ターゲットを管理する
- 印刷する
ターゲットを管理する
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
ターゲット管理は通常、ターゲットとアカウントの同期(ターゲットのアカウント、パスワードをiDoperationで登録、変更、削除出来る状態)を行いますが、ターゲットとアカウントの同期を行わない方法をとる事も出来ます。
ターゲット管理には大きく、ターゲットをグルーピングしたグループの管理と、ターゲット自身の管理の2つがあります。
大量のターゲットを管理する場合はターゲットをグルーピングして管理する事を推奨します。
ターゲットグループの管理については『ターゲットグループ管理』を、ターゲット自体の管理については『ターゲット管理』を参照してください。
管理出来るターゲットの種類については、『対応ターゲット一覧』を確認してください。
また、各ターゲットを管理するためには、ターゲットごとに前提条件や制約があります。前提条件・制約については『ターゲット前提条件・制約』 を確認してください。
ターゲット画面
ターゲット画面について説明します。
ターゲット管理は、iDoperation Web Consoleの「ターゲット」画面から行います。
ターゲットグループ管理
ターゲットをグルーピングして、階層構造で管理する事が出来ます。
階層構造で管理する事で、上位階層に付与したアカウントポリシーを下位階層のターゲットやターゲットグループが継承出来ます。
左ペインに階層構造を、右ペインに選択したグループに所属するターゲット、ターゲットグループの一覧、またはターゲットを選択した場合は、ターゲットのアカウントが表示されます。
ターゲット一覧項目
No | 設定項目 | 概要 |
1 | 追加 | ターゲット/ターゲットグループを追加します。 |
2 | 削除 | チェックボックスを選択し、選択したターゲット/ターゲットグループを削除します。 |
3 | ダウンロード | 全ターゲット情報をCSVファイルでダウンロードする事が出来ます。 |
4 | <ターゲット/ターゲットグループ> | ターゲット/ターゲットグループの内容を参照、変更する場合は参照、変更するターゲット/ターゲットグループをクリックします。 |
ターゲットグループの作成
新規にターゲットグループを作成する事が出来ます。
ターゲットグループは、階層トップであるルート直下あるいは、すでに作成済みのターゲットグループ下に作成する事が出来ます。
すべての階層を通じて、同じ名称のターゲットグループは作成する事が出来ません。
1.「ターゲット」画面の左ペインのターゲットツリーで、新しくターゲットグループを作成したい階層、ルートまたは作成済みのターゲットグループを選択します。
次に、右ペインの「追加」ボタンをクリックしプルダウンメニューから「グループ追加」をクリックします。
2.「グループ追加」画面で、グループ情報を設定し、「追加」ボタンをクリックします。
ターゲットツリーから、グループが追加されている事を確認してください。
グループ追加項目
No | 設定項目 | 概要 |
1 | グループ名 | グループ名を設定します。 |
2 | 所属グループ | ルート、もしくは上位グループを選択します。 |
3 | メモ | メモを入力します。 |
4 | ポリシー | ポリシーの規定値は、上位階層の所属グループから自動継承していますが、異なるポリシーを選択する事もできます。 |
ターゲットグループの詳細
ターゲットグループ情報を参照、変更、更に表示しているターゲットグループを削除する事が出来ます。
ターゲットグループにターゲットまたはターゲットグループが所属している場合、そのターゲットグループを削除する事は出来ません。
所属するターゲットグループを変更した場合、変更したターゲットグループに、直下のターゲットグループ含めて移動します。アカウントポリシーは現在のポリシーを保持しますが、所属グループからの継承が設定されている場合は、移動先の直上にある階層のポリシーを継承するようになります。
1.「ターゲット」画面の左ペインのターゲットツリーで、ターゲットグループを選択して「詳細」タブをクリックします。
ターゲットグループ情報を変更する場合は、変更したい情報を変更し「変更」ボタンをクリックします。
削除したい場合は「削除」をクリックします。
グループ詳細項目
No | 設定項目 | 概要 |
1 | 変更 | グループ情報を変更します。変更したい項目を設定し、「変更」をクリックしてください。 |
2 | 削除 | グループを削除します。 |
設定項目については『ターゲットグループの作成』を参照してください。
ターゲットグループの権限管理
ターゲットグループに権限を設定する事で、指定したグループ配下のユーザに、ロールでセットされた権限を付与する事が出来ます。
ターゲット画面で、ターゲットグループを選択し「権限」タブをクリックします。
権限管理項目
No | 設定項目 | 概要 |
1 | 追加 | ターゲットグループにロール権限を追加します。 |
2 | 削除 | チェックボックスを選択し、選択したターゲットグループに付与されたロールを削除します。 |
3 | <ロール> | ロール名をクリックし、ロールの内容を参照します。 |
ターゲットグループの権限追加
ターゲットグループに権限を設定します。権限はあらかじめロール管理によって設定されている必要があります。
ロール管理については『ロールを管理する』を参照してください。
1.ターゲットグループの「権限」タブから「追加」をクリックします。権限割り当て画面が表示されます。
2.権限割り当て画面で、ターゲットグループに追加するロールを設定し「追加」をクリックします。
ターゲットグループのワークフロー
ターゲットグループに設定されているワークフローの詳細情報を確認する事が出来ます。
ターゲット画面で、ターゲットグループを選択し「ワークフロー」タブをクリックします。設定されているワークフローが表示されるので、ワークフローの内容を参照したい場合はワークフロー名をクリックしてください。
ターゲットグループにワークフローを設定する事で、ターゲットグループ直下のターゲットをワークフローの利用申請対象にする事が出来ます。
ターゲットグループのワークフロー設定は、『ワークフローを管理する』を参照してください。
権限管理項目
No | 設定項目 | 概要 |
1 | <ワークフロー> | ワークフロー名をクリックし、ワークフローの内容を参照します。 |
ターゲット管理
ターゲットをグルーピングして、階層構造で管理する事が出来ます。
階層構造で管理する事で、部署別、システム別などにグルーピングして管理する事が出来ます。
左ペインに階層構造を表示しています。左ペインでターゲットグループを選択した場合、右ペインに選択したグループに所属するターゲット、ターゲットグループの一覧を表示します。
また、左ペインでターゲットを選択した場合は、ターゲットのアカウントが表示されます。アカウントの管理は『アカウント管理』を参照してください。
ターゲット一覧項目(左ペインでターゲットグループを選択した場合)
No | 設定項目 | 概要 |
1 | 追加 | ターゲット/ターゲットグループを追加します。 |
2 | 削除 | チェックボックスを選択し、選択したターゲット/ターゲットグループを削除します。 |
3 | ダウンロード | 全ターゲット情報をCSVファイルでダウンロードする事が出来ます。 |
4 | <ターゲット/ターゲットグループ> | ターゲット/ターゲットグループの内容を参照、変更する場合は参照、変更するターゲット/ターゲットグループをクリックします。 |
ターゲットの追加
新規にターゲットを追加する事が出来ます。
ターゲットは、階層トップであるルート直下あるいは、すでに作成済みのターゲットグループ下に作成する事が出来ます。
すべての階層を通じて、同じ名称のターゲットは作成する事が出来ません。
※ターゲット種別や収集方式により設定項目は異なります。
※ターゲット登録のウィザードの画面で、登録内容によって「設定する項目はありません。」と表示されることがあります。その場合はそのまま「次へ」をクリックしてください。
1.「ターゲット」ページ左ペインのターゲットツリーで、新しくターゲットを追加したい階層、ルートまたは作成済みのターゲットグループを選択します。
次に、右ペインの「追加」ボタンをクリックしプルダウンメニューから「ターゲット追加」をクリックします。「ターゲット追加」画面が表示されます。
2.「ターゲット追加」画面の左ペインでは、ウィザードの進行状況を確認出来ます。
ここでは、ウィザードに従って設定を行います。
まずは、「はじめに」を確認し「次へ」をクリックし、ウィザードを進めます。
3.ターゲット種別を選択し「次へ」をクリックします。
4.「ターゲット管理方式」では、アカウント同期の有無、アクセスログ収集の有無などを選択し「次へ」をクリックします。
※アカウントの同期「しない」を選択すると、ターゲットからアカウント情報を取得しません。
5.「ターゲット接続情報」では、ターゲット情報を設定し「次へ」をクリックします。
※ターゲット管理方式でアカウントの同期「しない」を選択していると、「管理者アカウント」は表示されません。ただし「アクセスログの収集」を「する」かつ「収集方式」を「自動収集」としている場合は表示されます。
※管理者アカウント設定後「接続テスト」を実行し、ターゲットに接続出来る事を確認してください。接続テストに成功した場合、「接続テストに成功しました」と表示されます。
6.「ポリシー」では、アカウントポリシーを選択し「次へ」をクリックします。
アカウントポリシーはあらかじめポリシー管理で設定されている必要があります。
ポリシー管理については『ポリシーを管理する』を参照してください。
7.「アクセスログ収集」では、アクセスログの収集設定を行い、「次へ」をクリックします。
8.「スケジュール設定」では、パスワード一括変更、アカウント点検の実行スケジュールを設定し「次へ」をクリックします。
※「スケジュール設定」は、手順4のターゲット管理方式でアカウントの同期「しない」を選択した場合表示されません。
9.「ワンタイム特権ID貸出設定」では、ワンタイム特権ID貸出の利用有無、アカウント設定を行い「次へ」をクリックします。
10.「確認」では、今まで設定してきたターゲット情報が表示されます。問題が無ければ「次へ」をクリックします。ターゲットはこの段階で登録されます。
11.進行状況が「完了」になるとターゲット登録は完了しますが、「ターゲット管理方式」でアカウントの同期「する」を選択した場合は「アカウント同期・設定ウィザード」へ進む事が出来ます。
※「引き続き「アカウント同期・設定ウィザード」を使用する」にチェックを入れて「次へ」をクリックするとウィザードに進みます。
※アカウント同期・設定ウィザードは『アカウント同期・設定』を参照してください。
アカウントの同期「する」の場合
アカウントの同期「しない」の場合
アカウントの同期・設定
アカウント同期では、ターゲットのアカウント同期を「する」で設定したターゲットの場合、アカウントの同期とアカウントに対する操作制限、ワークフロー、監査設定、パスワード管理設定などを行います。
ターゲットのアカウント同期を「しない」で設定したターゲットの場合、アカウントに対するワークフロー、監査設定、パスワード管理設定などを行います。
ターゲット追加時に、ターゲット追加ウィザードから引き継いで処理を行う場合と(※)、すでに登録されているターゲット画面から、アカウント同期を行う事が出来ます。
※ターゲット追加ウィザードから継続して操作した場合、手順2の「アカウント同期」ウィザードから処理がはじまります。
1.ターゲット画面からアカウント同期・設定ウィザードを表示するには、ターゲット画面左ペインでターゲットを選択した後、「一覧」タブを選択し、「アカウント同期・設定」(※)をクリックします。
※アカウント同期を「しない」場合、ボタン名が「アカウント設定」です。
2.「はじめに」画面の左ペインでは、ウィザードの進行状況を確認出来ます。
ここでは、ウィザードに従って設定を行います。
まずは、「はじめに」画面で「次へ」をクリックします。
ターゲットがアカウントの同期「する」に設定されている場合、ウィザード画面は「アカウント同期」(手順3)へ、「しない」に設定されるターゲットの場合は「アカウント設定」(手順4)へ進みます。
※ターゲットがアカウントの同期「しない」に設定されているターゲットの場合は「アカウント同期」は出来ません。
3.「アカウント同期」画面では、ターゲットとのアカウント同期を行います。
「次へ」をクリックしてください。同期したアカウントが一覧で表示されます。
※アカウント同期には、アカウント数により時間がかかります。
4.アカウントを操作対象アカウントに設定するかを選択します。
操作対象にする場合は、アカウントを選択して右側の「操作対象アカウント」に移動してください。
移動したら「次へ」をクリックしてください。
初回のアカウント同期の場合
※2回目以降のアカウント同期の場合、iDoperationにアカウントが登録されていても、ターゲット側で削除されたアカウントはグレーに表示されるので、選択することは出来ません。
5.「アカウント設定」画面では、アカウントに対する、ワークフロー、監査設定、パスワード管理設定などを行います。
※登録済みのターゲットでアカウントの再同期を行った場合は、同一アカウントであれば同期前の設定が保持されます。
※iDoperationでアカウントを一度削除し、同じ名称でiDoperationにアカウントを作成した場合は、異なるアカウントとして扱うため、設定は保持されません。
6.完了画面が表示されます。「終了」でアカウント同期は完了です。
ターゲットの詳細
ターゲット情報を参照、変更、更に表示しているターゲットを削除する事が出来ます。
「ターゲット」画面の左ペインのターゲットツリーで、ターゲットをクリックし、「詳細」タブをクリックします。
ターゲット情報を変更する場合は、設定されている情報を変更し「変更」ボタンをクリックします。
削除したい場合は「削除」をクリックします。
ターゲットの権限
設定されている権限の詳細情報を確認する事が出来ます。
権限を確認したいターゲットを選択し、「権限」タブをクリックします。
次に、表示された権限一覧から確認したいロールをクリックします。ターゲット管理権限が表示されます。
ターゲットのワークフロー管理
設定されているワークフローの詳細情報を確認する事が出来ます。
ワークフロー設定を確認したいターゲットを選択し、「ワークフロー」タブをクリックします。
次に、表示されたワークフロー一覧から確認したいワークフローをクリックします。設定されているワークフローの情報が表示されます。
ターゲットのアカウント利用設定
ターゲットのアカウント利用設定では、ターゲットへのアクセス方法や利用するユーザを設定する事が出来ます。
アカウント利用設定を行う場合は、ターゲット画面で、ターゲットを選択し「アカウント利用設定」タブをクリックします。既に登録されているアカウント利用設定が表示されます。アカウント利用設定は、管理者が手動で設定したものと、申請・承認されて貸し出され、設定したものの2種類があります。
アカウント利用設定項目
No | 設定項目 | 概要 |
1 | 追加 | ユーザがアカウントを利用するための利用設定を手動で追加する事ができます。 |
2 | 削除 | 手動でアカウントに設定したアカウント利用設定を削除します。複数のアカウント利用設定を指定して削除する事ができます。申請・承認によって、設定したアカウント利用設定は削除できません。 |
ターゲットのアクセスログ管理設定
ターゲットのアクセスログ管理設定を変更する事が出来ます。
「ターゲット」ページ、左ペインのターゲットツリーで、ターゲットを選択します。
次に、右ペインの「アクセスログ管理」タブをクリックします。
アクセスログの管理設定を行い「変更」をクリックします。
Windowsの例
アカウント管理
ターゲットのアカウントを追加、変更、削除する事が出来ます。
ターゲットのアカウントの管理は、ターゲット画面で、ターゲットを選択し「一覧」タブから行います。
「一覧」タブでは、ターゲットで管理しているアカウントの一覧が表示されます。また、アクセスログを収集しているターゲットは、アカウントの一覧の項目でアカウントの「最終ログイン日時」が表示されます。
アカウント一覧項目(左ペインでターゲットを選択した場合)
No | 設定項目 | 概要 |
1 | 追加 | アカウントを追加します。 |
2 | 削除 | チェックボックスを選択し、選択したアカウントを削除します。 |
3 | アカウント設定 | アカウント設定を行うことができます。アカウント設定では、アカウント個別の操作制限、アカウント個別のワークフロー・利用点検設定、アカウント個別のパスワード管理設定を行うことができます。 |
4 | アカウント同期・設定 | アカウント同期・設定では、アカウント同期、アカウント個別の操作制限、アカウント個別のワークフロー・利用点検設定、アカウント個別のパスワード管理設定を行うことができます。 |
5 | ダウンロード | アカウント一覧に表示されているアカウント情報をCSVファイルでダウンロードする事が出来ます。 |
6 | <アカウント> | アカウントの内容を参照、変更する場合は参照、変更するアカウントをクリックします。 |
アカウント追加
iDoperation上にアカウントを追加する事が出来ます。ターゲット上には、アカウントが追加されません。
「一覧」タブで、「追加」ボタンをクリックします。アカウント情報を設定し「追加」をクリックすると、アカウントが追加されます。
アカウントの変更
ターゲットのアカウント情報を変更します。
1.ターゲットの一覧画面で参照したいアカウントをクリックします。
2.アカウントの詳細情報が表示されます。
変更したい情報を変更し「変更」ボタンをクリックすると、情報が変更されます。
・現在のパスワードを確認する場合「パスワードを表示」をクリックします。
鍵認証のターゲットの場合は秘密鍵をダウンロードできます。
・パスワードを変更する場合「パスワードを変更」をクリックし、パスワードを変更します。
ターゲットからアカウントを同期していない場合は、iDoperationのデータベースのみに変更したパスワードが反映され、ターゲット側には反映されません。
また、「iDoperationのパスワードのみ変更する」をチェックする事で、ターゲットがアカウント同期「する」に設定されている場合でも、ターゲット上のアカウントパスワードを変更せずに、iDoperation上のアカウントパスワードのみを変更する事が可能です。
※iDoperationのパスワードのみ変更する場合は、アカウントに「アカウント利用設定」が設定されているとオートログインやアカウントの貸出で、パスワードの不一致により、ターゲットへのログインが出来なくなる可能性があるため、注意してください。
※「パスワード変更対象」で「対象としない」と設定したアカウントの場合、「iDoperationのパスワードのみ変更する」はチェックされた状態となり、変更出来ません。
※鍵認証のターゲットの場合は「鍵認証を変更」ボタンが表示されます。鍵認証を変更する場合「鍵認証を変更」をクリックして秘密鍵、パスフレーズを変更します。ターゲットからアカウントを同期し、ターゲット側に変更した鍵が反映されます。ターゲットからアカウントを同期していない場合は、iDoperationのデータベースのみに変更した鍵が反映され、ターゲット側には反映されません。
アカウントのパスワード変更履歴
アカウントのパスワード変更履歴を参照できます。
ターゲットの一覧画面で参照したいアカウントをクリックします。
「パスワード変更履歴」タブを選択すると、アカウントのパスワード変更履歴が表示されます。
パスワード変更履歴を選択し、「選択したパスワードに戻す」をクリックすると、選択したパスワードに変更する事が出来ます。「選択したパスワードに戻す」操作をした場合も、変更履歴としてカウントされます。
参照元の確認
そのターゲットが指定されているターゲット(認証先ドメインやOSターゲットなど)の情報や、そのターゲットやアカウントが指定されている申請書を確認することができます。
ターゲットやアカウントの参照元に情報がある場合は、ターゲットやアカウントが使われているため削除することできません。使用中の申請の完了や、他のターゲットからの参照を解除することで、削除可能な状態となります。
ターゲットの参照元を確認
「ターゲット」画面の左ペインのターゲットツリーから、ターゲットをクリックし、「参照元」タブをクリックすると下記の情報を表示します。
- ターゲットがActive Directory等の場合、認証先ドメインに指定しているターゲット
- ターゲットがデータベース系のOSターゲットに使用されている場合、OSターゲットに指定しているターゲット
- ターゲットが申請されている申請書
アカウントの参照元を確認
「ターゲット」画面の左ペインのターゲットツリーで、ターゲットをクリックし、アカウントの一覧から申請情報を参照したいアカウントをクリックします。「参照元」タブをクリックすると下記の情報を表示します。
- アカウントが申請されている申請書
