システムに関する設定をする
- 印刷する
システムに関する設定をする
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
iDoperation PAM Cloudの動作に必要な各種条件などを、「システム設定」画面で設定できます。
※「システム設定」画面の表示内容および設定内容は、iDoperation EPM Cloudにも反映されます。
メニューの「システム設定」をクリックすると、「システム設定」画面が表示されます。
動作に関する共通設定をする
「共通設定」タブでは、基本的な動作条件を設定できます。
1.「システム設定」画面で「共通設定」タブをクリックする。
2.必要な動作条件を設定する。
3.画面下部の「変更」ボタンをクリックする。
共通設定内容
| 設定カテゴリ | 設定項目 | 説明 |
| 製品バージョン | iDoperation PAM Cloudのバージョンが表示されます。 | |
| システムタイムゾーン | 下記のファイルやメール内の日時情報のタイムゾーンを設定します。
| |
| メール通知 | メール通知 | iDoperation PAM Cloudからメールを通知するかどうかを設定します。 「通知する」を選択した場合、ワークフローの状態変化やレポートの通知がメールで届きます。 |
| 添付ファイル最大サイズ | メール通知を「通知する」に設定している場合、メールに添付するファイルの最大ファイルサイズを設定します。 ※レポート機能のメールに添付できるレポートファイルサイズが対象です。添付するレポートファイルサイズが最大ファイルサイズより大きい場合、ファイルは添付されません。 | |
| iDoperation RAG | 録画画質 | iDoperation RAG使用時の録画画質を設定します。 |
| iDoperation SC連携 | iDoperation SCとの連携 | iDoperation SCと連携するかどうかを設定します。 「連携する」を選択した場合はメニューに「画面操作閲覧」が表示され、特権IDの利用点検レポート、アクセス履歴レポートにSCの画面操作動画へのリンク表示ができるようになります。 |
| レポート画面操作動画へのリンク表示 | ターゲット | 特権ID点検レポートとアクセス履歴レポートに、ターゲットの画面操作動画へのリンクを表示するかどうかを設定します。 ターゲットにSC Agentを導入していない場合は、レポートの画面操作動画へのリンクから動作を再生することはできません。 ※「iDoperation SCとの連携」を「連携する」に設定した場合に表示されます。 |
| クライアント | 特権ID点検レポートとアクセス履歴レポートに、クライアント端末の画面操作動画へのリンクを表示するかどうかを設定します。 クライアント端末にSC Agentを導入していない場合は、レポートの画面操作動画へのリンクから動作を再生することはできません。 ※「iDoperation SCとの連携」を「連携する」に設定した場合に表示されます。 | |
| パスワード退避ファイル | 暗号化パスワード | パスワード退避ファイルはAES-256で暗号化されたZIPファイルで出力されます。 「パスワードを表示」ボタンをクリックすると、パスワード退避ファイルの暗号化パスワードが表示されます。 「パスワードを変更」ボタンをクリックすると新しいパスワードの入力欄が表示され、パスワード退避ファイルの暗号化パスワードを変更できます。 |
| ファイル形式 | CSVダウンロードファイル形式 | CSVファイルダウンロード時にBOMコードを付与するかどうかを設定します。 ※文字コードはUTF-8です。 |
| 一括操作結果ファイル形式 | 一括操作の結果ファイルにBOMコードを付与するかどうかを設定します。 ※文字コードはUTF-8です。 | |
| パスワード退避ファイル形式 | パスワード退避ファイルにBOMコードを付与するかどうかを設定します。 ※文字コードはUTF-8です。 |
iDoperationサーバを確認する
「iDoperationサーバ」タブでは下記の情報が表示され、連携しているiDoperationサーバの情報を確認できます。
- 左ペイン:ホスト一覧が表示されます。
- 右ペイン:ホスト名、プライベートIPアドレス、パブリックIPアドレスなどのサーバ情報が表示されます。
ライセンスを確認する
「ライセンス」タブでは、ご利用中のiDoperation PAMおよびiDoperation EPMのライセンス情報を確認できます。
ユーザパスワードポリシーを設定する
「ユーザパスワードポリシー」タブでは、ポータルにログインするときに使用するパスワードの有効期間と最低限必要な文字数を設定できます。
設定項目
- パスワード有効期間:有効な日数を設定します(無期限の設定も可能です)。
- パスワード最小長:パスワードに必要な最小文字数を指定します。
設定手順
1.「システム設定」画面で「ユーザパスワードポリシー」タブをクリックする。
2.必要な項目を設定する。
3.「変更」ボタンをクリックする。
追加項目を設定する
「追加項目」タブでは、アカウント、ユーザ、申請書に独自の項目を拡張し、追加情報の記入欄を設けることができます。画面構成は下記です。
- 左ペイン:追加項目の種別一覧が表示されます。
- 右ペイン:種別一覧で選んだ追加項目が一覧表示されます。
追加項目を編集する
追加で管理したい項目名を追加、編集、削除できます。設定した項目名は番号順にユーザ詳細画面に表示されます。
1.「追加項目」タブの左ペインで項目を編集したい種別名をクリックする。
2.任意の項目名の欄に項目名を入力する。
※1度設定した項目名を削除する場合は、項目名を空に設定してください。
3.「変更」ボタンをクリックする。
追加項目の種別
追加項目には以下の種別があります。
| 種別 | 説明 |
| ユーザ追加項目 | ユーザ情報として追加で管理したい項目を設定できます。 ※申請プリセットのアカウント変数として利用する場合は、項目名を半角英数字、"-"、"_"のみで構成してください。また、"LoginId"、"Email"は既定のアカウント変数であるため項目名に使用できません。 |
| アカウント追加項目 | アカウント情報として追加で管理したい項目を設定できます。 設定した項目名は、番号順にターゲットのアカウント詳細画面に表示され、値を設定できます。 ※既に追加項目にアカウント詳細画面から値が設定されていた場合は、該当の番号の項目名が再設定されたとき、過去に設定された値が表示されます。 |
| ワークフロー追加項目 | 特権ID貸出申請の画面に追加で入力する項目を設定できます。 項目名を入力すると、下記の設定項目が表示されます。
ヒント欄は、追加項目の説明等をその項目名にインフォメーションマークとして表示する場合に入力します。 |
API設定を実施する
「API設定」タブでは、iDoperation PAM Management API(以下、Management API)設定とData Transfer APIの設定ができます。
- 左ペイン:登録されたManagement API設定の一覧と、Data Transfer API設定で使用するデータ名の一覧が表示されます。
- 右ペイン:左ペインで選択したManagement API設定およびData Transfer API設定の設定内容が表示されます。
Management APIの認証設定
Management APIのクライアントとなるサービスを追加できます。
ここでは、利用する認証種別に応じた認証情報の作成や管理について説明します。
※Management APIを利用した外部ワークフローの連携方法については、『外部ワークフローとの連携設定』を参照してください。
Management APIのアクセスには、認証情報が必要です。
「API設定」タブでは、認証種別に応じて以下の認証情報が発行されます。
- OAuth 2.0:クライアントID、クライアントシークレット
- APIトークン:アクセストークン
- Basic認証:クライアントID、パスワード
例えばManagement APIのクライアントとしてOAuth 2.0を利用する場合は、発行されたクライアントID、クライアントシークレットを利用して、Management APIのアクセスに必要なアクセストークンを取得できます。
Management API設定項目
左ペインのManagement API設定では以下の情報を確認できます。
リストタイトル部分をクリックすると、表示順が昇順または降順に切り替わります。
| リストタイトル | 説明 |
| サービス名 | Management APIのクライアントとなるサービス名が表示されます。 |
| 認証種別 | 以下の認証種別のいずれかが表示されます。
|
認証設定を確認する
左ペインのManagement API設定でサービス名をクリックすると、右ペインに選択したサービスの認証設定内容が表示されます。
認証設定内容は、認証種別ごとに異なります。
OAuth 2.0
| 設定項目 | 説明 |
| サービス名 | Management APIのクライアントとなるサービス名を設定できます。 |
| クライアントID | Management APIを呼び出すクライアントを識別するためのIDが表示されます。 |
| クライアントシークレット | Management APIを呼び出すクライアントを認証するための文字列が表示されます。 ※文字列は、認証設定を追加したときのみ一度だけ表示されます。 ※既に発行されたクライアントシークレットを忘れてしまった場合は、「クライアントシークレット再生成」ボタンをクリックすると再生成できます。 ※再生成した場合は、Management APIを利用するプログラムに設定しているクライアントシークレットを、再生成したクライアントシークレットに更新してください。 ※クライアントシークレットを再生成しても、既に取得しているトークンは有効です。取得済みのトークンを無効にする場合は、アクセストークンの無効化を実行します。 |
| 有効なアクセストークン数 | Management APIでクライアントが取得した有効なトークンの数が表示されます。 ※有効期限が切れたトークンは自動的に削除されます。 |
APIトークン
| 設定項目 | 説明 |
| サービス名 | Management APIのクライアントとなるサービス名を設定できます。 |
| アクセストークン | Management APIを呼び出すクライアントを認証するための文字列が表示されます。 ※文字列は、認証設定を追加したときのみ一度だけ表示されます。 ※既に発行されたアクセストークンを忘れてしまった場合は、「アクセストークン再生成」ボタンをクリックすると再生成できます。 ※アクセストークンを再生成した場合は、Management APIを利用するプログラムに設定しているアクセストークンを、再生成したアクセストークンに更新してください。 |
Basic認証
| 設定項目 | 説明 |
| サービス名 | Management APIのクライアントとなるサービス名を設定できます。 |
| クライアントID | Management APIを呼び出すクライアントを識別するためのIDを設定できます。 ※クライアントIDの文字数には8文字以上必要です。 ※「:」を含めることはできません。 |
| パスワード | パスワードの表示、変更ができます。 「パスワードを表示」ボタンをクリックすると、設定されているパスワードの確認、コピーができます。 「パスワードを変更」ボタンをクリックすると、パスワードを変更できます。 |
認証設定を追加する
Management APIを利用するサービスごとの認証設定を追加します。
※Management APIの認証設定は最大10件まで登録可能です。
1.「API設定」タブの左ペインで「追加」ボタンをクリックし、プルダウンで認証種別を設定する。
※OAuth 2.0、APIトークン、Basic認証から選択します。
2.『認証設定を確認する』を参照して必要項目を設定し、「追加」ボタンをクリックする。
3.表示されるクライアントシークレットなどの認証情報をコピーして保存する。
※OAuth 2.0のクライアントシークレット、APIトークンのアクセストークンは一度しか表示されません。必ずコピーして保存してください。
認証設定を変更する
1.「API設定」タブの左ペインにある「Management API設定」で設定を変更したいサービス名をクリックする。
2.『認証設定を確認する』を参照し、右ペインで変更したい設定内容を入力する。
3.「変更」をクリックする。
認証設定を削除する
Management APIを利用するサービスごとの認証設定を削除できます。
ここでは、ひとつまたは複数の認証設定を削除する方法を説明します。
ひとつずつ削除する
1.「API設定」タブの左ペインにある「Management API設定」で削除したいサービス名をクリックする。
2.右ペインに表示される「削除」ボタンをクリックする。
3.確認ダイアログで「OK」ボタンをクリックする。
複数の認証設定を削除する
1.「API設定」タブの左ペインにある「Management API設定」で削除したいサービス名のチェックボックスにチェックを入れる。
2.左ペインの「削除」ボタンをクリックする。
3.確認ダイアログで「OK」ボタンをクリックする。
Data Transfer APIの設定
Data Transfer APIを利用してiDoperation PAM Cloudの各種ログやデータを転送先のシステムへ連携することができます。
転送先システムとして、Splunkに対応しています。以下のログ、データが転送対象です。
| データ名(転送対象) | 説明 |
| ポータル認証ログ | iDoperation ポータルへのログイン情報を連携します。 |
| ポータル操作ログ | iDoperation ポータルの操作に関するログを連携します。 |
| 特権申請ログ | 特権申請に関するログを連携します。 |
| 点検レポートデータ | 以下の点検レポートのデータを連携します。 ・特権IDの利用点検レポート ・アクセス権限設定操作点検レポート ・アカウント点検レポート |
| ターゲットアクセス点検元データ | ターゲットへのアクセス履歴やログイン失敗履歴を連携します。 |
Splunkでの事前準備
1.Data Transfer API利用に必要なアドオンのインストール
Data Transfer APIを利用するためには、Splunk対応のアドオンが必要です。以下のURLからダウンロードし、Splunkにインストールしてください。
https://splunkbase.splunk.com/app/1876
2.Splunk Cluster Endpointの確認
データ送信先となる Splunk Cluster Endpointを事前に確認してください。確認方法は以下のドキュメントを参照してください。
https://docs.splunk.com/Documentation/AddOns/released/Firehose/ConfigureFirehose
3.HTTP イベントコレクター(HEC)の作成とトークン発行
Splunk側で、HTTPイベントコレクター(HEC)を作成し、データ受信に使用するトークンを発行します。使用するSplunk環境に応じて、以下のマニュアルを参照してください。
Cloud Platform版:
https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Cloud_Platform
Enterprise版:
https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/UsetheHTTPEventCollector#Configure_HTTP_Event_Collector_on_Splunk_Enterprise
いずれの環境でも、HTTPイベントコレクター作成時の「ソースタイプ」には、必ず「aws:firehose:cloudwatchevents」を選択してください。
Data Transfer APIの設定をする
Data Transfer APIの設定は、ポータル側で実施します。
Splunkの設定を追加する
1.「API設定」タブの左ペインにある「Data Transfer API」で、設定を追加したい対象のデータ名をクリックする。
2.右ペインの転送先システムで「Splunk」を選択し、『Data Transfer APIの設定内容』を入力する。
3.「変更」をクリックする。
Splunkの設定を変更する
1.「API設定」タブの左ペインにある「Data Transfer API」で、設定を変更したい対象のデータ名をクリックする。
2.右ペインで変更したい『Data Transfer APIの設定内容』を入力する。
3.「変更」をクリックする。
Splunkの設定を削除する
1.「API設定」タブの左ペインにある「Data Transfer API」で、設定を削除したい対象のデータ名をクリックする。
2.右ペインの転送先システムで「なし」を選択する。
3.「変更」をクリックする。
Data Transfer APIの設定内容
| 設定項目 | 説明 |
| 転送先システム | 転送先のシステムを設定します。 ※「なし」が選択されている場合、Data Transfer APIは設定されていません。 |
| クラスターエンドポイント | 『Splunkでの事前準備』で確認したSplunk Cluster Endpointを設定します。 |
| HECトークン | 『Splunkでの事前準備』で発行したSplunkのトークンを設定します。 |
高度な設定をする
原則として管理者が自分で設定変更を行うことはありません。必要に応じてテクニカルサポートの指示で操作を行います。
データ移行を実施する
iDoperation PAM V2/V3のデータをiDoperation PAM Cloudに移行できます。
移行対象のデータや操作方法や制約や注意事項等の詳細については、『オンプレ版のiDoperationからのデータ移行』を参照してください。
※移行すると、現在登録されているiDoperation PAM Cloudのデータは削除されます。