チケット連携システムの設定
Password Manager Pro(PMP)は、特権アクセスに関連したサービス要求を自動的に検証するために、チケットシステムと連携する機能を提供しています。連携により、PMPユーザーが有効な一意のチケットIDで、特権IDのパスワードにアクセスできるようになり、チケットシステムにおける申請や承認などのサービスリクエストを自動的に検証し、アクセス許可が容易に実行できるようになります。
この連携の動作方法について
PMPとチケットシステムが連携すると、ユーザーはパスワード取得、もしくはパスワードリセットのためにチケットIDを入力する必要があります。
PMPでは、次の事項を確認してアクセスを許可します
- ユーザーが入力したチケットIDがチケットシステムに存在するかどうか
- チケットに関連するインシデントが[完了]ステータスでないこと
- ユーザーがそのパスワードを確認する権限があるかどうか、そして、ITリソースにアクセスできるかどうか
- パスワードリセットが試行された場合、適切な許可に対する検証作業
既定の上記を確認することに加えて、PMPでは条件定義をカスタマイズすることができ、パスワードのアクセス許可を与える前にチケットシステムとの検証を行うことができます。一連のプロセスはすべて監査され、言い換えると、特権アクションはチケットIDまで追跡できることになります。パスワードアクセスは、チケットシステム上のチケット番号で追跡できます。更に、チケットIDを通じて特権アクセスシナリオ上でカスタマイズのレポートを生成することができます。
ビルド9401から、ServiceDesk Plusと連携した場合、変更IDを用いたチケット連携ができるようになりました。機能の詳細については、こちらをご覧ください。
ビルド10103から、ServiceDesk Plusと連携した場合、緊急時にServiceDesk Plus画面から対象のリソース(資産)に接続できるようになりました。機能の詳細については、こちらをご覧ください。
連携可能なチケットシステムについて
PMPとチケットシステムの連携方法は簡単なプロセスで構成しており、REST APIを使用し、チケットシステムと連携します。
現時点で、対応しているチケットシステムは下記の通りです。
- ManageEngine ServiceDesk Plus On-Demand
- ManageEngine ServiceDesk Plus MSP
- ManageEngine ServiceDesk Plus
- ServiceNow
- JIRA Service Desk
チケットシステムとの連携手順
ここでは、例としてManageEngine ServiceDesk Plus(SDP)との連携手順を解説します。
SDP側でhttps接続を有効にした場合、連携設定を行う前に以下の手順が必要です。
<手順>
- SDPのSSL証明書をエクスポート
ブラウザーからSDPに接続し、アドレスバーから証明書を表示し、[詳細]の[エクスポート]よりSSL証明書をエクスポートします。
エクスポートする形式はBase 64 encoded X.509を選択し、cerの拡張子のファイルをエクスポートしてください。
- SDPのSSL証明書をPMPにインポート
SSL証明書をPMPにインポートするため、PMPサービスを停止します。
その後、管理者権限でコマンドプロンプトを起動して、<PMP>\binで以下のコマンドを実行します。importCert.bat <SDPの証明書ファイルのパス>
- PMPサービスを起動
以上
1. チケットシステムの情報を設定する
SDPと連携を行うために、SDP側でAPIキーを生成後します。
その後、PMP側から[管理] >> [連携]>>[チケットシステム連携]をクリックします。
GUI画面が開くので、(サポートされているチケットシステムのリストより)連携したいチケットシステムを選択します。
注:使用したいチケットシステムがそのリストにない場合、[その他]を選択してください。
下記の画面で、技術者キーおよびチケットシステムのURLを入力してください。
2. チケットシステム設定のセットアップをテストする
連携設定の完了後、PMPがチケットシステムと適切に接続を確立できるか確認するテストを実行することができます。
テストを実行するには、詳細設定で[テスト設定]リンクをクリックして、SDPに存在する任意のチケットID(=リクエストID)を入力後、テストを実行します。
また、このテストの一部として、PMPの詳細設定でフィルターとして利用できる[カスタム項目の取得]カスタム項目を取得できます。
3. 詳細設定:カラムのフィルター設定
チケットシステムでフィルターを行なうカラムを選択します。フィルターの定義を行なうことで適切なリクエストIDのみが、承認されるように設定可能です。
4. 詳細設定:Password Manager Proのマップエントリ対チケットシステム
PMPの特定カラムがチケットシステムで特定したものと一致するかどうかを検証するには、[Password Manager Proのマップエントリ対チケットシステム]オプションを選択してください。
カラムでは、PMPで利用できるカラム名をドロップダウンのリストで表示します。また、チケットシステムで利用できるカラム名は、フィルターで選択を行った項目となります。
5. 詳細設定:チケットシステムの確認されるべき条件
[チケットシステム]カラムでは、チケットシステムで利用できる項目を表示しています。PMPでの該当項目とマップしたい項目を選択します。ここでは、例としてSTATUS が Closed となっていないもの
APPROVAL_STATUS が承認済みのものを確認すべき条件として設定しています。
※チケットシステムのプルダウンメニューに表示される項目名はServiceDesk Plusのチケットの設定値によって変動します。
そのため、本例と同じ値が表示されない場合もあります。
6. PMP-アクセス制御の設定
該当するリソースのパスワードアクセス制御を設定します。要求の自動承認を選択肢、「チケットIDのあるリクエストを承認」を選択します。また、共有アイコンより対象のアカウントをヘルプデスク担当者へ共有します。
7. ヘルプデスク技術者が利用する際
ヘルプデスク担当者(技術者)が、クライアントよりパスワードリセットやユーザー作成などといったサービス要求があった際に、対象システムを利用するために、PMPへログインしパスワード情報を取得します。
PMPへログイン後、共有されているアカウントの[接続をオープン]をクリックするとチケットIDとコメント欄を入力するためのポップアップが表示され、チケットIDとコメントをそれぞれ入力することで接続が可能となります。
ServiceDesk Plusとの連携における拡張機能
ビルド10103以降、技術担当者はSDPからリソースに対してワンクリックでアクセスすることが可能になりました。これにより、緊急時などによりスピーディに対象のリソースに対してリモート接続してシームレスな接続が実現できます。
前提条件
- SDP技術担当者と同じユーザー名のPMPユーザーが存在する
- 連携設定を行うユーザーの役割は、SDPはSDAdminを、PMPは管理者の権限が付与されている
- SDPに登録された資産の名称とPMPに設定したリソース名が等しい
設定手順
- SDPにログイン後、[管理]->[連携(Integrations)]->[Password Manager Pro]に移動します。
- PMPをインストールしたサーバー情報を入力して、[Auth Tokenの生成]をクリックします。
- リダイレクトされたPMPのログイン画面からログインします。
- [承認]をクリックすると、Auth Tokenが表示されるため、コピーします。
- コピーしたAuth TokenをSDPの[Auth Token]欄に入力して、[接続をテストして保存]をクリックして連携完了です。
Auth Tokenを再設定する場合、以下の手順を実行してください。
- PMPにログイン後、[管理]->[ManageEngine]に移動します。
- SDPブロックの[編集]をクリックして、[再生成]からAuth Tokenを再生成します。
- 再生成されたAuth Tokenをコピーをして[更新]をクリックします。
- SDPにログインして、[管理]->[連携(Integrations)]->[Password Manager Pro]に移動します。
- [削除]をクリックして、PMPサーバー情報と手順3で取得したAuth Tokenを入力して[接続をテストして保存]をクリックします。
- 本機能を利用できるテンプレートを設定する場合、[Password Manager Proアクション]の[PMP Resources]から設定します。
利用方法
- SDPの[リクエストカタログ]からテンプレートを選択して起票されたチケットの画面を開き[Custom Actions]をクリックします。
- [PMP Resources]をクリックすると、PMPで共有されているリソースの一覧が表示されるため、利用するアカウントの使用するアカウントを選択して、Remote Desktopアイコンをクリックします。
- リモートデスクトップに接続する理由を入力します。
- [接続]をクリックすると、リモート接続が可能です。
