ターゲット管理
- 印刷する
ターゲット管理
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
iDoperationの各機能を利用するためには、iDoperationに対象とするターゲットの登録を行う必要があります。
また、ワークフローでの貸出を行うためには、更に貸出対象のアカウントに対しての設定も必要です。
ここではそれぞれの内容について、設定が必要な項目とその内容について説明します。
ターゲット登録
iDoperationにターゲット情報を登録します。
ターゲットの登録時には以下の内容について検討し、決定する必要があります。
アカウント管理方式
登録するターゲットについて「アカウント情報を同期しiDoperationでの管理を行うか」、「アクセスログの収集を行うか」をそれぞれ選択します。
どちらの項目についても、iDoperationのターゲットとして管理対象になっている場合のみ、管理を行う事が出来ます。
iDoperationのターゲット対象については『対応ターゲット一覧』を参照してください。
ターゲット接続情報
iDoperationに登録を行う情報を検討し、決定する必要があります。
検討が必要な情報は以下の通りです。
| No | 設定項目 | 概要 |
| 1 | ターゲット名 | 登録対象のターゲット名。 ターゲット名は一意である必要があります。 |
| 2 | 処理マネージャグループ | 登録対象のターゲットに対して操作を行うマネージャグループを決定します。 ※マネージャグループが1つのみの場合は検討不要です。 |
| 3 | 所属グループ | 登録対象のターゲットを所属させるターゲットグループを決定します。 |
| 4 | 申請専用グループ | 登録対象のターゲットを所属させる申請専用グループを決定します。 |
| 5 | 管理者アカウント/パスワード | 登録対象のターゲットに対して操作を行う時に使用するターゲット側のアカウントを決定します。 アカウントは『ターゲットの前提条件・制約』に記載の条件を満たす必要があります。各ターゲット種別の前提条件は『ターゲットの前提条件・制約』を参照してください。 ※このアカウントはiDoperation専用とする事を推奨します。 |
ターゲット側IPアドレス
iDoperationサーバとターゲットが異なるセグメントにある等の理由で、アクセス時のIPアドレスがSNATされる場合、iDoperation側で追加の設定を行う必要があります。(※)
該当する場合は、SNAT後のIPアドレスを確認してください。
ポータル画面から「点検設定」-「特権IDの利用点検」タブにある「点検除外」の「iDoperationのアクセスとするアクセス元IPアドレス」で確認したIPアドレスを設定します。
スケジュールの設定
iDoperationでは、アカウントの同期をしているターゲットに対しての操作を定期的に実行する機能があります。
実行可能な操作は以下の2つです。
パスワード一括変更
iDoperationからパスワード変更可能な設定としたすべてのアカウントに対して、パスワードの変更を行う機能です。
アカウント点検機能
実ターゲットのアカウント情報の取得を行い、iDoperation側のアカウント情報と比較を行う機能です。
この機能を使用する場合、実行契機などを事前に検討する必要があります。
検討が必要な情報は以下の通りです。
| No | 設定項目 | 概要 |
| 1 | 実行条件 | スケジュールの実行契機を以下の中から決定します。
|
| 2 | タイムゾーン | スケジュールで指定するタイムゾーンを決定します。 |
| 3 | 間隔 | 実施を行う間隔を決定します。 それぞれの実行条件ごとに以下の範囲で設定出来ます。
|
| 4 | 曜日 | 実行条件が「週次」の時、スケジュールを実行する曜日を設定出来ます。 |
| 5 | 実行日 | 実行条件が「月次」の時、スケジュールを実行する日付を設定出来ます。 可能な設定は特定の日付(1~31日、最終日)、もしくは特定週の特定曜日(第1月曜日、最終週の金曜日など)です。 |
| 6 | 開始時刻 | スケジュールの実行を開始する時刻を決定します。 |
| 7 | 開始日 | スケジュールの実行を開始する日付を決定します。 |
| 8 | 実行に失敗した場合 | 何らかの理由でスケジュールの実行自体がされなかった場合に、実行可能となった契機で実行するか、実行しないままとするか、設定出来ます。 |
| 9 | 異常終了した場合 | スケジュールの実行が異常終了した場合に、スケジュールを再実行するかどうかを設定出来ます。 |
| 10 | 再実行間隔 | 異常終了した場合に「再実行する」時、再実行する間隔を設定出来ます。 |
| 11 | 再実行最大数 | 異常終了した場合に「再実行する」時、再実行する最大数を設定出来ます。 |
アカウント設定
登録したターゲットのアカウント情報を同期しiDoperationでの管理を行う場合、アカウント情報の同期後に貸出対象やパスワード変更対象などの、iDoperation側で用意されている設定を行う必要があります。
そのため、事前に管理を行うアカウントについてどのような設定とするかを決定しておく必要があります。
iDoperation側で用意されているアカウント設定は以下の通りです。
| No | 設定項目 | 概要 |
| 1 | 操作対象 | iDoperationからターゲットに対しての変更操作(主にパスワード変更)を許可するかを設定します。 iDoperationで管理を行うアカウント(無効化されているアカウント、障害時用の緊急アカウントなど)は操作対象から除きます。それ以外のアカウントは操作対象とします。 |
| 2 | アカウント貸出対象 | ワークフローでの申請時に特権ID貸出の貸出アカウントの選択対象とするかを設定します。 |
| 3 | 実パスワード貸出対象 | ワークフローでの申請時に「パスワード貸出」の貸出対象とするかを設定します。 基本的にワークフロー貸出対象と同様の設定とします。 |
| 4 | 同時貸出対象 | ワークフローでの貸出において、他の申請と利用時間が重複する場合に利用可能とするかを設定します。 Windowsサーバの場合、デフォルトでは同一アカウントの同時使用は出来ないため、対象外に設定してください。 同一アカウントの同時使用が可能なよう設定変更している場合や、Windowsサーバ以外のターゲット種別については同一アカウントの同時使用が可能です。その場合は運用にあわせ設定してください。 |
| 5 | 特権IDの利用点検対象 | 「特権IDの利用点検レポート」「アクセス履歴レポート」の点検対象のアカウントを対象に設定します。 |
| 6 | パスワード変更対象 | iDoperationからのパスワード変更を許可するかを設定します。 ※パスワード変更対象を「対象とする」に設定した場合でも、アカウント操作制限対象が「対象とする」になっている場合はパスワード変更が実施されません。 |
| 7 | パスワード変更 (貸出・返却時)対象 | パスワード変更対象(No.6)を「対象とする」とした場合、更にワークフローで「パスワード貸出」を行った場合のパスワード変更を許可するかを設定します。 システムに埋め込みアカウントなどでパスワード変更に付帯作業があり、パスワード貸出のタイミングでiDoperationからのパスワード変更をさせたくない場合は対象外としてください。 ただし、その場合利用者は利用期間後も同じパスワードで接続可能になるため、注意してください。 |
| 8 | 権限付与対象 | ワークフローでの申請時に権限貸出の貸出アカウントの選択対象とするかを設定します。 |
| 9 | 利用可能iDoperationユーザ | ワークフローでの申請時にアカウントを選択可能なiDoperationユーザを設定します。 「ユーザを自動的に紐づける」を有効にした場合、アカウント名とメールアドレスが一致するiDoperationユーザが存在すれば自動で紐づけを行います。 |