ユーザー管理
Applications Managerを複数の担当者が操作する場合、担当者ごとに適切な権限を付与し、操作権限を制限することが重要です。
ユーザー管理機能では、Applications Managerで作成/利用可能なユーザーアカウント設定について記載します。
Applications Managerの標準のログインユーザー数は、1ユーザー(admin)のみです。
それ以上のユーザー数のご利用をご希望の場合には、別途オプションとしてご契約いただく必要があります。
詳細は、価格ページをご参照ください。
作成可能な権限
Applications Managerでは、デフォルトの管理者権限ユーザー(admin)に加え、
以下の5つのロール(権限)をユーザーアカウントごとに付与することができます。
| 項目 | 説明 |
|---|---|
| デフォルト管理者/スーパー管理者 | Applications Managerのすべての管理設定やユーザー管理の設定を実行することができます。 デフォルトのadminユーザーを指します。 |
| 管理者 | 以下の項目を除く、すべての管理設定を実行することができます。
|
| 代理管理者 | 管理者ではない組織のユーザーに限定的な管理者権限を割り当てる際に使用します。 詳細は、後述の内容をご確認ください。 |
| ユーザー | 製品内のすべてのコンポーネントに対する読み込み専用の権限を付与します。設定や編集はできません。 |
| オペレーター | デフォルト管理者が割り当てた製品のコンポーネントに対してのみ、読み取り専用の権限を付与します。設定や編集はできません。 オペレーターが、監視グループのメンバーである場合、該当のオペレーターユーザーのみに制限が適用され、その他のユーザーには適用されません。 |
| マネージャー | サービスレベルアグリーメント(SLA)を作成して、アプリケーションやサーバーに関連付けることができます。 SLA設定に関する詳細は、こちらのページをご確認ください。 |
[代理管理者]が操作可能な権限は以下の通りです。
| 操作内容 | 説明 |
|---|---|
| 認証情報マネージャー | プロファイルの作成権限と、自身が作成したプロファイルの編集、削除ができます。 |
| アクション | アクションの作成権限と、自身が作成したアクションの編集、削除ができます。 自身に関連付けられた監視のアクションを表示することも可能です。 |
| 新規監視と監視グループ | 監視または監視グループを新規に作成し、自身に関連付けられた監視/監視グループを編集、削除します。 |
| しきい値とアノマリのプロファイル | 新規プロファイルの作成権限と、自身が作成したプロファイルの編集、削除ができます。 自身に関連付けられた監視のプロファイルを表示することも可能です。 |
| スケジュールレポート | レポートの作成と、自身が作成したレポートを編集、削除します。 |
| ダウンタイムスケジューラー | 監視が不要な期間をスケジューリングします。 |
| アラートエスカレーション | アラートのエスカレーションと、エスカレーションルールを設定します。 |
| アラートの設定 | 自身に関連付けられた監視に対してアラートを設定します。 |
| プロセス、サービステンプレート | 新規テンプレートを作成し、監視/監視グループに適用します。 |
| イベントログルール | 監視/監視グループに対して、イベントログルールを設定します。 |
| ダッシュボード、ウィジェット | 新規ダッシュボードの作成と、デフォルトダッシュボードを読み取り権限で表示します。 |
※以下の設定は利用できません。
パフォーマンスポーリング、グローバルトラップ、SNMPトラップリスナー、ユーザー管理、データ保持、Managedサーバーの管理、SLA、ワールドマップビュー、製品ライセンス、アクションアラート設定
以降は、Applications ManagerのUI上に実装されている各タブについて記載します。
該当画面:[設定]→[製品設定]→[ユーザー管理]
プロファイル
Applications Managerで使用するユーザーアカウントを新規に作成します。
また、組織のドメインからユーザーをインポートすることも可能です。
新規ユーザーの追加
- [設定]→[製品設定]→[ユーザー管理]→[プロファイル]を表示
- [新規追加]をクリック
- ユーザー名とパスワード(パスワードの確認)を入力
説明とメールアドレスの入力は任意です。 - 対象ユーザーの[役割]を選択
管理者/ユーザー/オペレーター/マネージャー
※代理管理者を指定する場合には、[管理者]を選択してください。 - ユーザーグループおよび監視グループを任意に選択
オペレーターまたはマネージャーを選択した場合に表示されます。 - [ユーザーの作成]をクリックし、ユーザー情報を保存
作成したユーザーは、[プロファイル]一覧に表示されます。
ユーザーグループ
ユーザーグループを作成し、様々な権限のユーザー追加や監視グループの制限を行います。
新規ユーザーグループの追加
- [設定]→[製品設定]→[ユーザー管理]→[ユーザーグループ]を表示
- [新規追加]をクリック
- ユーザーグループ名を入力
- [ユーザーの選択]で、グループに追加するユーザーを選択
- [監視グループ選択]で、グループに割り当てる監視または監視グループを選択
- [ユーザーグループの追加]をクリックし、ユーザーグループを保存
作成したグループは、[ユーザーグループ]一覧に表示されます。
ドメイン
Active DirectoryやOpenLDAP、JumpCloudなどのディレクトリサービスを使用して、ユーザーやユーザーグループをインポートすることができます。
ドメインの追加
以下の手順で、ドメイン情報を追加します。
- [設定]→[製品設定]→[ユーザー管理]→[ドメイン]を表示
- [新規追加]をクリック
- 以下の各項目を指定
- ドメイン:
ドメイン名(FQDN)を入力 - ドメインコントローラー:
ドメイン用のDNSサーバーのホスト名またはIPアドレスを入力 - ドメインポート:
DNSサーバーのポート番号を入力 - ディレクトリサービス:
Active Directory、OpenLDAP、JumpCloudより選択 - SSLが有効:
ドメインで、SSLが有効の場合には選択 - ドメインユーザーのパスワードを保存:
暗号化されたドメインユーザーパスワードを製品データベースに保存し、ドメインに到達できない際の認証に使用 - ユーザー権限:
読み込み専用またはフルコントロールから選択
- ドメイン:
- [ドメイン追加]より、ドメイン情報を追加
追加したドメインは、[ドメイン]一覧に追加されます。
ドメインを設定後、[プロファイル]タブならびに[ユーザーグループ]タブの[ドメインからユーザーをインポートする]を使用できます。
作成したドメインを選択し、ドメインユーザーをインポートします。
権限
各権限ごとに操作可能な項目を選択します。
管理者権限
- 管理者にスーパー管理者詳細の更新を許可
- 管理者にWindowsサービスを停止/実行/再起動を許可
- 管理者ユーザーにMS SQLデータベースの操作を許可する
- 管理者にMS SQLジョブ管理操作の実行を許可する
- 管理者にMS SQLユーザー管理操作の実行を許可する
- 管理者にMS SQL Server設定オプションの更新を許可する
- 管理者ユーザーにシャットダウン/再起動を許可する。Applications Manager
- ユーザーがドメイン認証でログインした場合、新しいユーザーアカウントを作成
代理管理者権限
- 代理管理者の設定を有効にします。
- 代理でない正規の管理者や同じユーザーグループの代理管理者が作成した認証情報すべての表示や利用を、代理管理者に許可
- 代理管理者に、正規の管理者と同じグループにいる他の代理管理者が作成したしきい値プロファイルとアノマリプロファイルの、表示・利用を許可する
- 代理管理者に、正規の管理者と同じグループにいる他の代理管理者が作成したすべてのアクションの、表示・利用を許可する
- 代理管理者にメールアクション作成を許可する
- 代理管理者にSMSアクション作成を許可する
- 代理管理者にプログラム実行アクション作成を許可する
- 代理管理者にトラップ送信アクション作成を許可する
- 代理管理者にチケットアクション作成を許可する
- 代理管理者にMBean操作アクション作成を許可する
- 代理管理者に、Javaヒープダンプ/スレッドダンプ/ガベージコレクションアクション作成を許可する
- 代理管理者にクラウドアクション作成を許可する
- 代理管理者に仮想マシンアクション作成を許可する
- 代理管理者にコンテナーアクション作成を許可する
- 代理管理者にWindowsサービスアクション作成を許可する
- 代理管理者に証明書のapm.keystore/cacertsへのインポートを許可する
- 代理管理者にMS SQLデータベースアクションの実行を許可する
- 代理管理者ユーザーにMS SQLジョブ管理操作の実行を許可する
- 代理管理者にMS SQLユーザー管理操作の実行を許可する
- 代理管理者にMS SQL Server設定オプションの更新を許可する
- 代理管理者によるSQLジョブアクション作成を許可する
- 代理管理者にREST APIアクション作成を許可する
- 代理管理者にSlackアクション作成を許可する。
オペレーター権限
- オペレーターに監視の管理対象/管理対象外にする権限を許可
- オペレーターに監視ステータスのリセットを許可
- オペレーターにアクションの実行を許可する
- オペレーターにサービスの起動/停止/再起動を許可します。
- オペレーターにIPアドレス更新を許可
- オペレーターの監視表示名の編集を許可する
- オペレーターにアクティブプロセスの表示を許可する
- オペレーターにダウンタイムスケジュール設定を許可
- オペレーターにすべてのダウンタイムスケジュールの表示を許可
- オペレーターに[ジャンプ]のリンクを表示する(OpManager、OpStor、Service Deskなどのアドオン製品やManagedサーバーに移動可能)
- オペレーターにアラートのクリアを許可します。
- オペレーターにタブのパーソナライズと編集を許可
- 一般ユーザーにユーザー名の編集を許可します。
- オペレーターにMS SQLデータベースアクションを許可する
- オペレーターに、MS SQL Server設定オプションの更新を許可
ユーザー権限
- ビジネスビューで設定の表示と利用を許可します。
- ユーザーにパーソナライズとタブの編集を許可します。
IBM i権限
オペレーターに対する制限を設定します。デフォルトでは、管理者ユーザーにIBM i操作が許可されています。
設定可能な項目は以下の通りです。
- オペレーターにメッセージとログ出力の制御を許可
- オペレーターにネットワーク属性の制御を許可
- オペレーターに日時の制御を許可
- オペレーターにシステムコントロールの制御を許可
- オペレーターにライブラリリストの制御を許可
- オペレーターにストレージの制御を許可
- オペレーターに割り当ての制御を許可
- オペレーターにセキュリティの制御を許可
- オペレーター非対話的コマンドの使用を許可
- オペレーターにジョブの制御を許可
- オペレーターにメッセージの制御を許可
- オペレーターにスプールの制御を許可
- オペレーターにサブシステムの制御を許可
- 管理者ユーザーにIBM iの操作を許可
ビュー
オペレーター専用の項目です。
サブグループをどのようにWebクライアントに表示するか、その方式を選択します。
- 対応するトップレベル監視グループからサブグループを表示
- ホームタブ自身で関連するサブグループを直接表示
アカウントポリシー
アカウントポリシーの設定により、ユーザーアカウントのセキュリティ強度を強化します。
アカウントポリシー画面で設定可能な項目は以下の通りです。
| 項目 | 説明 |
|---|---|
| アカウントロックを強制 | ログインの連続失敗回数とアカウントロックのタイムアウトを設定することで、 入力したアカウント情報に誤りがある際に、一定期間、ログインをロックします。 |
| ユーザーセッションを1つに強制 | Webクライアントへのセッションを1つに限定します。 |
| 強力なパスワードルールを強制 | ユーザーアカウントで設定するパスワードレベルを強固にします。 本オプションを有効化することで、以下の内容が有効になります。
|
| 最初のログイン時にユーザーにパスワードの変更を強制する | 初回ログイン時に、パスワードの変更を強制化します。 |
| 後にユーザーアカウントのパスワードの有効期限を強制する(日) | パスワードの有効期限を設定します。 |
| 管理者アカウントのユーザー管理操作を制限する | 管理者権限のアカウントに対して、ユーザー管理に関わる操作(作成、更新、削除など)を、ユーザープロファイル、ユーザーグループ、ドメインに制限します。 |
| ユーザーアカウントの営業時間設定を有効にする。 | 営業時間をベースにログインを許可します。 有効化すると、[アカウント]のユーザー編集画面で[営業時間に基づくユーザーアカウントログイン。]の項目が表示されます。 |
2要素認証(Two Factor Authentication)
認証アプリまたはメールを介してワンタイムパスワード(OTP)による2要素認証(TFA)により、
認証のセキュリティレベルを強化します。
詳細は2要素認証(Two Factor Authentication)をご参照ください。