ワークフロー設計
- 印刷する
ワークフロー設計
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
特権IDの利用申請・承認を行うワークフローを設計します。
iDoperationにおけるアカウントの利用は、ワークフローに基づいた利用申請と承認が必要です。
ここでは、アカウントの利用に必要なワークフローの設計について説明します。
管理対象サーバのアカウントの利用申請・承認を行うためには、最低1つのワークフローが必要です。
しかし、ワークフローが1つしかない場合は、以下のような詳細な設定・制御を行う事が出来ません。
- ターゲット種別・用途によって承認段数を分けたい
- 利用者の役割によって特定のサーバのみが申請出来るよう制御したい
このような設定・制御を行いたい場合は、内容にあわせて複数のワークフローを作成してください。
本ドキュメント内でも複数のワークフローを作成する前提で説明しています。
アカウント貸出方法
アカウント貸出方法は申請者に申請するターゲットやアカウント、グループを選択させる方法を定めたものです。
以下の4種類が用意されており、ワークフローごとに設定する事が出来ます。
貸出方法
| No | 名前 | 内容 |
| 1 | 個別貸出 | 申請者に都度申請するターゲットとアカウントを選択させる方法です。 申請者は申請するワークフローのターゲットグループに所属するすべてのターゲットから申請するターゲットを選択出来ます。 申請するアカウントについても、それぞれのターゲットでワークフロー貸出対象となっているアカウントから選択出来ます。 |
| 2 | まとめ貸出 (申請プリセット) | 貸出を許可するターゲットやアカウントをあらかじめ申請プリセットとして登録しておき、申請時には登録した申請プリセットの中から選択させる方法です。 申請プリセットを設定する事で、申請時の手間を減らす事が可能です。 また、申請プリセットでの申請に限定したワークフローを作成し、申請プリセットを編集出来るユーザを管理者などに限定する事で、申請時にあらかじめ設定された申請プリセットの内容でしか申請出来ないようにする事も出来ます。 |
| 3 | ワンタイム貸出 (ワンタイム特権ID) | 利用期間のみ使用可能なアカウントを新規作成する方法です。 事前に貸出可能なターゲットの設定および作成するアカウント名のポリシーを設定しておき、申請時にはターゲットを選択させます。 必要な時以外は特権IDを無効化しているサーバなど、特定の場合に使用します。 返却時にアカウントを削除するか無効化するか選択する事が出来ます。 |
| 4 | 権限貸出 | 申請者に都度申請するターゲット・アカウント・グループを選択させ、申請したアカウントに対して利用期間のみ権限(グループ)を付与する方法です。 申請者は申請するワークフローのターゲットグループに所属するターゲットの内、ターゲット種別が「Cloud Console」のターゲットから申請するターゲットを選択出来ます。 申請するアカウントについては、申請者がアカウントの「利用可能iDoperationユーザ」に設定されているアカウントから選択出来ます。 申請するグループについては、ターゲットに登録されたすべてのグループが選択出来ます。 |
iDoperationの設定検討
『現在の運用確認』で収集した情報を参考に、iDoperationへ設定する内容を検討し、決定します。
ワークフローの設定では、ターゲットを登録したグループ(ターゲットグループ)と、「申請者」、「承認者」、「利用者」を登録したグループ(ユーザグループ)の関連付け、各ワークフロー固有の設定(フラグ設定等)を行います。
ワークフローの設定として設定可能な項目は以下の通りです。
iDoperationのワークフロー設定項目
| No | 設定区分 | 設定項目 | 概要 | 必須 |
| 1 | 共通 | ワークフロー名 | ワークフローの名前です。 ※一意な名前で登録する必要があります。 ※複数のワークフローで申請出来る場合、利用者は申請時にどのワークフローを使用するかをワークフロー名から判断し、選択します。そのため、ワークフロー名は申請者が用途を判別しやすい名前にする事を推奨します。 | 〇 |
| 申請番号の接頭辞 | 申請書に自動で付与される申請番号の接頭辞を指定します。 指定しない場合はシステムの共通設定が反映されます。 ※申請番号の連番部分は、接頭辞ごとカウントアップされます。過去に使用した接頭辞や複数のワークフローで同じ接頭辞を使用する場合は、連番部分のカウンタが引き継がれます。これを変更する事は出来ません。 | |||
| 2 | 申請対象 | ターゲットグループ、申請専用グループ | 利用申請する事が出来るターゲットグループ、申請専用グループを選択します。複数グループの設定が可能です。 選択したターゲットグループ、申請専用グループの直下に登録されたターゲットを利用申請の対象として選択する事が出来ます。 | 〇 |
| アカウントの絞り込み | 申請対象のターゲットグループに含まれるターゲットから申請対象のアカウントを絞り込むかどうかを設定します。 ※アカウント貸出方法が「権限貸出」の場合、アカウントの絞り込みは適用されません。 | |||
| アカウント絞り込み条件 | アカウント絞り込みを行う場合に、アカウントの絞り込み条件を設定します。 絞り込み条件は「ターゲット種別」、「絞り込み対象ターゲット」、「アカウント名」の3項目から構成された1行を複数個設定します。 「絞り込み対象ターゲット」は申請対象のターゲットグループに含まれるターゲットの中から指定した「ターゲット種別」に該当するターゲットを1つ選択する方法と、申請対象のターゲットグループに含まれるターゲットの中から指定したターゲット種別のすべてを選択方法があります。 「アカウント名」は、正規表現で記載します。 | |||
| Active Directoryローカル ログインの許可 | ターゲットグループにActive Directoryターゲットが所属する場合に、このワークフローでActive Directoryターゲット自身へのログインを申請できるかどうかを設定します。 ドメインアカウントを用いてメンバサーバにログインさせたいが、Active Directoryターゲット自身にはログインさせたくない場合は「許可しない」を設定してください。 | |||
| 貸出アカウントのパスワード参照の許可 | 利用者がパスワードの参照を許可するかどうかを設定します。 許可しない場合は、特権利用でアプリを使用したオートログインでのアカウントの使用に限定されます。 | |||
| 利用グループ | 利用申請する事が出来る利用者(実際にターゲットにアクセスするユーザ)が登録されたユーザグループを選択します。 複数グループの設定が可能です。 ※申請者は、申請時に利用グループに所属するすべてのユーザを選択する事が可能です。 | 〇 | ||
| 3 | 利用申請ワークフロー | 利用申請グループ | 利用申請を行うユーザが登録されたユーザグループを選択します。 複数グループの設定が可能です。 | 〇 |
| 利用承認グループ | 利用承認を行うユーザが登録されたユーザグループを選択します。 利用承認の段数は0~9段まで設定する事が出来ます。 利用承認の段数ごとに複数グループの設定が可能です。複数グループを指定した場合、いずれかのグループに登録されたユーザが本ワークフローの申請を承認する事が出来ます。 | |||
| 緊急申請の許可 | 緊急時に申請承認を省略して利用し、事後に承認をもらう運用をこのワークフローで許可するかを設定します。 | |||
| 緊急申請の最大貸出期間 | 緊急申請を許可する場合に、緊急申請で指定可能な利用時間の最大時間を設定します。 | |||
| 自己承認の許可 | 自身の利用申請を自身で利用承認する運用をこのワークフローで許可するかを設定します。 | |||
| 申請受付開始日 | 申請日から起算して何日後までの申請を受け付けるかを設定します。 | |||
| 最大貸出日数 | 利用期間として指定出来る最大の日数を指定します。 | |||
| アカウント貸出方法 | 申請可能なアカウントの貸出方法を選択します。 個別貸出 まとめ貸出(申請プリセット) ワンタイム貸出(ワンタイム特権ID) 権限貸出 | 〇 | ||
| 申請プリセット操作グループ | アカウント貸出方法で「まとめ貸出(申請プリセット)」を選択している場合に、このワークフローに設定する申請プリセットを編集可能なグループを選択します。 複数グループの設定が可能です。 | 〇 | ||
| 4 | 報告申請ワークフロー | 報告申請の有無 | 利用後の報告の要否を設定します。 報告あり、報告なし、緊急申請時のみ報告ありのいずれかを設定出来ます。 ※報告申請をしない設定にした場合、利用期間中の申請書であっても申請書のステータスが「完了」となります。 「完了」ステータスの申請書は、申請一覧画面の「完了した申請も表示する」をチェックする事で表示される「完了」タブから確認出来ます。 | 〇 |
| 報告スキップの許可 | 報告を行う場合に、報告および報告承認をスキップする機能の使用を許可するかを設定します。 | |||
| 自己承認の許可 | 自身で行った利用報告を自身で承認する運用をこのワークフローで許可するかを設定します。 | |||
| 報告申請者/グループ | 報告を行うユーザまたはグループを設定します。 選択出来るのは申請したユーザまたは任意のユーザグループです。 グループを設定する場合、複数グループの設定が可能です。 | |||
| 報告申請グループ | 報告申請を行うユーザが登録されたユーザグループを選択します。 複数グループの設定が可能です。 | |||
| 報告承認グループ | このワークフローで報告承認を行うユーザが所属するユーザグループを選択します。 報告承認の段数は0~9段まで設定する事が出来ます。 報告承認の段数ごとに複数グループの設定が可能です。 | |||
| 5 | セッション | ファイルダウンロード | このワークフローでRAGセッションのファイルダウンロードを許可するか設定します。 | |
| ファイルアップロード | このワークフローでRAGセッションのファイルアップロードを許可するか設定します。 | |||
| 共有 | このワークフローでRAGセッションの共有URLの発行許可を設定します。 | |||
| 自動切断 | このワークフローでRAGセッションを申請された利用期間で自動切断するか設定します。 |