他のバージョン

RBACの概要

Tanium™ Core Platform 7.1以降では、きめの細かいロールベースのアクセスコントロール(RBAC)に対応するため新しいアクセス制御方式をサポートしています。RBACの機能を利用することで、Tanium™ ConsoleユーザーがTaniumプラットフォームで表示および実行できる内容を管理できます。

RBACの使用方法については、チームおよびテクニカルアカウントマネージャ(TAM)とご相談ください。

  • 7.0のシステムユーザーロールのようなユーザーロールの種類(質問作成者、センサー作成者など)を残すか、あるいはもっときめの細かいオプションを前提に変更するか?
  • 同じコンピューターグループの制限を継続するか、それとも、読み取り/書き込み特権とコンテンツベースの制限の可用性を考慮して再検討するか?
  • クライアントマシン上の特定のデータまたは特定のアクションへのアクセスを制御するにあたって、コンテンツセットのアクセス許可をどのように整理するか? 機能(読み取り/書き込み)別にするか? コンテンツの種類別(登録質問、センサー、パッケージ)にするか? 案件(Tanium™ Client管理、Windowsシステム管理など)別にするか?
  • 管理者のグローバル権限を使用して、少数のユーザーに完全な管理者特権を付与するか?それとも、管理ページの読み取り/書き込みアクセス許可をページ単位で許可または拒否する詳細なMicro Adminアクセス許可を使用するか?
  • 誰が、どのTanium™ソリューションモジュールワークベンチにアクセスできるようにするか?
  • LDAPサーバーからユーザーとユーザーグループをインポートすることで、Taniumユーザーの管理が簡単になるか?

コンピュータグループの管理権限

RBACでは、コンピュータグループの管理権限は変更されていません。

Taniumユーザーがどのコンピュータと対話できるかは、コンピュータグループの管理権限によって決まります。 RABCによって決定されるのは、コンピュータとの対話でユーザーがどのコンテンツを利用できるかです。

コンピュータグループについての詳細は、コンピュータグループの管理を参照してください。

アクセス許可とロール、ユーザー、ユーザーグループ

RBACを使用すると、ユーザーが発行できる一連の質問とアクションにさらに制限を加えることができます。きめ細かなアクセス許可フレームワークを使用すると、ユーザーとユーザーグループがTaniumで表示および操作できるものを制限するRBACモデルを実現できます。

F:図1:アクセス許可とロール、ユーザー、ユーザーグループ

アクセス許可

アクセス許可は、読み取り、書き込み、実行というユーザーができる操作の権限ことです。

  • コンテンツセットのアクセス許可 は、特定のセンサー、パッケージ、登録質問、ダッシュボード、およびカテゴリへのアクセス権を決定します。
  • Micro Adminアクセス許可 は、Tanium Consoleのシステム管理ページへのアクセス権を決定します。
  • モジュールのアクセス許可 は、Taniumソリューションモジュールワークベンチおよび機能へのアクセス権を決定します。
  • グローバルアクセス許可 は、コンテンツセットを作成および管理する機能など、あらゆるモジュールまたがって指定されるアクティビティを行うアクセス権を決定します。

コンテンツセット

コンテンツセットとは、アクセス許可が適用されるセンサーと登録質問、ダッシュボード、カテゴリ、パッケージからなるグループです。アクションは、明示的にはコンテンツとみなされないものの、その作成元のパッケージと同じコンテンツセットに属するものとして扱われます。コンテンツの性質上、きめの細かいアクセス許可の割り当てが必要な場合は、コンテンツセットを作成します。例えば、Tanium Clientのメンテナンス関連センサーとパッケージのコンテンツセットを作成することで、大きなユーザーグループにTanium Client情報の読み取りアクセス権を付与する一方で、より少人数のグループに書き込みアクセス権を付与するよう、ロールを構成することができます。コンテンツは、1つのコンテンツセットにのみ割り当てることができます。1つロールで多くのコンテンツセットを対象にすることができます。

ロール

ロールは、アクセス許可の付与および拒否を割り当てます。

  • 高度なロールは、コンテンツセットのアクセス許可をきめ細かく割り当てます。
  • Micro Adminロールは、システム管理アクセス許可を割り当てます。
  • モジュールロール は、モジュールのアクセス許可を割り当てます。

予約ロール

予約ロールは、特殊な目的の機能を有効にする特権を割り当てます。このアクセス許可は暗黙であり、ロールを変更したり、削除したりすることはできません。

  • 管理者ロール は、あらゆるコンテンツとモジュール、管理ページへのアクセス許可を付与します。
  • コンテンツ管理者ロール は、あらゆるコンテンツセットに対する読み取り/書き込みアクセス許可のほか、アクション管理特権を付与します。
  • コンテンツセット管理者ロール は、ユーザーおよびユーザーグループ構成内におけるロール割り当てをはじめとする、コンテンツセットとロール構成に対する読み取り/書き込みアクセス許可を付与します。
  • Deny All (すべてのロールを拒否) は、あらゆるコンテンツ、モジュール、管理ページへのアクセスを拒否します。

ユーザー

ユーザーには、1つ以上の付与または拒否ロールを割り当てることができます。ロールによって付与されない限り、ユーザーはアクセス許可を得られません。ロールを持たないユーザーはログインできますが、「insufficient permissions (アクセス許可が不十分です)」 というページが表示されます。ユーザーには、1つ以上のコンピューターグループとユーザーグループを割り当てることができます(ユーザーグループには割り当てられなくてもよい)。

ユーザーグループ

ユーザーグループ構成には、1つ以上の付与または拒否ロール、1つ以上のコンピューターグループとユーザーを割り当てることができます(ユーザーは割り当てなくてもよい)。ユーザーは、割り当てられたユーザーグループからロールとコンピューターグループを継承します。

付与ロールと拒否ロール

ユーザーには、付与ロールと拒否ロールの両方を含む、複数のロールを割り当てることができます。実質的にはシステムは、 明示的に拒否されているアクセス許可を除き、明示的に付与されたアクセス許可または暗黙のアクセス許可のすべてを適用します。

高度なロールにおいて、実際に付与アクセス許可を取り消すには、拒否ロールのアクセス許可とコンテンツセットが、付与ロールのアクセス許可とコンテンツセットと明示的に一致している必要があります。この例では、「コンテンツセットAのセンサー書き込みアクセス許可を拒否」が、「コンテンツセットAのセンサー書き込みアクセス許可を付与」と一致しており、付与アクセス許可は取り消されています。

F:図2:コンテンツセットのアクセス許可に対する付与および拒否ロール(一致あり)

次の例では、「コンテンツセットDのセンサー書き込みアクセス許可を拒否」が、いずれの付与アクセス許可とも一致しないため、事実上、Erinのアクセス許可はいかなる影響も受けません。

F:図3:コンテンツセットのアクセス許可に対する付与ロールと拒否ロール(一致なし)

高度なロールでのアクセス許可へのコンテンツセットの割り当てでは、 以降のすべてのコンテンツセットをアクセス許可に追加するためのオプションがあります。このオプションは、すべてのコンテンツセットの列挙と同等です。 この場合、「コンテンツセットDのセンサー書き込みアクセス許可を拒否」が効果を発揮します。

F:図4:「すべてのコンテンツセットを追加する」オプションは、すべてのコンテンツセットを列挙をと同等です。

Micro Adminの付与および拒否ロールは、高度なロールと同じルールに従います。次の例において、Erinには指定されたアクセス許可を持つ付与ロールと、指定されたアクセス許可を持つ2つの拒否ロールが割り当てられています。完全一致が除外されます。 Erinは、割り当てられている拒否ロールに指定された機能以外の、付与ロールで付与されていて彼女に割り当てられている機能のすべてを手にしています。

F:図5:Micro Adminアクセス許可に対する付与ロールと拒否ロール

モジュールロールには、拒否ロールはありません。モジュールアクセス権のみ付与することができます。モジュールアクセス権を付与するロールがないユーザーが、モジュールワークベンチや機能にアクセスすることはできません。

暗黙のアクセス許可

付与ロールでは、書き込みアクセス許可は暗黙で読み取りアクセス許可が付与されることを意味します。 ErinとGraceに割り当てられた高度なロールには、指定されたコンテンツセットに対する書き込みアクセス許可があり、こための構成で読み取りアクセス許可を指定する必要はありません。この例のBobのような「読み取り専用」のタイプのユーザーには、同じコンテンツセットに対するセンサー読み取りアクセス許可のみのロールを作成します。

F:図6:ErinとGraceは、事実上、読み取りと書き込みの両方のアクセス許可を持つ

拒否ロールにおいて、アクセス許可が暗黙で付与されることはありません。 アクセス許可は明示的に拒否する必要があり、除外するには、付与ロールで構成されているアクセス許可に完全に一致する必要がありません。 例えば、特定のコンテンツセットに対してセンサー書き込みアクセス許可が拒否されていると拒否ロールが主張したとしても、そのことは、センサー読み取りアクセス許可が拒否されていることを意味しません。 次の例で実際のアクセス許可を評価してみましょう。拒否ロールのアクセス許可は付与ロールアクセス許可のどれとも完全には一致しません。このため、付与のアクセス許可が取り消されることはありません。拒否ロールは無視され、Bobには、指定のコンテンツセットに対するセンサー読み取りアクセス許可を引き続き持ちます。

F:図7:事実上、ボブに読み取りアクセス許可がある

継承ロール

ユーザーは、割り当てられたユーザーグループからロールを継承します。Erinは、David's Teamという名のユーザーグループに属しているため、そのユーザーグループに割り当てられているアクセス許可を継承します。彼女はまた、彼女自身のユーザー構成に割り当てられているアクセス許可も持っています。システムは実質的な適用をします。例えば次の例では、Erinは、拒否ロールで指定されている機能で彼女に割り当てられている機能を除き、グループ割り当ておよびユーザー固有の付与ロールによって付与されるすべての機能を持ちます。

F:図8:継承ロール

予約ロール

予約ロールは、特殊な目的の機能を有効にする特権を割り当てます。このアクセス許可は暗黙であり、変更したり、削除したりすることはできません。予約ロールには、以下があります。

  • 管理者 - あらゆるコンテンツとモジュール、管理機能に対する完全なアクセス許可。
  • コンテンツセット管理者 - ロールとコンテンツセット構成、およびユーザーとユーザーグループ構成のロールコンポーネントに対する読み取り/書き込みアクセス許可。
  • コンテンツ管理者 - あらゆるコンテンツに対する読み取り/書き込みアクセス許可、およびアクションの管理機能。
  • すべて拒否 - ユーザーに割り当てられているその他のロールに関係なく、いっさいのアクセス権。

ユーザーに対する予約ロールやその他のロールの割り当てでは、特別なロジックが適用されます。

管理者

ユーザーに管理者ロールが割り当てられている場合、他の付与ロールは不要であり、拒否ロール(Deny All (すべて拒否)を除く) は意味がありません。

F:図9: 管理者

例外:アクション承認のバイパスアクセス許可を持つ高度なロールを管理者予約ロールを持つユーザーに割り当てることは、意味があります。 デフォルトでは、管理者予約ロールにはこのアクセス許可がありません。承認のバイパスは慎重に扱うべき性質上、どのようなケースでも、このアクセス許可は明示的に割り当てる必要があります。

コンテンツセット管理者

コンテンツセット管理者ロールは、ユーザーおよびユーザーグループ構成内のロールの割り当てを含む、コンテンツセットとロール構成に対する読み取り/書き込み特権を割り当てます。その他の付与ロールは、すべて無視されます。唯一意味があるのは、Deny All (すべて拒否)ロールだけです。

F:図10: コンテンツセット管理者

コンテンツセット管理者と管理者ロールの両方を割り当てたときの結果に注目してください。意味があるのは、コンテンツセット管理者ロールだけです。他のロールを持つべきユーザーにコンテンツセット管理者ロールを割り当てることがないよう、注意してください。管理者ロールが割り当てられているユーザーにコンテンツセット管理者ロールを(直接またはグループ継承によって)割り当てることがないよう注意してください。

コンテンツ管理者

コンテンツ管理者ロールは、あらゆるコンテンツセットに対する読み取り/書き込み特権のほか、アクション管理特権を付与します。ユーザーには、この予約ロールに加えて、モジュール付与ロールとMicro Adminロールを割り当てることができます。追加の高度なロールはすべて無視されます。モジュール付与ロールは追加されます。Micro Adminロールはファクタリングされます。

F:図11:コンテンツ管理者

Deny All (すべて拒否)

Deny All (すべて拒否)を割り当てられたユーザーは、管理者ロールなどの他のロールが割り当てられていたとしても、何にもアクセスできません。次の例では、フランクに割り当てられたロールの中で意味があるのはDeny All (すべて拒否)だけです。

F:図12:すべて拒否

有効なアクセス許可

継承されたアクセス許可や暗黙のアクセス許可の影響の追跡が難しいことがあります。 構成を変更するときは、必ず[Effective Permissions (有効なアクセス許可)]プレビューおよびリストを使用して、各Tanium Consoleユーザーのユーザー指定ロール、継承ロール、付与/拒否のアクセス許可の実際を確認してください。詳細ページを見ると、有効なアクセス許可の由来が明確になります。

F:図13:有効なアクセス許可ページ

ロールセクションで、継承ロールのタイル上にカーソルを合わせると継承元のグループを確認できます。 ロールのタイルをクリックすると、、アクセス許可セクションの関連するアクセス許可が強調されます。[All Roles (すべてのロール)]タイルをクリックすると、強調表示なしにアクセス許可が再表示されます。

ロールベースのホームページ

7.1以降では、ユーザーのホームページはユーザーの有効なアクセス許可に基づいています。ホームページは、ユーザーが最初にコンソールにログインしたとき、またはコンソールページの上部にあるロゴをクリックしたときに表示されるページです。

F:図14:ロールベースのホームページ

ロールベースのユーザー設定ページ

7.1以降において、Tanium Consoleは、ユーザーの有効なアクセス許可に基づいてユーザー設定ページの設定をフィルタリングします。質問のアクセス許可をユーザーが得ていない場合、設定の多くは適用されません。

LDAPのサポート

外部Lightweight Directory Access Protocol (LDAP)サーバーから、ユーザーとユーザーグループをインポートできます。ユーザーとユーザーグループは、5分ごとにインポート(同期)されます。インポート操作では、Taniumユーザー構成が作成または削除されたり、グループ構成内のメンバーが作成、削除、または変更されたりします。LDAP サーバーは、インポートされたユーザーの認証に利用できます。

デフォルトユーザー

インストール時に作成されるTanium Consoleユーザーには、スーパーユーザー(オペレーティングシステムのrootまたはadminユーザーなど)のような特権が与えられます。この初期ユーザーは、すべてのグループのコンピューターグループアクセス許可と管理者予約ロールを使って構成されるため、Taniumで「あらゆること」を行うことができます。ただし、rootやadminと異なり、このユーザーはビルトインユーザーではありません。デフォルトユーザーは変更したり、削除したりできます。

新規ユーザーに対するデフォルト構成には、コンピューターグループ、ユーザーグループ、ユーザーロールのどれも割り当てられていません。何のロールもないユーザーはログインはできますが、何にもアクセスすることはできません。ユーザーが、意味のあるアクセスができるようにするには、ロールを割り当てるか、ユーザーグループからロールを継承する必要があります。

最終更新:12/13/20181:48 PM| フィードバック

Powered by Translations.com GlobalLink OneLink Software