CA ControlMinderエンタープライズ管理 SAM「動的リゾルバ」を使用するための設定

Document created by Kayo_Takeda Employee on Mar 25, 2015Last modified by Tomo_Fujita on Aug 4, 2015
Version 3Show Document
  • View in full screen mode

文書番号: JTEC000161

 

製品名:Privileged Identity Manager

 

バージョン: CA ControlMinderエンタープライズ管理 SAM r12.7 以降

OS: Windows

◆ 内容

CA ControlMinderエンタープライズ管理 SAMの「特権アカウント要求」タスクのイベントの設定で参加者リゾルバに「動的リゾルバ」を使用する際に必要な設定について解説します。なお、本資料ではr12.8 GAの画面ショットを使用しています。

注:
設定手順にはJBoss関連のものが含まれています。JBoss関連の設定はエンタープライズ管理のバージョンアップ、CF(集積フィックス)適用時には維持されませんので、ご注意ください。

◆ 詳細内容

◆シナリオ

要件:
「特権アカウント要求」タスクで承認者を指定するとき、特権アカウント要求を申請したユーザのユーザ属性「City(市)」にあらかじめグループ名を格納しておき、そのグループに所属するユーザを承認者としたい。

この要件は、参加者リゾルバに「動的リゾルバ」を指定することで実現できますが、
この「動的リゾルバ」を使用する際に必要な設定について解説します。

superadmin システム管理ユーザ
requestor  特権アカウント要求を行うユーザ、属性City(市)に値GROUP-Aを設定
approver1  GROUP-Aに所属している特権アカウント要求を承認するユーザ
approver2  GROUP-Aに所属している特権アカウント要求を承認するユーザ

◆設定手順

1. 最初にJBossに関連する設定について解説します。

1-1. JBossを停止します。
1-2. 下記フォルダに移動します。
<JBOSS_HOME>¥server¥default¥deploy¥IdentityMinder.ear¥user_console.war¥app¥page¥special
1-3. ファイルrulebased_part_pol_editor.jspのバックアップをとります。
1-4. 上記ファイルを以下のように編集します。
(1) <% if (editorPage.canUseTaskSubject()) { %> の行を見つけます(25行目)。
(2) 上記の行に対応した <% } %> の行を見つけます(37行目)。
(3) 上記で見つけた2行をコメント化(jspコメント形式)あるいは削除します。
(4) 26行目の<tr class="wsui-table-row-odd">内に style="display: none;" を追加します。
(5) 保存します。

上記編集後のイメージ(jspコメント化):

1-5. 下記フォルダ下のサブフォルダを全て削除し空にします。
 <JBoss_HOME>¥server¥default¥tmp
 <JBoss_HOME>¥server¥default¥work
1-6. JBossを開始します。

注:
上記設定後にエンタープライズ管理のアップグレードあるいはCF適用を行うと、上記で編集した内容は上書きされてしまいます。アップグレード/CF適用の際には事前に編集したファイルのバックアップを採取しておいてください。アップグレード/CF適用後に差分をチェックし、バックアップからの戻し、あるいは再設定を行ってください。
なお、テストフィックス適用時も上記があてはまる場合がありますので、ご注意ください。

2. 次に「特権アカウント要求」タスクの設定について解説します。

2-1. エンタープライズ管理WEB UIにsuperadminでログインします。
2-2. 「ユーザおよびグループ」→「タスク」→「管理タスクの変更」と進みます。
2-3. 条件で「名前」=「*priv*acc*req*」と入力し「検索」をクリックします。
2-4. リストから「特権アカウント要求」を選択し「選択」をクリックします。
2-5. 「イベント」タブをクリックします。
2-6. タブタグ「privilegedAcccountRequest」の左にある「編集アイコン」をクリックします。
2-7. 「参加者リゾルバ」のドロップダウンから「動的リゾルバ」を選択します。
2-8. 「承認者」のドロップダウンから「グループメンバ」、「属性」のドロップダウンから「City」を選択します。
画面イメージ:

2-9. 「OK」ボタンをクリック します。
2-10. 「サブミット」ボタンをクリックします。

これで「特権アカウント要求」タスクの設定は完了です。

補足:
1.のJBoss設定の確認方法として、2-7.で「動的リゾルバ」を選択した後、Web ブラウザの「表示」→「ソース」でソースを表示させ、以下の画面の赤枠内が確認できれば、1.の設定が正しく行われたと判断できます。

◆動作の確認

1. ユーザの確認。
1-1. エンタープライズ管理WEB UIにsuperadminでログインします。
1-2. ユーザrequestorの属性「City(市)」に「GROUP-A」が設定されていることを確認します。
1-3. グループGROUP-Aにユーザapprover1、approver2が所属していることを確認します。

2. 特権アカウント要求の申請と承認の確認。
2-1. エンタープライズ管理WEB GUIにrequestorでログインし、特権アカウント要求を申請します。
2-2. エンタープライズ管理WEB GUIにapprover1でログインし、requestorからの特権アカウント要求申請がワークリストに表示されることを確認します。

2-3. エンタープライズ管理WEB GUIにapprover2でログインし、requestorからの特権アカウント要求申請が、同様にワークリストに表示されることを確認します。

以上

Attachments

    Outcomes