Application Delivery Management

グループの構成

NetScaler ADM では、グループには機能レベルとリソースレベルのアクセス権の両方があります。たとえば、あるユーザーグループは選択したNetScaler インスタンスのみにアクセスし、別のグループには選択した少数のアプリケーションのみにアクセスできるなどです。

グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。NetScaler ADM では、そのグループのすべてのユーザーに、同じアクセス権が割り当てられます。

NetScaler ADM では、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。特定の権限をエンティティレベルでユーザーまたはグループに動的に割り当てることができます。

NetScaler ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。

  • 仮想サーバー(アプリケーション) -負荷分散(lb)、GSLB、コンテキストスイッチング(CS)、キャッシュリダイレクト(CR)、認証()、NetScaler Gateway(VPNAuth

  • サービス -負荷分散とGSLBサービス
  • サービスグループ -負荷分散と GSLB サービスグループ
  • サーバ -負荷分散サーバ

ユーザーグループの作成

  1. NetScaler ADM で、[ 設定] > [ユーザーとロール] > [グループ]に移動します。

  2. [追加] をクリックします。

    システムグループの作成 」ページが表示されます。

  3. [ グループ名 ] フィールドに、グループの名前を入力します。

  4. グループの 説明 」フィールドに、グループの説明を入力します。グループについてわかりやすい説明をしておくと、後でグループの役割と機能をよりよく理解するのに役立ちます。  

  5. [ ロール ] セクションで、1 つ以上のロールを [ 構成済み ] リストに追加または移動します。

    注:

    使用可能 」リストの「 新規 」または「 編集 」をクリックして、ロールを作成または変更できます。または、[ 設定] > [ユーザーとロール] > [ユーザー] に移動して、ユーザーを作成または変更することもできます。

    システムグループの作成

  6. [次へ] をクリックします。「 認証設定 」タブでは、次のリソースの認証設定を指定できます。

    • Autoscale グループ
    • インスタンス
    • アプリケーション
    • 構成テンプレート
    • StyleBook
    • コンフィグパック
    • ドメイン名

    認証設定のカテゴリ

    ユーザーがアクセスできる特定のリソースをカテゴリから選択したい場合があります。

    Autoscale グループ:

    ユーザーが表示または管理できる特定のAutoscale eグループを選択する場合は、次の手順を実行してください。

    1. すべての AutoScale グループ 」チェックボックスをオフにし、「 AutoScale グループを追加」をクリックします。

    2. リストから必要なAutoscale グループを選択し、「 OK」をクリックします。

    インスタンス:

    ユーザーが表示または管理できる特定のインスタンスを選択するには、次の手順を実行します。

    1. [ すべてのインスタンス ] チェックボックスをオフにし、[ インスタンスを選択] をクリックします。

    2. リストから必要なインスタンスを選択し、 OKをクリックします。

      [インスタンスを選択]

    アプリケーション:

    「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。

    インスタンスを選択せずにアプリケーションへのアクセスを許可できます。なぜなら、アプリケーションはインスタンスから独立しているため、ユーザーにアクセス権が付与されているからです。

    アプリケーションへのアクセスをユーザーに許可すると、そのユーザーは、インスタンスの選択に関係なく、そのアプリケーションにのみアクセスできます。

    このリストには次のオプションがあります。

    • すべてのアプリケーション: このオプションはデフォルトで選択されています。NetScaler ADM に存在するすべてのアプリケーションを追加します。

    • 選択したインスタンスのすべてのアプリケーション: このオプションは、「 すべてのインスタンス」カテゴリからインスタンスを選択した場合にのみ表示されます 。選択したインスタンスに存在するすべてのアプリケーションを追加します。

    • 特定のアプリケーション: このオプションでは、ユーザーにアクセスさせたい必須アプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。

    • 個々のエンティティタイプを選択: このオプションでは、特定のタイプのネットワーク機能エンティティと対応するエンティティを選択できます。

      個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。

      バインドされたエンティティにも適用 」オプションを選択すると、選択したエンティティタイプにバインドされているエンティティが承認されます。たとえば、アプリケーションを選択し、「 バインドされたエンティティにも適用」を選択すると、NetScaler ADMは選択したアプリケーションにバインドされているすべてのエンティティを承認します。

      注意:

      バインドされたエンティティを承認する場合は、必ずエンティティタイプを1つだけ選択してください。

    正規表現を使用して、グループの正規表現基準を満たすネットワーク関数エンティティを検索して追加できます。指定された正規表現は NetScaler ADM に保持されます。正規表現を追加するには、次の手順を実行します。

    1. 正規表現を追加」をクリックします。

    2. テキストボックスに正規表現を指定します。

      次の図は、「 特定のアプリケーション」オプションを選択した場合に、正規表現を使用してアプリケーション を追加する方法を示しています。

      特定の用途

      次の図は、[ 個々のエンティティタイプを選択] オプションを選択した場合に、正規表現を使用してネットワーク関数エンティティ を追加する方法を示しています。

      ネットワーク機能エンティティタイプ

    正規表現をさらに追加するには、 + アイコンをクリックします。

    注:

    正規表現は Servers エンティティタイプのサーバー名にのみ一致し、サーバー IP アドレスとは一致しません。

    検出されたエンティティに対して「 バインドされたエンティティにも適用 」オプションを選択すると、ユーザーは検出されたエンティティにバインドされているエンティティに自動的にアクセスできます。

    正規表現はシステムに保存され、認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler ADM は認証範囲を新しいエンティティに更新します。

    設定テンプレート:

    ユーザーが表示または管理できる特定の設定テンプレートを選択するには、次の手順を実行します。

    1. [ すべての構成テンプレート ] チェックボックスをオフにし、[ 構成テンプレートを追加] をクリックします。

    2. リストから目的のテンプレートを選択し、[ OK] をクリックします。

    StyleBook:

    ユーザーが表示または管理できる特定のStyleBookを選択するには、次の手順を実行します。

    1. すべてのStyleBook 」チェックボックスをオフにして、「 グループにStyleBookを追加」をクリックします。StyleBook を個別に選択することも、フィルタクエリを指定して StyleBook を承認することもできます。

      個々の StyleBook を選択する場合は、「個別 StyleBook」ペインから StyleBook を選択し、「 選択内容の保存」をクリックします。

      クエリを使用してStyleBookを検索する場合は、[ カスタムフィルタ ] ペインを選択します。クエリーは、namenamespace およびversionをキーとするキーと値のペアの文字列です。

      正規表現を値として使用して、グループの正規表現条件を満たすStyleBookを検索して追加することもできます。StyleBooksを検索するカスタムフィルタクエリは 、AndOrの両方をサポートしています。

      例:

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      このクエリは、次の条件を満たすStyleBookをリストします。

      • StyleBook名はlb-monまたはlbのいずれかです。
      • StyleBookの名前空間はcom.citrix.adc.stylebooksです。
      • StyleBook版は 1.0です。

      キー式に定義された値式の間でOr演算を使用します。

      例:

      • name=lb-mon|lbクエリは有効です。これは、名前lb-monまたはlbのいずれかを持つStyleBooksを返します 。
      • name=lb-mon | version=1.0 クエリは無効です。

      Enterを押して検索結果を表示し、[ クエリーの保存] をクリックします。

      カスタムフィルタ

      保存されたクエリが [ カスタムフィルタクエリー] に表示されます。保存されたクエリに基づいて、ADMはそれらのStyleBookへのユーザーアクセスを提供します。

    2. リストから必要なStyleBookを選択し、「 OK」をクリックします。

      グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。

    コンフィグパック:

    Configpacksで、次のいずれかのオプションを選択します。

    • 選択したStyleBookのすべての構成: このオプションでは、選択したStyleBookのすべての構成パックが追加されます。

    • 特定の構成: このオプションでは、必要な構成パックを追加できます。

      グループを作成し、そのグループにユーザーを追加するときに、必要な構成パックを選択できます。

    ドメイン名:

    ユーザーが表示または管理できる特定のドメイン名を選択するには、次の手順を実行します。

    1. [ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名を追加] をクリックします。

    2. リストから必要なドメイン名を選択し、 OKをクリックします。

  7. [Create Group] をクリックします。

  8. ユーザーの割り当て 」セクションで、「 使用可能 」リストからユーザーを選択し、「 構成済み 」リストにユーザーを追加します。

    注:

    新規」をクリックしてユーザーを追加することもできます。

    システムグループを作成する例

  9. [完了] をクリックします。

複数のネットワーク機能エンティティにわたるユーザーアクセスを管理

管理者は、NetScaler ADMのネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。また、正規表現フィルターを使用して、エンティティレベルで特定の権限をユーザーまたはグループに動的に割り当てることができます。

このドキュメントでは、エンティティレベルでユーザー権限を定義する方法について説明します。

開始する前に、グループを作成します。詳しくは、「 NetScaler ADM でのグループの構成 」を参照してください。

使用シナリオ:

1 つ以上のアプリケーション (仮想サーバー) が同じサーバーでホストされているシナリオを考えてみましょう。スーパー管理者 (George) は、Steve (アプリケーション管理者) にホスティングサーバーではなく App1 にのみアクセス権を付与したいと考えています。

次の表は、サーバーAがアプリケーションApp-1とApp-2をホストするこの環境を示しています。

ホストサーバー アプリケーション (仮想サーバー) サービス サービスグループ
サーバー A App1 App-service-1 App-service-group-1
サーバー A App2 App-service-2 App-service-group-2

注:

NetScaler ADMは、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。エンティティタイプの仮想サーバーはアプリケーションと呼ばれます。

ネットワーク機能エンティティにユーザー権限を割り当てるために、George はユーザー権限を次のように定義します。

  1. [ アカウント] > [ユーザー管理] > [グループ ] に移動し、グループを追加します。

  2. 認証設定 」タブで、「アプリケーションを選択」を選択します。

  3. 「個々のエンティティタイプを選択」を選択します

  4. すべてのアプリケーション 」エンティティタイプを選択し、使用可能なリストから App-1 エンティティを追加します。

  5. [Create Group] をクリックします。

  6. ユーザーの割り当て」で、権限を必要とするユーザーを選択します。このシナリオでは、George は Steve のユーザープロファイルを選択します。

  7. [完了]をクリックします。

この認証設定では、Steve は App-1 のみを管理でき、他のネットワーク機能エンティティは管理できません。

注意:

バインドされたエンティティにも適用 」オプションがオフになっていることを確認してください。それ以外の場合、NetScaler ADMはApp-1にバインドされているすべてのネットワーク機能エンティティへのアクセスを許可します。その結果、ホスティングサーバーへのアクセスも許可されます。

スーパー管理者は、エンティティタイプごとに正規表現 (regex) を指定できます。正規表現はシステムに保存され、ユーザー認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler ADMはユーザーに特定のネットワーク機能エンティティへのアクセスを動的に許可できます。

ユーザー権限を動的に付与するために、特権管理者は [ 権限設定 ] タブに正規表現を追加できます。

このシナリオでは、George が Applications App* エンティティタイプの正規表現を追加すると、正規表現条件に一致するアプリケーションがリストに表示されます。この認証設定により、Steve はApp*正規表現に一致するすべてのアプリケーションにアクセスできます。ただし、彼のアクセスはアプリケーションのみに制限され、ホストされたサーバーには制限されません。

承認スコープに基づくユーザーアクセスの変更方法

管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。

この場合、ADM は特定の認証範囲に応じてユーザーにアプリケーションへのアクセスを許可します。

ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。

  • Policy-1 — アプリケーションへのアクセス権限のみを表示します。

  • ポリシー-2 — アプリケーションへのアクセス権を表示および編集します。

承認スコープによるユーザーアクセスの変更

ユーザーは Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。

NetScaler ADM を12.0以降のリリースにアップグレードするときのRBACのマッピング

NetScaler ADM を12.0から13.1にアップグレードすると、グループの作成時に「読み取り/書き込み」または「読み取り」権限を付与するオプションは表示されません。これらの権限は「役割」と「アクセスポリシー」に置き換えられており、より柔軟に役割ベースの権限をユーザーに提供できます。次の表に、リリース 12.0 の権限がリリース 13.1 にどのようにマッピングされるかを示します。

12.0 アプリケーションのみ許可 13.1
admin read-write False admin
admin read-write True appAdmin
admin read-only False readonly
admin read-only appReadonly
グループの構成