ロールベースのアクセス制御を構成する
NetScaler ADMは、きめ細かな役割ベースのアクセス制御(RBAC)を提供し、企業内の個々のユーザーの役割に基づいてアクセス許可を付与できます。
NetScaler ADMでは、すべてのユーザーがCitrix Cloudに追加されます。組織の最初のユーザーとして、まずCitrix Cloudでアカウントを作成し、Citrix Cloudの資格情報を使用してNetScaler ADM GUIにログオンする必要があります。スーパー管理者の役割が付与され、デフォルトでは、NetScaler ADMのすべてのアクセス権が付与されます。後でCitrix Cloudで組織内に他のユーザーを作成できます。
後で作成され、通常のユーザーとしてNetScaler ADMにログオンするユーザーは、委任された管理者と呼ばれます。これらのユーザーは、デフォルトで、ユーザー管理権限以外のすべての権限を持ちます。ただし、これらの委任された管理者ユーザーには、特定のユーザー管理アクセス許可を付与できます。適切なポリシーを作成し、これらの委任されたユーザーに割り当てることで、そのポリシーを実行できます。ユーザー管理権限は [設定] > [ユーザーとロール] にあります。特定の権限を割り当てる方法の詳細については、「 委任された管理者ユーザーに追加の権限を割り当てる方法」を参照してください。
ポリシー、ロール、グループの作成方法、およびユーザーをグループにバインドする方法の詳細については、次のセクションを参照してください。
例:
次の例は、NetScaler ADMでRBACを実現する方法を示しています。
ADCグループ長であるクリスは、組織内のNetScaler ADM スーパー管理者です。クリスはセキュリティ管理者、アプリケーション管理者、ネットワーク管理者という3つの管理者の役割を作成します。
- セキュリティ管理者の David は、SSL 証明書の管理と監視のための完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。
- アプリケーション管理者のスティーブは、特定のアプリケーションと特定の構成テンプレートのみのアクセスが必要です。
- ネットワーク管理者のグレッグは、システムとネットワーク管理へのアクセスが必要です。
- また、Chris は、ローカルまたは外部であるかどうかにかかわらず、すべてのユーザーに対して RBAC を提供する必要があります。
下図に、各種の管理者とほかのユーザーが持つ権限と社内での役割を示します。
役割ベースのアクセス制御をユーザーに提供するには、まずCitrix Cloudにユーザーを追加する必要があります。その後、NetScaler ADMでユーザーを表示できます。Chris は、ロールに応じて、各ユーザーのアクセスポリシーを作成する必要があります。アクセスポリシーは、ロールに緊密にバインドされています。したがって、Chris はロールも作成する必要があります。その後、ロールはグループにのみ割り当てられ、個々のユーザーには割り当てられないため、グループを作成する必要があります。
Access は、ファイルの表示、作成、変更、削除など、特定のタスクを実行する機能です。ロールは、企業内のユーザーの権限と責任に応じて定義されます。たとえば、1 人のユーザーがすべてのネットワーク操作の実行を許可し、別のユーザーはアプリケーションのトラフィックフローを監視し、構成テンプレートの作成に役立ちます。
ロールはポリシーによって決定されます。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ユーザーにロールを割り当てることができます。役割は、ユーザーのグループに割り当てることもできます。グループとは、共通の権限を持つユーザーの集まりです。たとえば、特定のデータセンターを管理している複数のユーザーを1つのグループに割り当てることができます。ロールは、特定の条件に基づいてユーザーを特定のグループに追加することによってユーザーに付与される ID です。NetScaler ADM では、役割とポリシーの作成はNetScaler ADC RBAC機能に固有です。役割とポリシーは、企業のニーズが進展するにつれて簡単に作成、変更、または終了できます。各ユーザーの権限を個別に更新する必要はありません。
役割は機能ベースまたはリソースベースにすることができます。たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。アプリケーション管理者は、スコープ内のリソースにのみアクセスできます。
したがって、スーパー管理者であるChris(スーパー管理者)のロールで、NetScaler ADMで以下の例タスクを実行して、組織のセキュリティ管理者であるDavidのアクセスポリシー、役割、およびユーザーグループを構成します。
NetScaler ADMでのユーザーの構成
スーパー管理者は、NetScaler ADM ではなくCitrix Cloud でアカウントを設定することで、より多くのユーザーを作成できます。新しいユーザーがNetScaler ADMに追加されると、そのユーザーに適切なグループを割り当てることによってのみ、ユーザーの権限を定義できます。
Citrix Cloudで新しいユーザーを追加するには:
-
NetScaler ADM GUIで、左上のハンバーガーアイコンをクリックし、[ アイデンティティとアクセスの管理]を選択します。
-
[ID とアクセス管理] ページで、[ 管理者 ] タブを選択します。
このタブには、Citrix Cloudで作成されたユーザーが一覧表示されます。
-
リストから ID プロバイダーを選択します。
-
Citrix ID:NetScaler ADM に追加するユーザーのメールアドレスを入力し、「 招待」をクリックします。
注
ユーザーは、Citrix Cloudから招待メールを受信します。ユーザーは、電子メールに記載されているリンクをクリックして、フルネームとパスワードを入力して登録プロセスを完了し、後で資格情報を使用してNetScaler ADMにログオンする必要があります。
-
Azure Active Directory (AD): このオプションは、Azure AD が Citrix Cloud に接続されている場合にのみ表示されます。「 Azure Active Directory を Citrix Cloud に接続する」を参照してください。このオプションを選択してユーザーまたはグループを招待する場合、 選択したユーザーまたはグループにカスタムアクセスのみを指定できます 。ユーザーは、Azure AD の資格情報を使用してNetScaler ADM にログインできます。また、選択したAzure AD の一部であるユーザー用にCitrix IDを作成する必要はありません。招待されたグループにユーザーが追加された場合、新しく追加されたユーザーに招待を送信する必要はありません。このユーザーは、Azure AD の資格情報を使用してNetScaler ADM にアクセスできます。
-
-
指定したユーザーまたはグループの [ カスタムアクセス ] を選択します。
-
「 Application Delivery Management」を選択します。
このオプションでは、NetScaler ADM で作成されたユーザーグループが一覧表示されます。ユーザーを追加するグループを選択します。
Citrix ID Azure AD 
[招待を送信する] をクリックします。 「 管理者グループを追加」をクリックします。
管理者は、ユーザーがNetScaler ADMにログオンした後にのみ、[NetScaler ADMユーザー]の一覧に新しいユーザーが表示されます。
NetScaler ADMでユーザーを構成するには:
-
NetScaler ADM GUIで、[ 設定]>[ユーザーと役割]>[ユーザー]に移動します。
-
ユーザーは [ユーザー] ページに表示されます。
-
ユーザーを選択して編集をクリックすると、ユーザーに付与された権限を編集できます。[ 設定 ] ノードの下の [ グループ ] ページで、グループのアクセス許可を編集することもできます。
注
-
ユーザーは、Citrix CloudからのみNetScaler ADMに追加されます。したがって、管理者権限を持っていても、NetScaler ADM GUIでユーザーを追加または削除することはできません。グループ権限のみを編集できます。Citrix Cloudからユーザーを追加または削除できます。
-
ユーザーの詳細情報は、ユーザーがNetScaler ADMに少なくとも1回ログオンした後にのみ、サービスGUIに表示されます。
-
NetScaler ADMでのアクセスポリシーの構成
アクセスポリシーでは、権限が定義されます。ロールを作成すると、ポリシーを 1 つのユーザーグループまたは複数のグループに適用できます。ロールはポリシーによって決定されます。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ロールをユーザグループに割り当てる必要があります。NetScaler ADMには、5つの事前定義されたアクセスポリシーが用意されています。
- admin_policy すべてのNetScaler ADMノードへのアクセスを許可します。ユーザーには表示権限と編集権限があり、すべてのNetScaler ADM コンテンツを表示でき、すべての編集操作を実行できます。つまり、ユーザーは、リソースに対する操作を追加、変更、および削除できます。
- adminExceptSystem_policy. NetScaler ADM GUIのすべてのノード([設定]ノードへのアクセスを除く)のユーザーにアクセス権を付与します。
- readonly_policy。読み取り専用権限を付与します。ユーザーはNetScaler ADM上のすべてのコンテンツを表示できますが、操作を実行する権限はありません。
- appadmin_policy。NetScaler ADM アプリケーション機能にアクセスするための管理権限を付与します。このポリシーにバインドされたユーザーは、カスタムアプリケーションを追加、変更、削除したり、サービス、サービスグループ、さまざまな仮想サーバー(コンテンツスイッチやキャッシュリダイレクトなど)を有効または無効にしたりできます。
- appreadonly_policy。アプリケーション機能に対する読み取り専用権限を付与します。このポリシーにバインドされているユーザーはアプリケーションを表示できますが、追加、変更、削除、有効化、および無効化の操作は実行できません。
これらの定義済みポリシーは編集できませんが、独自の(ユーザ定義の)ポリシーを作成することはできます。
以前は、ポリシーを役割に割り当てて、その役割をユーザーグループにバインドすると、NetScaler ADM GUIでノードレベルでユーザーグループのアクセス許可を提供できます。たとえば、負荷分散ノード全体へのアクセス許可のみを提供できます。ユーザーは、負荷分散ノードの下にあるすべてのエンティティ固有のサブノード(仮想サーバー、サービスなど)にアクセスする権限を持っているか、 負荷分散の下にあるノードにアクセスする権限を持っていませんでした。
NetScaler ADM 507.x以降のビルドバージョンでは、アクセスポリシー管理が拡張され、サブノードの権限も提供されます。アクセスポリシー設定は、仮想サーバ、サービス、サービスグループ、サーバなど、すべてのサブノードに対して構成できます。
現時点では、負荷分散ノードの下のサブノードと GSLB ノードの下のサブノードに対してのみ、このような詳細なレベルのアクセス許可を提供できます。
たとえば、管理者は、[Load Balancing] ノードのバックエンドサービス、サービスグループ、およびアプリケーションサーバーではなく、仮想サーバーを表示するためのアクセス権のみをユーザーに付与できます。このようなポリシーが割り当てられているユーザーは、仮想サーバーにのみアクセスできます。
ユーザー定義のアクセスポリシーを作成するには、次の手順を実行します。
-
NetScaler ADM GUIで、[ 設定]>[ユーザーと役割]>[アクセスポリシー]に移動します。
-
[追加] をクリックします。
-
[ アクセスポリシーの作成 ] ページの [ ポリシー名 ] フィールドにポリシーの名前を入力し、[ポリシーの説明] フィールドに説明を入力します 。
[ アクセス許可 ]セクションには、NetScaler ADM のすべての機能が一覧表示され、読み取り専用、有効/無効化、または編集アクセス権を指定するためのオプションが表示されます。
-
[+]アイコンをクリックして、各機能グループを複数の機能に展開します。
-
機能名の横にある権限チェックボックスを選択して、ユーザーに権限を付与します。
-
表示: このオプションにより、ユーザーはNetScaler ADM で機能を表示できます。
-
有効化/無効化: このオプションは、NetScaler ADM での操作を有効または無効にするネットワーク機能でのみ使用できます 。ユーザーは、この機能を有効または無効にすることができます。また、ユーザーは [ 今すぐポーリング ] アクションを実行することもできます。
ユーザーに「 有効/無効化 」権限を付与すると、「 表示 」権限も付与されます。このオプションの選択を解除することはできません。
-
編集: このオプションはユーザーにフルアクセスを許可します。ユーザーは機能とその機能を変更できます。
編集権限を付与すると 、 **表示権限と有効化/無効化権限の両方が付与されます** 。自動選択オプションの選択を解除することはできません。
機能のチェックボックスを選択すると、その機能のすべての権限が選択されます。
-
注:
負荷分散と GSLB を展開すると、より多くの設定オプションが表示されます。
次の図では、負荷分散機能の構成オプションに異なる権限があります。
仮想サーバ 機能に対する 表示 権限は、ユーザーに付与されます。ユーザーは、NetScaler ADM で負荷分散仮想サーバーを表示できます。仮想サーバーを表示するには、[ インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ 仮想サーバー ] タブを選択します。
サービス 機能の 有効化/無効化 権限は、ユーザーに付与されます。 この権限は閲覧権限も付与します 。ユーザーは、負荷分散仮想サーバーにバインドされたサービスを有効または無効にすることができます。また、ユーザーはサービスに対して [ 今すぐポーリング ] アクションを実行できます。サービスを有効または無効にするには、[ インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ サービス ] タブを選択します。
注:
ユーザーが Enable-Disable アクセス許可を持っている場合、次のページで、サービスの有効化/無効化アクションが制限されます。
-
[ インフラストラクチャー] > [ネットワーク機能] に移動します。
-
仮想サーバを選択し、[ 構成]をクリックします。
-
負荷分散仮想サーバーサービスバインディングページを選択します 。 このページには、「 有効化」または「無効化**」を選択するとエラーメッセージが表示されます。
**サービスグループ機能の編集権限がユーザーに付与されます。この権限は、 **表示権限と有効化/無効化権限が付与されている場所でのフルアクセスを許可します** 。ユーザーは、負荷分散仮想サーバーにバインドされているサービスグループを変更できます。サービスグループを編集するには、[ **インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ サービスグループ ] タブを選択します。
-
-
[作成] をクリックします。
注
[ 編集] を選択すると、[権限] セクションに有効として表示されない依存アクセス許可が内部的に割り当てられることがあります。たとえば、障害管理の編集権限を有効にすると、NetScaler ADMは、メールプロファイルの構成またはSMTPサーバー設定の作成のためのアクセス許可を内部的に提供します。これにより、ユーザーはレポートをメールとして送信できます。
ユーザーにStyleBookパーミッションを付与する
アクセスポリシーを作成して、StyleBookのインポート、削除、ダウンロードなどの権限を付与できます。
注:
他のStyleBook権限を付与すると、表示権限は自動的に有効になります。
NetScaler ADMでの役割の構成
NetScaler ADMでは、各役割は1つ以上のアクセスポリシーにバインドされます。ポリシーと役割には、1対1、1対多、多対多の関係を定義できます。1つの役割を複数のポリシーにバインドすることも、複数の役割を1つのポリシーにバインドすることもできます。
たとえば、ある機能のアクセス権を定義するポリシーと別の機能のアクセス権を定義する別のポリシーの2つのポリシーに、1つの役割をバインドできます。一方のポリシーは、NetScaler ADMでNetScaler ADCインスタンスを追加するアクセス許可を付与し、もう1つのポリシーでは、StyleBookを作成して展開し、NetScaler ADCインスタンスを構成するためのアクセス許可を付与します。
1 つの機能に対して複数のポリシーで編集権限と読み取り専用権限が定義されている場合、編集権限は読み取り専用権限よりも優先されます。
NetScaler ADMには、次の5つの事前定義された役割が用意されています。
-
admin_role。すべてのNetScaler ADM 機能にアクセスできます。(このロールは
adminpolicyにバインドされています)。 - adminExceptSystem_Role。設定権限以外のNetScaler ADM GUIにアクセスできる。(このロールは adminExceptSystem_Policy にバインドされています)
-
readonly_role。読み取り専用アクセスが設定されています(このロールは
readonlypolicyにバインドされています)。 - appadmin_role。NetScaler ADM アプリケーション機能にのみ管理者権限が付与されます。(この役割はappAdminPolicyにバインドされています)。
- appreadonly_role。アプリケーション機能への読み取り専用アクセス権を持ちます。(この役割はappReadOnlyPolicyにバインドされています)。
定義済みのロールを編集することはできませんが、独自の (ユーザー定義) ロールを作成することはできます。
ロールを作成してポリシーを割り当てるには、次の手順に従います。
-
NetScaler ADM GUIで、[設定]>[ ユーザーと役割]>[役割 ]に移動します。
-
[追加] をクリックします。
-
[ ロールの作成 ] ページの [ ロール名 ] フィールドにロールの名前を入力し、[ロールの説明] フィールドに説明を入力します (オプション)。
-
[ ポリシー ] セクションで、1 つまたは複数のポリシーを [ 構成済み ] リストに追加します。
注
ポリシーには、すべてのテナントに固有のテナント ID (例:
maasdocfour) があらかじめ付けられています。
注:
[ 新規] をクリックしてアクセスポリシーを作成するか、[ 設定 ] > [ ユーザーとロール ] > [ アクセスポリシー ] に移動してポリシーを作成できます。
-
[作成] をクリックします。
NetScaler ADMでのグループの構成
NetScaler ADM では、グループには機能レベルとリソースレベルのアクセス権の両方があります。たとえば、あるユーザーグループは選択したNetScaler インスタンスのみにアクセスし、別のグループには選択した少数のアプリケーションのみにアクセスできるなどです。
グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。NetScaler ADM では、そのグループのすべてのユーザーに、同じアクセス権が割り当てられます。
NetScaler ADM では、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。特定の権限をエンティティレベルでユーザーまたはグループに動的に割り当てることができます。
NetScaler ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。
-
仮想サーバー(アプリケーション) :負荷分散(
lb)、GSLB、コンテキストスイッチング(CS)、キャッシュリダイレクト(CR)、認証(Auth)、およびNetScaler Gateway(vpn) - サービス -負荷分散とGSLBサービス
- サービスグループ -負荷分散と GSLB サービスグループ
- サーバ -負荷分散サーバ
グループを作成するには、次の手順に従います。
-
NetScaler ADMで、[ **設定] > [ **ユーザーと役割 ] > [グループ]** に移動します。**
-
[追加] をクリックします。
「 システムグループの作成 」ページが表示されます。
-
[ グループ名 ] フィールドに、グループの名前を入力します。
-
「 グループの説明 」フィールドに、グループの説明を入力します。適切な説明を提供することで、グループの役割と機能を理解するのに役立ちます。
-
[ ロール ] セクションで、1 つまたは複数のロールを [ 構成済み ] リストに移動します。
注
ロールには、すべてのテナントに固有のテナント ID (例:
maasdocfour) があらかじめ付けられています。 -
[ 使用可能 ] ボックスの一覧で、[ 新規 ] または [ 編集 ] をクリックし、ロールを作成または変更できます。
または、[ 設定] > [ユーザーとロール] > [ユーザー] に移動して、ユーザーを作成または変更することもできます。
-
[次へ] をクリックします。
-
[ 認証設定 ] タブでは、次のカテゴリからリソースを選択できます。
- Autoscale グループ
- インスタンス
- アプリケーション
- 構成テンプレート
- IPAM プロバイダーとネットワーク
- StyleBook
- Configpacks
- ドメイン名
ユーザーがアクセスできる特定のリソースをカテゴリから選択したい場合があります。
Autoscale グループ:
ユーザーが表示または管理できる特定のAutoScaleグループを選択する場合は、次の手順に従います。
-
「 すべての AutoScale グループ 」チェックボックスをオフにし、「 AutoScale グループを追加」をクリックします。
-
リストから必要なAutoscale グループを選択し、「 OK」をクリックします。
インスタンス:
ユーザーが表示または管理できる特定のインスタンスを選択するには、次の手順を実行します。
-
[ すべてのインスタンス ] チェックボックスをオフにし、[ インスタンスを選択] をクリックします。
-
リストから必要なインスタンスを選択し、 OKをクリックします。
![[インスタンスを選択]](/en-us/citrix-application-delivery-management-service/media/service-selecting-instances.png)
アプリケーション:
「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。
インスタンスを選択せずにアプリケーションへのアクセスを許可できます。なぜなら、アプリケーションはインスタンスから独立しているため、ユーザーにアクセス権が付与されているからです。
アプリケーションへのアクセスをユーザーに許可すると、そのユーザーは、インスタンスの選択に関係なく、そのアプリケーションにのみアクセスできます。
このリストには次のオプションがあります。
-
すべてのアプリケーション: このオプションはデフォルトで選択されています。NetScaler ADM に存在するすべてのアプリケーションを追加します。
-
選択したインスタンスのすべてのアプリケーション: このオプションは、「 すべてのインスタンス」カテゴリからインスタンスを選択した場合にのみ表示されます 。選択したインスタンスに存在するすべてのアプリケーションを追加します。
-
特定のアプリケーション: このオプションでは、ユーザーにアクセスさせたい必須アプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。
-
[ 個々のエンティティタイプを選択]: このオプションでは、ネットワーク機能エンティティと対応するエンティティの特定のタイプを選択できます。
個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。
[ バインドされたエンティティにも適用 ] オプションは、選択したエンティティタイプにバインドされているエンティティを承認します。たとえば、アプリケーションを選択し、[バインドされたエンティティにも適用 ] を選択すると、選択したアプリケーションにバインドされているすべてのエンティティがNetScaler ADMによって承認されます。
注記
バインドされたエンティティを承認する場合は、エンティティタイプを 1 つだけ選択してください。
正規表現を使用して、グループの正規表現基準を満たすネットワーク関数エンティティを検索して追加できます。指定された正規表現は NetScaler ADM に保持されます。正規表現を追加するには、次の手順を実行します。
-
「 正規表現を追加」をクリックします。
-
テキストボックスに正規表現を指定します。
次の図は、「 特定のアプリケーション」オプションを選択した場合に、正規表現を使用してアプリケーション を追加する方法を示しています。
次の図は、[ 個々のエンティティタイプを選択] オプションを選択した場合に、正規表現を使用してネットワーク関数エンティティ を追加する方法を示しています。
正規表現をさらに追加するには、 + アイコンをクリックします。
注:
正規表現は、サーバーエンティティタイプのサーバー名にのみ一致し、 サーバーの IP アドレスとは一致しません。
検出されたエンティティに対して「 バインドされたエンティティにも適用 」オプションを選択すると、ユーザーは検出されたエンティティにバインドされているエンティティに自動的にアクセスできます。
正規表現はシステムに保存され、認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler ADM は認証範囲を新しいエンティティに更新します。
設定テンプレート:
ユーザーが表示または管理できる特定の設定テンプレートを選択するには、次の手順を実行します。
-
[ すべての構成テンプレート ] チェックボックスをオフにし、[ 構成テンプレートを追加] をクリックします。
-
リストから目的のテンプレートを選択し、[ OK] をクリックします。
IPAM プロバイダーとネットワーク:
ユーザーが表示または管理できる特定の IPAM プロバイダーとネットワークを追加する場合は、次の手順を実行します。
-
プロバイダの追加 -[ すべてのプロバイダ ] チェックボックスをオフにし、[ プロバイダの追加] をクリックします。必要なプロバイダを選択し、 「OK」をクリックします。
-
ネットワークの追加 -[ すべてのネットワーク ] チェックボックスをオフにし、[ ネットワークの追加] をクリックします。必要なネットワークを選択し、[ OK]をクリックします。
StyleBook:
ユーザーが表示または管理できる特定のStyleBookを選択するには、次の手順を実行します。
-
「 すべてのStyleBook 」チェックボックスをオフにして、「 グループにStyleBookを追加」をクリックします。StyleBook を個別に選択することも、フィルタクエリを指定して StyleBook を承認することもできます。
個々の StyleBook を選択する場合は、「個別 StyleBook」ペインから StyleBook を選択し、「 選択内容の保存」をクリックします。
クエリを使用してStyleBookを検索する場合は、[ カスタムフィルタ ] ペインを選択します。クエリーは、
name、namespaceおよびversionをキーとするキーと値のペアの文字列です。正規表現を値として使用して、グループの正規表現条件を満たすStyleBookを検索して追加することもできます。StyleBooksを検索するカスタムフィルタクエリは 、
AndとOrの両方をサポートしています。例:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->このクエリは、次の条件を満たすStyleBookをリストします。
- StyleBook名は
lb-monまたはlbのいずれかです。 - StyleBookの名前空間は
com.citrix.adc.stylebooksです。 - StyleBook版は
1.0です。
キー式に定義された値式の間で
Or演算を使用します。例:
-
name=lb-mon|lbクエリは有効です。これは、名前lb-monまたはlbのいずれかを持つStyleBooksを返します 。 -
name=lb-mon | version=1.0クエリは無効です。
Enterを押して検索結果を表示し、[ クエリーの保存] をクリックします。
保存されたクエリが [ カスタムフィルタクエリー] に表示されます。保存されたクエリに基づいて、NetScaler ADM はそれらのStyleBookへのユーザーアクセスを提供します。
- StyleBook名は
-
リストから必要なStyleBookを選択し、「 OK」をクリックします。
グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。
コンフィグパック:
Configpacksで、次のいずれかのオプションを選択します。
-
すべての構成:このオプションはデフォルトで選択されています。これにより、ユーザーはADMのすべての構成を管理できます。
-
選択したStyleBookのすべての構成:このオプションは、選択したStyleBookのすべての構成パックを追加します。
-
特定の構成:このオプションでは、任意のStyleBookの特定の構成を追加できます。
-
ユーザーグループによって作成されたすべての構成:このオプションにより、ユーザーは同じグループのユーザーによって作成された構成のみにアクセスできます。
グループを作成してユーザーをそのグループに割り当てるときに、適切な構成パックを選択できます。
ドメイン名:
ユーザーが表示または管理できる特定のドメイン名を選択するには、次の手順を実行します。
-
[ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名を追加] をクリックします。
-
リストから必要なドメイン名を選択し、 OKをクリックします。
-
[Create Group] をクリックします。
-
「 ユーザーの割り当て 」セクションで、「 使用可能 」リストでユーザーを選択し、「 構成済み 」リストにユーザーを追加します。
注
[ 新規] をクリックして、新しいユーザーを追加することもできます。
-
[完了] をクリックします。
承認スコープに基づくユーザーアクセスの変更方法
管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。
この場合、NetScaler ADM は、特定の認証範囲に応じてアプリケーションへのアクセスをユーザーに許可します。
ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。
-
Policy-1 — アプリケーションへのアクセス権限のみを表示します。
-
ポリシー-2 — アプリケーションへのアクセス権を表示および編集します。
ユーザーは Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。
制限事項
RBACは、次のNetScaler ADM機能では完全にはサポートされていません。
- 分析- RBAC は、分析モジュールによって完全にはサポートされていません。RBAC のサポートはインスタンスレベルに制限され、Gateway Insight、HDX Insight、Security Insight 分析モジュールのアプリケーションレベルでは適用されません。
- 例 1: インスタンスベースの RBAC (サポート)。いくつかのインスタンスを割り当てられている管理者は、[HDX Insight] > [ **デバイス ] でそれらのインスタンスと [ HDX Insight] > [ Applications ] の下にある対応する仮想サーバーのみを表示できます。これは、RBAC がインスタンスレベルでサポートされているためです。**
- 例 2: アプリケーションベースの RBAC (サポートされていません)。いくつかのアプリケーションが割り当てられている管理者は、[ **HDX Insight ] > [アプリケーション] の下にすべての仮想サーバーを表示できますが、それらにアクセスすることはできません。これは、RBAC はアプリケーションレベルではサポートされていません。**
- スタイルブック — RBACはスタイルブックでは完全にはサポートされていません。
- 複数のユーザーが単一のStyleBookにアクセスできますが、異なるNetScaler ADCインスタンスに対するアクセス権を持っている場合を考えます。ユーザーは、自分のインスタンス上で設定パックを作成および更新できますが、自分のインスタンス以外のインスタンスにはアクセスできないので、他のインスタンスでは設定パックを作成および更新できません。ただし、NetScaler ADCインスタンス上で作成された構成パックとオブジェクトは、独自のもの以外のものでも表示できます。