Application Delivery Management

役割ベースのアクセス制御

Citrix ADM には、企業内の個々のユーザーの役割に基づいてアクセス権限を付与できる、きめ細かな役割ベースのアクセス制御(RBAC)が用意されています。ここでは、アクセスとはファイルの表示、作成、変更、削除などの特定のタスクを実行する能力のことです。役割は、社内でのユーザーの権限と責任に従って定義されます。たとえば、1 人のユーザーがすべてのネットワーク操作の実行を許可し、別のユーザーがアプリケーションのトラフィックフローを監視し、設定テンプレートの作成を支援することができます。

役割はポリシーで決定されます。ポリシーを作成した後に役割を作成し、各役割を1つまたは複数のポリシーにバインドし、役割をユーザーに割り当てます。役割は、ユーザーのグループに割り当てることもできます。

グループとは、共通の権限を持つユーザーの集まりです。たとえば、特定のデータセンターを管理している複数のユーザーを1つのグループに割り当てることができます。ロールは、特定の条件に基づいてユーザーまたはグループに付与される ID です。NetScaler ADM では、役割とポリシーの作成はNetScaler ADC RBAC機能に固有です。役割とポリシーは、企業のニーズが進展するにつれて簡単に作成、変更、または終了できます。各ユーザーの権限を個別に更新する必要はありません。

役割は機能ベースまたはリソースベースにすることができます。たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。アプリケーション管理者は、スコープ内のリソースにのみアクセスできる必要があります。

例:

ADCグループ長であるクリスは、組織内のNetScaler ADM スーパー管理者です。Chris は、セキュリティ管理者、アプリケーション管理者、ネットワーク管理者の 3 つの管理者ロールを作成します。

セキュリティ管理者の David は、SSL 証明書の管理と監視のための完全なアクセス権を持っているだけでなく、システム管理操作のための読み取り専用アクセス権を持っている必要があります。

アプリケーション管理者のスティーブは、特定のアプリケーションと特定の構成テンプレートのみのアクセスが必要です。

ネットワーク管理者のグレッグは、システムとネットワーク管理へのアクセスが必要です。

また、Chris は、ローカルまたは外部であるかどうかにかかわらず、すべてのユーザーに対して RBAC を提供する必要があります。

NetScaler ADMユーザーは、ローカルで認証することも、外部サーバー(RADIUS/LDAP/TACACS)を使用して認証することもできます。RBAC設定は、採用される認証方法に関わらずすべてのユーザーに適用可能でなければなりません。

下図に、各種の管理者とほかのユーザーが持つ権限と社内での役割を示します。

管理者権限の例

制限事項

RBACは、以下のCitrix ADM 機能については完全にはサポートされていません。

  • Analytics -RBAC は、分析モジュールでは完全にサポートされていません。RBACのサポートはインスタンスレベルに限定されており、Web Insight、SSL Insight、Gateway Insight、HDX Insight、およびSecurity Insightの分析モジュールのアプリケーションレベルには適用できません。たとえば、以下のようなものです。

例 1: インスタンスベースの RBAC (サポート)

RBACはインスタンスレベルでサポートされているため、いくつかのインスタンスを割り当てられた管理者は、 Web Insight >Instanceでそれらのインスタンスのみを表示でき**、 **Web Insight > Applicationsで対応する仮想サーバーのみを見ることができます

例 2: アプリケーションベースの RBAC (サポート対象外)

いくつかのアプリケーションを割り当てられている管理者は、[ Web Insight ] > [アプリケーション] ですべての仮想サーバーを表示できますが、 RBACはアプリケーションレベルではサポートされていないため 、アクセスできません。

  • StyleBook — RBACはStyleBook では完全にはサポートされていません。

    • NetScaler ADMでは、StyleBooksと構成パックは別個のリソースとみなされます。StyleBookと構成パックには、表示、編集、またはその両方のアクセス権を、別々に、または同時に提供することができます。構成パックに対する表示権限または編集権限により、ユーザーはStyleBooksを暗黙的に表示できます。これは、構成パックの詳細を取得したり、構成パックを作成したりするのに不可欠です。

    • 特定のStyleBookまたは構成パックに対するアクセス権がサポートされていない
      例:インスタンスに構成パックがすでに存在する場合、ユーザーは対象のNetScaler ADCインスタンスへのアクセス権がない場合でも、ターゲットNetScaler ADCインスタンスの構成を変更できます。

  • オーケストレーション -RBAC はオーケストレーションではサポートされていません。

役割ベースのアクセス制御