Password Manager Pro ナレッジベース

本ページではPassword Manager Pro（以下、PMPとします）のチケットシステム連携機能における判定条件の設定方法や設定例を説明します。
チケットシステム連携の概要や設定方法についてはチケットシステムを連携して特権IDの利用申請、承認プロセスを高度化するをご確認ください。

目次

• 前提条件
• 判定条件の基本設定
• カスタム項目の取得方法（デフォルト以外の項目の取得方法）
• カラムのフィルター方法（項目のフィルター方法）
• 判定条件の設定例

前提条件

本ページの内容は、「チケットシステムを連携して特権IDの利用申請、承認プロセスを高度化する」の「1. チケットシステムの連携設定」が完了していることを前提としています。

判定条件の基本設定

1. PMPに管理者権限を持ったアカウントでログインします。
2. ［管理］→［連携］→［チケットシステム連携］に移動し、チケットシステム連携の設定画面に移動します
3. PMPと連携しているチケットシステム名の右上の三点のアイコンにマウスオーバーし、［詳細設定］をクリックします。
   ※下図では、ServiceDesk Plusと連携している場合の該当箇所を示しています。
   
4. ［Advance Configuration］タブで、パスワード利用を許可するための判定条件を設定し、保存します。
   • ［Advance Configuration］タブの詳細は高度な設定（詳細設定）のAdvance Configurationタブの説明をご確認ください。
   • ［Advance Configuration］タブの設定例は判定条件の設定例をご確認ください。
5. 「チケットシステムを連携して特権IDの利用申請、承認プロセスを高度化する」の「3. アクセス制御の設定（PMP上での申請、承認をスキップする設定）」に進みます。

高度な設定（詳細設定）のAdvance Configurationタブの説明

①PMP のマップエントリー対するチケットシステム

PMPの値に対して「is」、「contains」、「start with」などの条件式を指定し、チケットシステムのフィールドの値と合致することを条件とする場合に使用します。

②PMPに対するチケットシステムのマップエントリー

チケットシステムのフィールドの値に対して「is」、「contains」、「start with」などの条件式を指定し、PMPの値と合致することを条件とする場合に使用します。

③チケットシステムで確認される条件

チケットシステムのフィールドの値に対して「is」、「contains」、「start with」などの条件式を指定し、任意の値と合致することを条件とする場合に使用します。

デフォルトで以下のようにサンプルで条件が設定されています。
チケットシステム側のフィールドの値によっては、条件設定の変更が必要な場合があります。

「列の名前」および「チケットシステム」に指定した項目の値が空の場合、判定が正しく動作しない場合があります。「列の名前」および「チケットシステム」に指定した項目は、PMP上および、チケット上で値を空にしないようにしてください。

例：①PMP のマップエントリー対するチケットシステムで「部門」「contains」「DEPARTMENT」と設定した場合はPMP上の「部門」とチケット上の「DEPARTMENT（部署）」の値は空にしないようにしてください。

カスタム項目の取得方法（デフォルト以外の項目の取得方法）

デフォルトでは、PMPはチケットの一部の項目（フィールド）のみを取得します。
デフォルトの項目以外を条件設定に使用したい場合は、以下の手順で「カスタム項目の取得」を行うことで、取得する項目を追加することができます。

1. PMPと連携しているチケットシステム名の右上の三点のアイコンにマウスオーバーし、［詳細設定］をクリックします。
   ※下図では、ServiceDesk Plusと連携している場合の該当箇所を示しています。
   
2. 「チケットID」に有効なチケットIDを入力した状態で［テスト］をクリックし、「出力」欄にチケットの情報が出力されることを確認します。
   
3. ［カスタム項目の取得］をクリックします。
   
4. PMPと連携しているチケットシステム名の右上の三点のアイコンにマウスオーバーし、［詳細設定］をクリックします。
   ※下図では、ServiceDesk Plusと連携している場合の該当箇所を示しています。
   
5. チケットシステムのプルダウンメニューに表示される項目が追加されていることを確認します。
   

カラムのフィルター方法（項目のフィルター方法）

カスタム項目の取得方法（デフォルト以外の項目の取得方法）でカスタム項目を追加すると、多数の項目がチケットシステムのプルダウンメニューに表示されます。
プルダウンメニューに表示される項目を一部に絞りたい場合は、以下の手順で「カラムをフィルター」します。

1. PMPと連携しているチケットシステム名の右上の三点のアイコンにマウスオーバーし、［カラムをフィルター］をクリックします。
   ※下図では、ServiceDesk Plusと連携している場合の該当箇所を示しています。
   
2. 「チケットシステムのカラムフィルターを有効にする」オプションを有効化します。
3. 高度な設定（詳細設定）画面のチケットシステムのプルダウンメニューに表示したい項目を選択します。
   
4. ［保存］をクリックします。

判定条件の設定例

本セクションでは、ユースケースを想定し、対応する設定の例を紹介します。また、設定によるメリットや生じうるリスクについても説明します。

ユーザー、パスワードの利用（パスワードの閲覧、リソースへの接続）を申請したリソース名、（リソースの）アカウント名がPMPとチケットで一致する場合にのみパスワードの利用を許可する

判定条件を以下のように複数設定します。

• PMPにログインしているユーザー名とチケットの申請者が一致している
• パスワードを利用したいリソース名、アカウント名がそれぞれチケットと一致している（特定のフィールドにリソース名、アカウント名が記載されている）

以上の条件を満たした場合にのみパスワードの利用を許可します。

本設定例では、チケット上に以下のように配置されているチケットシステムのフィールドを判定に利用します（Jira Service Managementのリクエストチケットの場合）。

PMP上の実際の設定は以下のように行います。

PMPに対するチケットシステムのマップエントリ

上の例では、以下の判定を行っています。

C1：チケットの「報告者」フィールドとPMPのユーザー名が一致するかどうか
C2：チケットの「要約」フィールドにパスワードを利用したいリソース名が含まれているかどうか
C3：チケットの「説明」フィールドに使用するアカウントが含まれているかどうか

チケットシステムで確認される条件

同じチケットの再利用を防ぐため、以下の判定を加えています。

C1：「ステータス」がクローズでないチケットか否か

チケットによるリクエストを承認制として、承認されたリクエストでなければパスワードの利用を許可しないよう設定する場合は、「条件」を「is」、「値」を承認済みを示すステータスに設定します。

以上4つの判定をすべてクリアしている場合にのみ、申請した特定のリソース、アカウントのパスワードの利用が許可されます。複数のリソースが共有されているユーザーでも、原則として申請に基づくパスワードの利用以外は行えなくなり、パスワードの利用が厳格化されます。

PMPにログインしているユーザー名とチケットを起票したユーザー名が一致している場合にのみパスワードの利用を許可する

「ユーザー、パスワードの利用（パスワードの閲覧、リソースへの接続）を申請したリソース名、（リソースの）アカウント名がPMPとチケットで一致する場合にのみパスワードの利用を許可する」では4段階の判定を行いパスワードの利用を厳格化しましたが、設定を簡略化し、PMPのユーザーとチケットのユーザーが一致することのみを条件とした場合を考えます。以下のような設定になります。

上の設定を行った場合でも、ユーザーは自身が報告者のチケットを所有していなければリソースのパスワードを利用できません。しかしながら、一度チケットを起票すればユーザーが共有されているリソースのパスワードの利用を任意のタイミングで何度でも行えてしまうことになります（起票したチケットの使いまわしができてしまう）。
このような単純かつ単一の判定のみで制御するのではなく、「ユーザー、パスワードの利用（パスワードの閲覧、リソースへの接続）を申請したリソース名、（リソースの）アカウント名がPMPとチケットで一致する場合にのみパスワードの利用を許可する」のように、複数の判定を組み合わせ、リソースのパスワードを利用できる状況が強く限定される設定を推奨します。