択可能な役割がリスト表示されます。
- 1 つまたは複数の役割を選択してユーザーに割り当てます。
- 「OK」を選択します。
役割からのユーザーの除去手順
役割リストからユーザーを除去するには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、ユーザーと役割を選択します。
- リストから、役割許可から除去するユーザーを選択します。
- ユーザー名を右マウス・ボタンでクリックし、「役割の除去」を選択します。
- プロンプトが出されたら、「OK」を選択します。これにより、役割リストからユーザーが除去され、ユーザー・プロファイルからすべての役割許可が除去されます。
セキュリティー・ポリシー許可の管理
管理者は、RBAC 内のデフォルト役割に許可を割り当てることができます。これらのセキュリティー・ポリシーは、各役割がアクセスするのを許可された操作とともに、ツリー・ディレクトリーにリストされます。
表 16 は、サーバーで保護可能な操作のリストです。
表 16. 保護されたサーバーの操作
保護可能なコンポーネント |
アクセス制御された操作 |
サーバー |
- 開始
- シャットダウン
- セキュリティー/ユーザーの管理/役割
- モニター
- 失敗したイベントの表示
- 配置
- エクスポート
- 削除
- コンパイル
- 構成ファイルのエクスポート
- 構成ファイルの配置
|
コラボレーション・テンプレート |
- コンパイル
|
コラボレーション・オブジェクト |
- 開始
- 停止
- 一時停止
- シャットダウン
- 実行 (AccessFramework 呼び出し)
- トランザクション状況の解決
- 失敗したイベントのサブミット
- 失敗したイベントの削除
- LLBP フローの取り消し
|
コネクター |
- 開始
- 停止
- 一時停止
- ShutDown エージェント
- 失敗したイベントのサブミット
- 失敗したイベントの削除
|
ビジネス・オブジェクト |
|
ビジネス・ルール |
- 開始
- 停止
- 一時停止
|
マップ |
- コンパイル
- 開始
- 停止
|
関係 |
- 開始
- 停止
|
BenchMark |
- 開始
- 停止
|
スケジューラー |
|
DBConnectionCache |
|
メンバーシップおよびセキュリティー・ポリシー情報の管理
管理者は、RBAC 機能で使用するメンバーシップとセキュリティー・ポリシー情報を任意の許可サーバーからインポートできます。逆に、メンバーシップとセキュリティー・ポリシー情報をファイルにエクスポートし、追加のサーバーで使用したり保管したりできます。
メンバーシップおよびセキュリティー・ポリシー情報のインポート
メンバーシップおよびセキュリティー・ポリシー情報をインポートするには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、「役割およびセキュリティー・ポリシーのインポート」を選択します。これにより「インポート」ダイアログ・ボックスが表示されるので、ファイル・パスを指定できます。
- インポートするファイルを選択します。「ユーザーおよび役割の管理」ビューがアクティブのときに情報をインポートする場合は、ビューを閉じてもう一度開くまで、変更内容が表示されません。
注:
また、
repos_copy を使用して、
-xmsp オプションにより情報をインポートすることもできます。repos_copy の使用については、
repos_copy の使用を参照してください。
メンバーシップおよびセキュリティー・ポリシー情報のエクスポート
メンバーシップおよびセキュリティー・ポリシー情報をエクスポートするには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、「役割およびセキュリティー・ポリシーのエクスポート」を選択します。これにより「エクスポート」ダイアログ・ボックスが表示されるので、ファイル・パスを指定できます。
- ファイルのエクスポート先を選択します。
注:
また、
repos_copy を使用して、
-xmsp オプションにより情報をエクスポートすることもできます。repos_copy の使用については、
repos_copy の使用を参照してください。
セキュリティー管理
管理者は、セキュリティー管理機能を使用して、RBAC 内での役割の使用状況をモニターできます。InterChange
Server Express は、アクティブ・ユーザーをテーブルにリスト表示し、ユーザー名、セッション ID、およびユーザーがサーバーにログオンしている合計時間を一緒に表示します。
注:
ユーザーのリストは、時折最新表示し、ユーザー表示の精度を維持することをお勧めします。コンテキスト・メニューで「最新表示」オプションを選択し、ユーザー・リストを最新表示してください。
アクティブ・ユーザーの表示
アクティブ・ユーザーを表示するには、以下の手順を実行します。
- サーバー名を右マウス・ボタンでクリックし、セキュリティー管理を選択します。これによりダイアログ・ボックスが開き、すべてのアクティブ・ユーザーがテーブル形式で表示されます。
アクティブ・ユーザーのログアウト
アクティブ・ユーザーをサーバーからログオフするには、以下の手順を実行します。
- すべてのセッションからユーザーをログアウトするには、アクティブ・ユーザー・リストからログアウトするユーザーを選択します。
- 選択したセッションからユーザーをログアウトするには、「ログアウト・セッション」を選択します。
