グループの構成
NetScaler ADM では、グループには機能レベルとリソースレベルのアクセス権の両方があります。たとえば、あるユーザーグループは選択したNetScaler インスタンスのみにアクセスし、別のグループには選択した少数のアプリケーションのみにアクセスできるなどです。
グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。NetScaler ADM では、そのグループのすべてのユーザーに、同じアクセス権が割り当てられます。
NetScaler ADM では、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。特定の権限をエンティティレベルでユーザーまたはグループに動的に割り当てることができます。
NetScaler ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。
-
仮想サーバー(アプリケーション) -負荷分散(lb)、GSLB、コンテキストスイッチング(CS)、キャッシュリダイレクト(CR)、認証()、NetScaler Gateway(VPN
Auth) - サービス -負荷分散とGSLBサービス
- サービスグループ -負荷分散と GSLB サービスグループ
- サーバ -負荷分散サーバ
ユーザーグループの作成
-
NetScaler ADM で、[ 設定] > [ユーザーとロール] > [グループ]に移動します。
-
[追加] をクリックします。
「 システムグループの作成 」ページが表示されます。
-
[ グループ名 ] フィールドに、グループの名前を入力します。最大許容長は 64 文字です。
-
「グループの 説明 」フィールドに、グループの説明を入力します。グループについてわかりやすい説明をしておくと、後でグループの役割と機能をよりよく理解するのに役立ちます。
-
[ ロール ] セクションで、1 つ以上のロールを [ 構成済み ] リストに追加または移動します。
注:
「 使用可能 」リストで、「 新規 」または「 編集 」をクリックしてロールを作成または変更できます。または、[ 設定] > [ユーザーとロール] > [ユーザー] に移動して、ユーザーを作成または変更することもできます。
-
ユーザーがアクティブな状態を維持する期間を設定するには、「ユーザーセッションタイムアウトの設定 」を選択します。
有効になっている場合は、次のパラメータを指定します:
- セッションタイムアウト:ユーザーセッションをアクティブに保つ必要がある時間を入力します。デフォルト値は 15 です。
- セッションタイムアウト単位:一覧からタイムアウト単位を分単位または時間単位で選択します。デフォルト値は分です。
-
「 ユーザーセッション制限 」フィールドに、ユーザーごとに許可される最大セッション数を入力します。
注:
最大 40 のユーザーセッションを設定できます。デフォルトでは、20 のユーザーセッションが割り当てられます。ただし、管理者および読み取り専用ユーザーグループに属している場合、デフォルトで 40 ユーザーセッションが割り当てられ、この値は変更できません。
-
[次へ] をクリックします。「 認証設定 」タブでは、次のリソースの認証設定を指定できます。
- Autoscale グループ
- インスタンス
- アプリケーション
- 構成テンプレート
- StyleBook
- コンフィグパック
- ドメイン名
ユーザーがアクセスできる特定のリソースをカテゴリから選択したい場合があります。
Autoscale グループ:
ユーザーが表示または管理できる特定のAutoscale eグループを選択する場合は、次の手順を実行してください。
-
[ すべての AutoScale グループ ] チェックボックスをオフにし、[ AutoScale グループの追加] をクリックします。
-
リストから必要なAutoscale グループを選択し、「 OK」をクリックします。
インスタンス:
ユーザーが表示または管理できる特定のインスタンスを選択するには、次の手順を実行します。
-
[ すべてのインスタンス ] チェックボックスをオフにし、[ インスタンスを選択] をクリックします。
-
リストから必要なインスタンスを選択し、 OKをクリックします。
![[インスタンスを選択]](/ja-jp/netscaler-application-delivery-management-software/media/selecting-instances.png)
アプリケーション:
「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。
インスタンスを選択せずにアプリケーションへのアクセスを許可できます。アプリケーションへのアクセスをユーザーに許可すると、そのユーザーは、インスタンスの選択に関係なく、そのアプリケーションにのみアクセスできます。
次のオプションを使用できます。
-
すべてのアプリケーション: このオプションはデフォルトで選択されています。NetScaler ADM に存在するすべてのアプリケーションを追加します。
-
選択したインスタンスのすべてのアプリケーション: このオプションは、「 すべてのインスタンス」カテゴリからインスタンスを選択した場合にのみ表示されます 。選択したインスタンスに存在するすべてのアプリケーションを追加します。
-
特定のアプリケーション: このオプションでは、ユーザーにアクセスさせたい必須アプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。
-
個々のエンティティタイプを選択: このオプションでは、特定のタイプのネットワーク機能エンティティと対応するエンティティを選択できます。
個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。
「 バインドされたエンティティにも適用 」オプションを選択すると、選択したエンティティタイプにバインドされているエンティティが承認されます。たとえば、アプリケーションを選択し、「 バインドされたエンティティにも適用」を選択すると、NetScaler ADMは選択したアプリケーションにバインドされているすべてのエンティティを承認します。
注:
バインドされたエンティティを承認するには、エンティティタイプを 1 つだけ選択します。
正規表現を使用して、グループの正規表現基準を満たすネットワーク関数エンティティを検索して追加できます。指定された正規表現は NetScaler ADM に保持されます。正規表現を追加するには、次の手順を実行します:
-
「 正規表現を追加」をクリックします。
-
テキストボックスに正規表現を指定します。
以下の画像は、「Specific Applications」オプションを選択したときに、 正規表現を使用してアプリケーションを追加する方法を示しています :
次の図は、[ 個々のエンティティタイプを選択] オプションを選択した場合に、正規表現を使用してネットワーク関数エンティティ を追加する方法を示しています。
正規表現をさらに追加するには、 + アイコンをクリックします。
注:
正規表現は Servers エンティティタイプのサーバー名にのみ一致し、サーバー IP アドレスとは一致しません。
検出されたエンティティに対して「 バインドされたエンティティにも適用 」オプションを選択すると、ユーザーは検出されたエンティティにバインドされているエンティティに自動的にアクセスできます。
正規表現はシステムに保存され、認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler ADM は認証範囲を新しいエンティティに更新します。
設定テンプレート:
ユーザーが表示または管理できる特定の設定テンプレートを選択するには、次の手順を実行します。
-
[ すべての構成テンプレート ] チェックボックスをオフにし、[ 構成テンプレートの追加] をクリックします。
-
リストから目的のテンプレートを選択し、[ OK] をクリックします。
StyleBook:
ユーザーが表示または管理できる特定のStyleBookを選択するには、次の手順を実行します。
-
「 すべてのStyleBook 」チェックボックスをオフにして、「StyleBook をグループに追加**」をクリックします。StyleBook を個別に選択することも、フィルタクエリを指定して StyleBook を承認することもできます。
個々の StyleBook を選択する場合は、「個別 StyleBook」ペインから StyleBook を選択し、「 選択内容の保存」をクリックします。
クエリを使用してStyleBookを検索する場合は、[ カスタムフィルタ ] ペインを選択します。クエリーは、
name、namespaceおよびversionをキーとするキーと値のペアの文字列です。正規表現を値として使用して、グループの正規表現条件を満たすStyleBookを検索して追加することもできます。StyleBooksを検索するカスタムフィルタクエリは 、
AndとOrの両方をサポートしています。例:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0このクエリは、次の条件を満たすStyleBookをリストします。
- StyleBook名は
lb-monまたはlbのいずれかです。 - StyleBookの名前空間は
com.citrix.adc.stylebooksです。 - StyleBook版は
1.0です。
キー式に定義された値式の間で
Or演算を使用します。例:
-
name=lb-mon|lbクエリは有効です。これは、名前lb-monまたはlbのいずれかを持つStyleBooksを返します 。 -
name=lb-mon | version=1.0クエリは無効です。
Enterを押して検索結果を表示し、[ クエリーの保存] をクリックします。
保存されたクエリが [ カスタムフィルタクエリー] に表示されます。保存されたクエリに基づいて、ADMはそれらのStyleBookへのユーザーアクセスを提供します。
- StyleBook名は
-
リストから必要なStyleBookを選択し、「 OK」をクリックします。
グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。
構成パック:
設定パックで、次のオプションのいずれかを選択します。
-
すべての構成:このオプションはデフォルトで選択されています。これにより、ユーザーはADMにあるすべての構成を管理できます。
-
選択したStyleBookのすべての構成:このオプションは、選択したStyleBookのすべての構成パックを追加します。
-
特定の構成:このオプションでは、任意のStyleBookの特定の構成を追加できます。
-
ユーザーグループによって作成されたすべての構成:このオプションにより、ユーザーは同じグループのユーザーによって作成された構成のみにアクセスできます。
グループを作成してユーザーをそのグループに割り当てるときに、適切な構成パックを選択できます。
ドメイン名:
ユーザーが表示または管理できる特定のドメイン名を選択するには、次の手順を実行します。
-
[ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名の追加] をクリックします。
-
リストから必要なドメイン名を選択し、 OKをクリックします。
-
[Create Group] をクリックします。
-
「 ユーザーの割り当て 」セクションで、「 使用可能 」リストからユーザーを選択し、「 構成済み 」リストにユーザーを追加します。
注:
「 新規」をクリックしてユーザーを追加することもできます。
-
[完了] をクリックします。
複数のネットワーク機能エンティティにわたるユーザーアクセスを管理
管理者は、NetScaler ADMのネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。また、正規表現フィルターを使用して、エンティティレベルで特定の権限をユーザーまたはグループに動的に割り当てることができます。
このドキュメントでは、エンティティレベルでユーザー権限を定義する方法について説明します。
開始する前に、グループを作成します。詳しくは、「 NetScaler ADM でのグループの構成 」を参照してください。
使用シナリオ:
1 つ以上のアプリケーション (仮想サーバー) が同じサーバーでホストされているシナリオを考えてみましょう。スーパー管理者 (George) は、Steve (アプリケーション管理者) にホスティングサーバーではなく App1 にのみアクセス権を付与したいと考えています。
次の表は、サーバーAがアプリケーションApp-1とApp-2をホストするこの環境を示しています。
| ホストサーバー | アプリケーション (仮想サーバー) | サービス | サービスグループ |
|---|---|---|---|
| サーバー A | App1 | App-service-1 | App-service-group-1 |
| サーバー A | App2 | App-service-2 | App-service-group-2 |
注:
NetScaler ADMは、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。エンティティタイプの仮想サーバーはアプリケーションと呼ばれます。
ネットワーク機能エンティティにユーザー権限を割り当てるために、George はユーザー権限を次のように定義します。
-
[ アカウント] > [ユーザー管理] > [グループ ] に移動し、グループを追加します。
-
「 認証設定 」タブで、「アプリケーションを選択」を選択します。
-
「個々のエンティティタイプを選択」を選択します。
-
「 すべてのアプリケーション 」エンティティタイプを選択し、使用可能なリストから App-1 エンティティを追加します。
-
[Create Group] をクリックします。
-
「 ユーザーの割り当て」で、権限を必要とするユーザーを選択します。このシナリオでは、George は Steve のユーザープロファイルを選択します。
-
[完了]をクリックします。
この認証設定では、Steve は App-1 のみを管理でき、他のネットワーク機能エンティティは管理できません。
注意:
「 バインドされたエンティティにも適用 」オプションがオフになっていることを確認してください。それ以外の場合、NetScaler ADMはApp-1にバインドされているすべてのネットワーク機能エンティティへのアクセスを許可します。その結果、ホスティングサーバーへのアクセスも許可されます。
スーパー管理者は、エンティティタイプごとに正規表現 (regex) を指定できます。正規表現はシステムに保存され、ユーザー認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler ADMはユーザーに特定のネットワーク機能エンティティへのアクセスを動的に許可できます。
ユーザー権限を動的に付与するために、特権管理者は [ 権限設定 ] タブに正規表現を追加できます。
このシナリオでは、George が Applications App* エンティティタイプの正規表現を追加すると、正規表現条件に一致するアプリケーションがリストに表示されます。この認証設定により、Steve はApp*正規表現に一致するすべてのアプリケーションにアクセスできます。ただし、彼のアクセスはアプリケーションのみに制限され、ホストされたサーバーには制限されません。
承認スコープに基づくユーザーアクセスの変更方法
管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。
この場合、ADM は特定の認証範囲に応じてユーザーにアプリケーションへのアクセスを許可します。
ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。
-
Policy-1 — アプリケーションへのアクセス権限のみを表示します。
-
ポリシー-2 — アプリケーションへのアクセス権を表示および編集します。
ユーザーは Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。
NetScaler ADM を12.0以降のリリースにアップグレードするときのRBACのマッピング
NetScaler ADM を12.0から13.1にアップグレードすると、グループの作成時に「読み取り/書き込み」または「読み取り」権限を付与するオプションは表示されません。これらの権限は「ロールとアクセスポリシー」に置き換えられました。これにより、ロールベースの権限をより柔軟にユーザーに提供できます。次の表に、リリース 12.0 の権限がリリース 13.1 にどのようにマッピングされるかを示します。
| 12.0 | アプリケーションのみ許可 | 13.1 |
|---|---|---|
| admin read-write | False | admin |
| admin read-write | True | appAdmin |
| admin read-only | False | readonly |
| admin read-only | 真 | appReadonly |