システム設定
- 印刷する
システム設定
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
iDoperationが動作する上で必要となるシステム設定について説明します。
システム設定は、iDoperation Web Consoleの「システム設定」画面から行います。
システム設定画面
システム設定項目
| No. | 設定項目 | 概要 |
| 1 | 共通設定 | メール通知、iDoperation SC連携、パスワード退避ファイルを設定します。 |
| 2 | iDoperationサーバ | iDoperationサーバ情報を参照します。 |
| 3 | ライセンス | iDoperationのライセンスを参照します。 |
| 4 | ユーザパスワードポリシー | iDoperation Web Consoleのユーザパスワードのポリシーを設定します。 |
| 5 | 追加項目 | アカウント、ユーザ、申請書に独自の項目を拡張する場合、追加項目を設定します。 |
| 6 | API設定 | iDoperation WebAPIの認証設定や、Data Transfer API設定をします。 |
| 7 | 高度な設定 | iDoperationサーバの動作にかかわる設定をします。 カスタマーサポートからの案内により、設定を変更する場合がありますが、利用者自身の判断で変更する項目ではありません。利用者向けのマニュアルでは詳細の説明はありません。 |
共通設定
iDoperationの共通設定について説明します。
共通設定の設定は「共通設定」タブ画面から行います。
下記の「共通設定項目」内容を設定し、「変更」ボタンをクリックします。
共通設定項目
| No | 設定項目 | 概要 |
| 1 | システムタイムゾーン | 下記のファイルやメール内の日時情報のタイムゾーンを選択します。
|
| 2 | メール通知 | iDoperation Web Consoleのワークフロー機能やレポート機能で使用するメール通知の設定です。利用する場合は「通知する」を選択します。 |
| 3 | iDoperation SC連携 | iDoperation SCと連携する場合、「連携する」を選択します。 連携する場合、レポートの画面操作動画へのリンク表示で「ターゲット」「クライアント」を対象とするかを選択します。 |
| 4 | パスワード退避ファイル※ | パスワード退避ファイルの機能で出力されるファイルのパスワードを設定します。 |
| 5 | ファイル形式 | iDoperationが出力するファイルのファイル形式を選択します。 |
※パスワード退避ファイルは、ターゲット登録時の管理者アカウントや接続アカウントのパスワード情報の設定タイミングでは出力されません。ターゲット登録後にアカウントの追加やパスワード変更をしたタイミングで出力されます。
※パスワード、秘密鍵のどちらかが登録されているアカウントが対象です。
※パスワード退避ファイルを暗号化するために暗号化パスワードを登録します。暗号化パスワードについては、厳重に保管してください。更に、システム障害時などには、暗号化パスワードを確認する事が出来るようにします。
iDoperationユーザパスワードポリシーの設定
iDoperationのユーザのパスワードポリシーを設定します。この設定は、iDoperation Web ConsoleやiDoperation Clientにログインするユーザのパスワード有効期間とパスワードの最小長を設定が出来ます。
パスワードポリシー設定は、「ユーザパスワードポリシー」タブ画面から行います。
パスワードポリシーを設定し、「変更」をクリックします。
.png)
追加項目
ユーザやアカウント、ワークフローに対してユーザシステム独自に設定出来る、追加項目について説明します。
追加項目の設定は「追加項目」タブ画面から行います。
下記の「追加項目」内容を設定し、「変更」ボタンをクリックします。
設定項目
| No | 設定項目※ | 概要 |
| 1 | ユーザ追加項目 | ユーザ管理でユーザ情報の追加項目を設定します。 |
| 2 | アカウント追加項目 | ターゲット管理でアカウント情報の追加項目を設定します。 |
| 3 | ワークフロー追加項目 | ワークフローの特権ID貸出申請の画面に追加で入力する項目を設定します。 追加項目の種別は下記から選択します。
ヒント欄は、追加項目の説明等をその項目名にインフォメーションマークとして表示する場合に入力します。 |
※1度設定した項目名を削除する場合は、項目名を空に設定してください。
※項目名を削除した場合、画面から該当の項目名は表示されなくなります。既に追加項目に値が設定されていた場合は、削除後に該当の番号の項目名を再設定すると、設定された値が表示されます。
API設定
API設定は「API設定」タブ画面から行います。
API設定では、WebAPI認証設定とData Transfer APIの設定ができます。
.png)
WebAPIの認証設定
iDoperation WebAPIのクライアントとなるサービスを追加します。
認証種別に応じて以下の認証情報が発行されます。
- 「OAuth 2.0」:クライアントID、クライアントシークレット
- 「Basic認証」:クライアントID、パスワード
- 「APIトークン」:アクセストークン
WebAPIの認証設定は最大10件まで登録可能です。
「OAuth 2.0」を利用する場合は、発行された「クライアントID」「クライアントシークレット」を利用して、WebAPIのアクセスに必要なアクセストークンを取得できます。
iDoperation WebAPIを利用した外部ワークフローの連携方法については、『外部ワークフロー連携』-『外部ワークフローとの連携設定』を参照してください。
WebAPIの認証設定は、「WebAPI認証設定」タブ画面から行います。
ここでは、利用する認証種別に応じた認証情報の作成や管理をします。
WebAPI認証設定項目
| No | 設定項目※ | 概要 |
| 1 | 追加 | WebAPIを利用するためにクライアントを追加します。 |
| 2 | 削除 | 削除する認証設定のサービス名をチェックし、認証設定を削除します。 |
| 3 | <サービス名> | 認証設定の内容を参照、変更する場合は、変更する認証設定のサービス名をクリックします。また以下の操作もできます。
[APIトークンの場合]
|
認証設定の登録
WebAPIを利用するサービスごとの認証設定を追加します。
1.「WebAPI認証設定」画面で「追加」ボタンをクリックし、プルダウンで認証種別を設定します。「OAuth 2.0」「APIトークン」「Basic認証」から選択します。
2.「OAuth 2.0」「APIトークン」ではサービス名を設定し、「追加」ボタンをクリックします。
「Basic認証」では、サービス名とクライアントID、パスワードを設定します。
3.認証設定が追加されます。「OAuth 2.0」ではクライアントID、クライアントシークレット、「APIトークン」ではアクセストークンが表示されます。
※「OAuth 2.0」のクライアントシークレット、「APIトークン」のアクセストークンは一度しか表示されません。必ずコピーして保存してください。
以上で認証設定の登録は完了です。
クライアントシークレットの再生成(OAuth 2.0)
既に発行されたクライアントシークレットを忘れた場合は、クライアントシークレットを再生成します。
クライアントシークレットを再生成した場合は、WebAPIを利用するプログラムに設定しているクライアントシークレットを、再生成したクライアントシークレットに更新してください。
クライアントシークレットを再生成しても、既に取得しているトークンは有効です。取得済みのトークンを無効にする場合は、アクセストークンの無効化を実行します。
1.「WebAPI認証設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「クライアントシークレット再生成」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.再生成した新しいクライアントシークレットが表示されます。
アクセストークンの無効化(OAuth 2.0)
有効なアクセストークンをすべて無効化します。
1.「WebAPI認証設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「有効なアクセストークンを無効化」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.有効なアクセストークンが無効化されます。
アクセストークンの再生成 (APIトークン)
既に発行されたアクセストークンを忘れた場合は、アクセストークンを再生成します。
アクセストークンを再生成した場合は、WebAPIを利用するプログラムに設定しているアクセストークンを、再生成したアクセストークンに更新してください。
1.「WebAPI認証設定」画面の左ペインで確認する「サービス名」をクリックします。
右ペインの「アクセストークン再生成」をクリックすると、ダイアログが表示されるので「OK」をクリックします。
2.再生成した新しいアクセストークンが表示されます。
Data Transfer APIの設定
Data Transfer APIを利用してiDoperation Cloudの各種ログやデータを転送先のシステムへ連携することができます。
転送先システムとして、Splunkに対応しています。以下のログ、データが転送対象です。
| 設定項目 | 説明 |
ポータル認証ログ | iDoperationポータルへのログイン情報を連携します。 |
ポータル操作ログ | iDoperationポータルの操作に関するログを連携します。 |
| 特権申請ログ | 特権申請に関するログを連携します。 |
| 点検レポートデータ | 以下の点検レポートのデータを連携します。 |
| ターゲットアクセス点検元データ | ターゲットへのアクセス履歴やログイン失敗履歴を連携します。 |
Splunkでの事前準備
1.Data Transfer API利用に必要なアドオンのインストール
Data Transfer APIを利用するためには、Splunk対応のアドオンが必要です。以下のURLからダウンロードし、Splunkにインストールしてください。
https://splunkbase.splunk.com/app/1876
2.Splunk Cluster Endpointの確認
データ送信先となる Splunk Cluster Endpointを事前に確認してください。確認方法は以下のドキュメントを参照してください。
https://docs.splunk.com/Documentation/AddOns/released/Firehose/ConfigureFirehose
3.HTTP イベントコレクター(HEC)の作成とトークン発行
Splunk側で、HTTPイベントコレクター(HEC)を作成し、データ受信に使用するトークンを発行します。使用するSplunk環境に応じて、以下のマニュアルを参照してください。
Cloud Platform版: https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Cloud_Platform
Enterprise版: https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Enterprise
いずれの環境でも、HTTPイベントコレクター作成時の「ソースタイプ」には、必ず「aws:firehose:cloudwatchevents」を選択してください。
Data Transfer APIの設定方法
iDoperationポータル側で設定をします。
Splunkの設定を追加する
1.API設定にある「Data Transfer API」 画面で、設定を追加したい対象の「データ名」をクリックします。
2.右ペインで『Data Transfer APIの設定内容』に従い、追加したい設定内容を入力します。
3.「変更」をクリックします。
Splunkの設定を変更する
1.API設定にある「Data Transfer API」 画面で、設定を変更したい対象の「データ名」をクリックします。
2.右ペインで 『Data Transfer APIの設定内容』に従い、変更したい設定内容を入力します。
3.「変更」をクリックします。
Splunkの設定を削除する
1.API設定にある「Data Transfer API」 画面で、設定を削除したい対象の「データ名」をクリックします。
2.右ペインの「転送先システム」で「なし」を選択します。
3.「変更」をクリックします。
Data Transfer APIの設定内容
| 設定項目 | 説明 |
転送先システム | 転送先のシステムを選択します。ここでは「Splunk」を選択します。 |
| クラスターエンドポイント | 『Splunkでの事前準備』で確認したSplunk Cluster Endpointを設定します。 |
| HECトークン | 『Splunkでの事前準備』で発行したSplunkのトークンを設定します。 |