モデル セキュリティ シナリオ
以下のシナリオは、簡単なモデル セキュリティの使用例と、複雑なモデル セキュリティの使用例です。
casp1032jp
以下のシナリオは、簡単なモデル セキュリティの使用例と、複雑なモデル セキュリティの使用例です。
リモート オフィスにあるモデルをローカル ユーザから保護する
OneClick のセキュリティ文字列を理解できるよう、以下に簡単な例を説明します。
リモート オフィスにある 1 つのモデルを保護し、ローカル OneClick ユーザがアクセスできないようにします。モデルのセキュリティ文字列(「remote」など)を設定することで、モデルを保護します。「remote」というエントリがあるアクセス グループに属していない非管理者ユーザは、そのモデルにアクセスできません。たとえば「local」というアクセス グループ エントリのみを持つユーザは、このモデルにアクセスできません。
支店ネットワークへの管理アクセスを保護する
OneClick のセキュリティ実装の例として、東海岸オフィスと西海岸オフィスを考えてみます。東海岸オフィスのネットワーク管理者は、OneClick の東海岸オフィスのネットワークへの読み書きアクセス権が必要です。西海岸ネットワークへの読み取り専用アクセス権も必要です。西海岸の管理者の場合はその逆になります。
以下の手順を用いて、この要件のソリューションを作成することができます。ニーズに合わせて変更することも可能です。
- 2 つのネットワークを表す 2 つの LAN コンテナを OneClick に作成します。1 つの LAN コンテナには WEST、もう一方の LAN コンテナには EAST という名前を付けます。
- 各コンテナにモデリングされた異なるネットワーク アセットを格納します。
- 各 LAN コンテナにセキュリティ文字列を設定します。選択した LAN コンテナのコンポーネント詳細画面の[情報]タブで、以下の手順でセキュリティ文字列を設定します。
- EAST LAN コンテナ用にセキュリティ文字列を EAST に設定します。その結果として、EAST というセキュリティ コミュニティが作成されます。
- WEST LAN コンテナ用にセキュリティ文字列を WEST に設定します。その結果として、WEST というセキュリティ コミュニティが作成されます。
完了すると、ナビゲーション画面の[エクスプローラ]タブは、OneClick 管理者ユーザに対して以下の画面のように表示されます。
- 以下の手順で、EAST および WEST ネットワーク コンテナに対応するユーザ グループを作成します。
- EAST ユーザ グループを作成します。[グループの作成]ダイアログ ボックスで、EAST セキュリティ コミュニティに対して読み書き権限を持つアクセス グループを作成します。
WEST ユーザ グループを作成します。[グループの作成]ダイアログ ボックスで、EAST セキュリティ コミュニティに対して読み取り専用権限を持つアクセス グループを作成します。
EAST ユーザ グループ内にユーザを作成し、WEST ユーザ グループ内に別のユーザを作成します。
[アクセス]タブでは、アクセス グループ(セキュリティ コミュニティ)がユーザ グループ レベルから入力されることに注意してください(ユーザ レベルでは編集不可能)。
変更をテストをするため、WEST ユーザ グループ内に作成したユーザとして OneClick にログインし、EAST LAN コンテナに移動します。
EAST LAN コンテナ内のモデルを表示する際、WEST ユーザ グループ内のユーザには、以下の画面に示すように、管理者読み取り専用権限があります。たとえばこの画像では、このモデルのユーザが CA Spectrum モデリング情報の値を編集できないことが示されています。
- WEST LAN コンテナに移動します。以下の画面に示すように、WEST ユーザ グループ内のこのユーザは、WEST LAN 内のモデルに対して管理者読み書き権限を持つことがわかります。この画像では、このモデルのユーザが CA Spectrum モデリング情報の値を編集できることが示されています。
- EAST ユーザ グループの内で作成されたユーザとして OneClick にログインし、WEST LAN コンテナに移動した場合、逆の状況が当てはまります。EAST ユーザ グループ内のユーザは、WEST LAN コンテナ内のモデルに対して、管理者読み取り専用権限を持っています。また EAST LAN 内のモデルに対して、読み書き権限を持っています。