システム設定
- 印刷する
システム設定
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
iDoperationが動作する上で必要となるシステム設定について説明します。
システム設定は、iDoperation ポータルの「システム設定」画面から行います。
システム設定画面
システム設定項目
| No | 設定項目 | 概要 |
| 1 | 共通設定 | メール通知、iDoperation SC連携、パスワード退避ファイルを設定します。 |
| 2 | iDoperationサーバ | iDoperationサーバ情報を参照します。 |
| 3 | ライセンス | iDoperationのライセンスを参照します。 |
| 4 | ユーザパスワードポリシー | ポータルのユーザパスワードのポリシーを設定します。 |
| 5 | 追加項目 | アカウント、ユーザ、申請書に独自の項目を拡張する場合、追加項目を設定します。 |
| 6 | API設定 | iDoperation Management APIの認証設定や、Data Transfer API設定をします。 |
| 7 | 高度な設定 | iDoperationサーバの動作にかかわる設定をします。 カスタマーサポートからの案内により、設定を変更する場合がありますが、利用者自身の判断で変更する項目ではありません。利用者向けのマニュアルでは詳細の説明はありません。 |
| 8 | データ移行 | iDoperation PAM V2/V3のデータをiDoperation PAM Cloudに移行します。 移行手順や注意点は『オンプレ版のiDoperationからのデータ移行』を参照してください。 |
共通設定
iDoperationの共通設定について説明します。
共通設定の設定は「共通設定」タブ画面から行います。
下記の「共通設定項目」内容を設定し、「変更」ボタンをクリックします。
共通設定項目
| No | 設定項目※ | 概要 |
| 1 | システムタイムゾーン | 下記のファイルやメール内の日時情報のタイムゾーンを選択します。
|
| 2 | メール通知 | iDoperation ポータルのワークフロー機能やレポート機能で使用するメール通知の設定です。利用する場合は「通知する」を選択します。 |
| 3 | iDoperation SC連携 | iDoperation SCと連携する場合、「連携する」を選択します。 連携する場合、レポートの画面操作動画へのリンク表示で「ターゲット」「クライアント」を対象とするかを選択します。 |
| 4 | パスワード退避ファイル※ | パスワード退避ファイルの機能で出力されるファイルのパスワードを設定します。 |
| 5 | ファイル形式 | iDoperationが出力するファイルのファイル形式を選択します。 |
※パスワード退避ファイルは、ターゲット登録時の管理者アカウントや接続アカウントのパスワード情報の設定タイミングでは出力されません。ターゲット登録後にアカウントの追加やパスワード変更をしたタイミングで出力されます。
※パスワード、秘密鍵のどちらかが登録されているアカウントが対象です。
※パスワード退避ファイルを暗号化するために暗号化パスワードを登録します。暗号化パスワードについては、厳重に保管してください。更に、システム障害時などには、暗号化パスワードを確認する事が出来るようにします。
iDoperationユーザパスワードポリシーの設定
iDoperationのユーザのパスワードポリシーを設定します。この設定は、iDoperation ポータルやiDoperation PAM Agentにログインするユーザのパスワード有効期間とパスワードの最小長を設定出来ます。
パスワードポリシー設定は、「ユーザパスワードポリシー」タブ画面から行います。
パスワードポリシーを設定し、「変更」をクリックします。
.png)
追加項目
ユーザやアカウント、ワークフローに対してユーザシステム独自に設定出来る、追加項目について説明します。
追加項目の設定は「追加項目」タブ画面から行います。
下記の「追加項目」内容を設定し、「変更」ボタンをクリックします。
設定項目
| No | 設定項目※ | 概要 |
| 1 | ユーザ追加項目 | ユーザ管理でユーザ情報の追加項目を設定します。 ※申請プリセットのアカウント変数として利用する場合は、項目名を半角英数字、"-"、"_"のみで構成してください。また、"LoginId"、"Email"は既定のアカウント変数であるため項目名に使用できません。 |
| 2 | アカウント追加項目 | ターゲット管理でアカウント情報の追加項目を設定します。 |
| 3 | ワークフロー追加項目 | ワークフローの特権ID貸出申請の画面に追加で入力する項目を設定します。 追加項目の種別は下記から選択します。
ヒント欄は、追加項目の説明等をその項目名にインフォメーションマークとして表示する場合に入力します。 |
※1度設定した項目名を削除する場合は、項目名を空に設定してください。
※項目名を削除した場合、画面から該当の項目名は表示されなくなります。既に追加項目に値が設定されていた場合は、削除後に該当の番号の項目名を再設定すると、設定された値が表示されます。
Management API設定
API設定は「API設定」タブ画面から行います。
API設定では、Management API認証設定とData Transfer APIの設定ができます。
Management API認証設定
iDoperation Management APIのクライアントとなるサービスを追加します。
認証種別に応じて以下の認証情報が発行されます。
- 「OAuth 2.0」:クライアントID、クライアントシークレット
- 「APIトークン」:アクセストークン
- 「Basic認証」:クライアントID、パスワード
Management APIの認証設定は最大10件まで登録可能です。
「OAuth 2.0」を利用する場合は、発行された「クライアントID」「クライアントシークレット」を利用して、Management APIのアクセスに必要なアクセストークンを取得できます。
iDoperation Management APIを利用した外部ワークフローの連携方法については、『外部ワークフロー連携』-『外部ワークフローとの連携設定』を参照してください。
Management APIの認証設定は、左ペインの「Management API設定」画面から行います。
ここでは、利用する認証種別に応じた認証情報の作成や管理をします。
Management API設定項目
| No | 設定項目 | 概要 |
| 1 | 追加 | Management APIを利用するためにクライアントを追加します。 クリックして認証種別を設定します。プルダウンで「OAuth 2.0」「APIトークン」「Basic認証」を選択します。 |
| 2 | 削除 | 削除する認証設定のサービス名をチェックし、認証設定を削除します。 |
| 3 | サービス名 | 認証設定の内容を参照、変更する場合は、変更する認証設定のサービス名をクリックします。また以下の操作もできます。 [OAuth 2.0の場合]
|
認証設定の登録
Management APIを利用するサービスごとの認証設定を追加します。
1.「Management API設定」画面で「追加」ボタンをクリックし、プルダウンで認証種別を設定します。「OAuth 2.0」「APIトークン」「Basic認証」から選択します。
2.「OAuth 2.0」「APIトークン」ではサービス名を設定し、「追加」ボタンをクリックします。「Basic認証」では、サービス名とクライアントID、パスワードを設定します。
3.認証設定が追加されます。「OAuth 2.0」ではクライアントID、クライアントシークレット、「APIトークン」ではアクセストークンが表示されます。
※「OAuth 2.0」のクライアントシークレット、「APIトークン」のアクセストークンは一度しか表示されません。必ずコピーして保存してください。
以上で認証設定の登録は完了です。
クライアントシークレットの再生成(OAuth 2.0)
既に発行されたクライアントシークレットを忘れた場合は、クライアントシークレットを再生成します。
クライアントシークレットを再生成した場合は、Management APIを利用するプログラムに設定しているクライアントシークレットを、再生成したクライアントシークレットに更新してください。
クライアントシークレットを再生成しても、既に取得しているトークンは有効です。取得済みのトークンを無効にする場合は、アクセストークンの無効化を実行します。
1.「Management API設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「クライアントシークレット再生成」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.再生成した新しいクライアントシークレットが表示されます。
アクセストークンの無効化(OAuth 2.0)
有効なアクセストークンをすべて無効化します。
1.「Management API設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「有効なアクセストークンを無効化」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.有効なアクセストークンが無効化されます。
アクセストークンの再生成 (APIトークン)
既に発行されたアクセストークンを忘れた場合は、アクセストークンを再生成します。
アクセストークンを再生成した場合は、Management APIを利用するプログラムに設定しているアクセストークンを、再生成したアクセストークンに更新してください。
1.「Management API設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「アクセストークン再生成」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.再生成した新しいアクセストークンが表示されます。
Data Transfer APIの設定
Data Transfer APIを利用してiDoperation Cloudの各種ログやデータを転送先のシステムへ連携することができます。
転送先システムとして、Splunkに対応しています。以下のログ、データが転送対象です。
| 設定項目 | 説明 |
| ポータル認証ログ | iDoperation ポータルへのログイン情報を連携します。 |
| ポータル操作ログ | iDoperation ポータルの操作に関するログを連携します。 |
| 特権申請ログ | 特権申請に関するログを連携します。 |
| 点検レポートデータ | 以下の点検レポートのデータを連携します。 ・特権IDの利用点検レポート ・アクセス権限設定操作点検レポート ・アカウント点検レポート |
| ターゲットアクセス点検元データ | ターゲットへのアクセス履歴やログイン失敗履歴を連携します。 |
Splunkでの事前準備
1.Data Transfer API利用に必要なアドオンのインストール
Data Transfer APIを利用するためには、Splunk対応のアドオンが必要です。以下のURLからダウンロードし、Splunkにインストールしてください。
https://splunkbase.splunk.com/app/1876
2.Splunk Cluster Endpointの確認
データ送信先となる Splunk Cluster Endpointを事前に確認してください。確認方法は以下のドキュメントを参照してください。
https://docs.splunk.com/Documentation/AddOns/released/Firehose/ConfigureFirehose
3.HTTP イベントコレクター(HEC)の作成とトークン発行
Splunk側で、HTTPイベントコレクター(HEC)を作成し、データ受信に使用するトークンを発行します。使用するSplunk環境に応じて、以下のマニュアルを参照してください。
Cloud Platform版: https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Cloud_Platform
Enterprise版: https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Enterprise
いずれの環境でも、HTTPイベントコレクター作成時の「ソースタイプ」には、必ず「aws:firehose:cloudwatchevents」を選択してください。
Data Transfer APIの設定方法
iDoperationポータル側で設定をします。
Splunkの設定を追加する
1.API設定にある「Data Transfer API」画面で、設定を追加したい対象の「データ名」をクリックします。
2.右ペインで『Data Transfer APIの設定内容』に従い、追加したい設定内容を入力します。
3.「変更」をクリックします。
Splunkの設定を変更する
1.API設定にある「Data Transfer API」画面で、設定を変更したい対象の「データ名」をクリックします。
2.右ペインで『Data Transfer APIの設定内容』に従い、変更したい設定内容を入力します。
3.「変更」をクリックします。
Splunkの設定を削除する
1.API設定にある「Data Transfer API」画面で、設定を削除したい対象の「データ名」をクリックします。
2.右ペインの「転送先システム」で「なし」を選択します。
3.「変更」をクリックします。
Data Transfer APIの設定内容
| 設定項目 | 説明 |
| 転送先システム | 転送先のシステムを選択します。ここでは「Splunk」を選択します。 |
| クラスターエンドポイント | 『Splunkでの事前準備』で確認したSplunk Cluster Endpointを設定します。 |
| HECトークン | 『Splunkでの事前準備』で発行したSplunkのトークンを設定します。 |