ロールベースのアクセス制御を構成する
NetScaler Consoleには、企業内の個々のユーザーの役割に基づいてアクセス権限を付与できる、きめ細かな役割ベースのアクセス制御(RBAC)が用意されています。
NetScalerコンソールでは、すべてのユーザーがCitrix Cloudに追加されます。組織の最初のユーザーとして、最初にCitrix Cloudでアカウントを作成し、Citrix Cloudの資格情報を使用してNetScalerコンソールGUIにログオンする必要があります。ユーザーにはスーパー管理者ロールが付与され、デフォルトではNetScaler Consoleのすべてのアクセス権が付与されます。後でCitrix Cloudで組織内に他のユーザーを作成できます。
後で作成され、通常のユーザーとしてNetScaler Consoleにログオンするユーザーは、代理管理者と呼ばれます。これらのユーザーは、デフォルトで、ユーザー管理権限以外のすべての権限を持ちます。ただし、適切なポリシーを作成し、そのポリシーを委任されたユーザーに割り当てることで、特定のユーザー管理権限を付与できます。ユーザー管理権限は [設定] > [ユーザーとロール] にあります。
特定の権限を割り当てる方法の詳細については、「 委任された管理者ユーザーに追加の権限を割り当てる方法」を参照してください。
ポリシー、ロール、グループの作成方法、およびユーザーをグループにバインドする方法の詳細については、次のセクションを参照してください。
例:
次の例は、NetScalerコンソールでRBACを実現する方法を示しています。
NetScalerグループの責任者であるクリスは、所属する組織のNetScaler Consoleのスーパー管理者です。クリスはセキュリティ管理者、アプリケーション管理者、ネットワーク管理者という3つの管理者の役割を作成します。
- セキュリティ管理者の David は、SSL 証明書の管理と監視のための完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。
- アプリケーション管理者のスティーブは、特定のアプリケーションと特定の構成テンプレートのみのアクセスが必要です。
- ネットワーク管理者のグレッグは、システムとネットワーク管理へのアクセスが必要です。
- また、Chris は、ローカルまたは外部であるかどうかにかかわらず、すべてのユーザーに対して RBAC を提供する必要があります。
下図に、各種の管理者とほかのユーザーが持つ権限と社内での役割を示します。
ロールベースのアクセス制御をユーザーに提供するには、まずCitrix Cloudにユーザーを追加する必要があります。その後、NetScaler Consoleでユーザーを確認できるようになります。Chris は、ロールに応じて、各ユーザーのアクセスポリシーを作成する必要があります。アクセスポリシーは、ロールに緊密にバインドされています。したがって、Chris はロールも作成する必要があります。その後、ロールはグループにのみ割り当てられ、個々のユーザーには割り当てられないため、グループを作成する必要があります。
Access は、ファイルの表示、作成、変更、削除など、特定のタスクを実行する機能です。ロールは、企業内のユーザーの権限と責任に応じて定義されます。たとえば、1 人のユーザーがすべてのネットワーク操作の実行を許可し、別のユーザーはアプリケーションのトラフィックフローを監視し、構成テンプレートの作成に役立ちます。
ポリシーによってユーザーの役割が決まります。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ユーザーにロールを割り当てることができます。役割は、ユーザーのグループに割り当てることもできます。グループとは、共通の権限を持つユーザーの集まりです。たとえば、特定のデータセンターを管理している複数のユーザーを1つのグループに割り当てることができます。ロールは、特定の条件に基づいてユーザーを特定のグループに追加することによってユーザーに付与される ID です。NetScalerコンソールでのロールとポリシーの作成は、NetScalerのRBAC機能に固有のものです。役割とポリシーは、企業のニーズが進展するにつれて簡単に作成、変更、または終了できます。各ユーザーの権限を個別に更新する必要はありません。
役割は機能ベースまたはリソースベースにすることができます。たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。アプリケーション管理者は、スコープ内のリソースにのみアクセスできます。
そのため、スーパー管理者のクリスの役割では、NetScaler Consoleで次のサンプルタスクを実行して、組織のセキュリティ管理者であるDavidのアクセスポリシー、役割、およびユーザーグループを構成します。
NetScaler コンソールでのユーザーの構成
スーパー管理者は、NetScaler ConsoleではなくCitrix Cloudでアカウントを構成することで、さらに多くのユーザーを作成できます。新しいユーザーをNetScaler Consoleに追加する場合、適切なグループをユーザーに割り当てることでのみ権限を定義できます。
Citrix Cloudで新しいユーザーを追加するには:
-
NetScaler Console GUIで、左上のハンバーガーアイコンをクリックし、「 IDとアクセス管理」を選択します。
-
「ID およびアクセス管理」ページで、「 管理者 」タブを選択します。
このタブには、Citrix Cloudで作成されたユーザーが一覧表示されます。
-
リストから ID プロバイダーを選択します。
-
CitrixID:NetScaler コンソールに追加するユーザーの電子メールアドレスを入力し、「招待」をクリックします。
注:
ユーザーは、Citrix Cloudから招待メールを受信します。ユーザーは、電子メールに記載されているリンクをクリックして、フルネームとパスワードを入力して登録プロセスを完了し、後で資格情報を使用してNetScaler Consoleにログオンする必要があります。
-
Azure Active Directory (AD): このオプションは、Azure AD が Citrix Cloud に接続されている場合にのみ表示されます。「 Azure Active Directory を Citrix Cloud に接続する」を参照してください。このオプションを選択してユーザーまたはグループを招待する場合、 選択したユーザーまたはグループにカスタムアクセスのみを指定できます 。ユーザーは、Azure AD の資格情報を使用してNetScaler コンソールにログインできます。また、選択したAzure AD の一部であるユーザー用にCitrix IDを作成する必要はありません。招待されたグループにユーザーが追加された場合、新しく追加されたユーザーに招待を送信する必要はありません。このユーザーは、Azure AD の資格情報を使用してNetScalerコンソールにアクセスできます。
-
-
指定したユーザーまたはグループの [ カスタムアクセス ] を選択します。
-
「 Application Delivery Management」を選択します。
このオプションは、NetScaler コンソールで作成されたユーザーグループを一覧表示します。ユーザーを追加するグループを選択します。
Citrix ID Azure AD [招待を送信する] をクリックします。 「 管理者グループを追加」をクリックします。
管理者は、ユーザーがNetScalerコンソールにログオンした後にのみ、NetScalerコンソールのユーザーリストに新しいユーザーが表示されます。
NetScaler コンソールでユーザーを構成するには:
-
NetScalerコンソールGUIで、[ 設定]>[ ユーザーと役割]>[ユーザー ] に移動します。
-
ユーザーは [ユーザー] ページに表示されます。
-
ユーザーを選択して編集をクリックすると、ユーザーに付与された権限を編集できます。[ 設定 ] ノードの下の [ グループ ] ページで、グループのアクセス許可を編集することもできます。
注:
-
ユーザーは、Citrix Cloud からのみNetScalerコンソールに追加されます。そのため、管理者権限があっても、NetScaler Console GUIでユーザーを追加または削除することはできません。グループ権限のみを編集できます。Citrix Cloudからユーザーを追加または削除できます。
-
ユーザーの詳細は、ユーザーがNetScaler Consoleに少なくとも1回ログオンした後にのみサービスGUIに表示されます。
-
NetScaler コンソールでのアクセスポリシーの構成
アクセスポリシーでは、権限が定義されます。ロールを作成すると、ポリシーを 1 つのユーザーグループまたは複数のグループに適用できます。ポリシーによってユーザーの役割が決まります。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ロールをユーザグループに割り当てる必要があります。NetScaler コンソールには、次の 5 つの定義済みアクセスポリシーが用意されています。
- admin_policy すべてのNetScalerコンソールノードへのアクセスを許可します。ユーザーは表示権限と編集権限の両方を持ち、すべてのNetScaler Consoleコンテンツを表示でき、すべての編集操作を実行できます。つまり、ユーザーは、リソースに対する操作を追加、変更、および削除できます。
- adminExceptSystem_policy. NetScaler Console GUIのすべてのノードへのアクセス権(設定ノードへのアクセスを除く)をユーザーに許可します。
- readonly_policy。読み取り専用権限を付与します。ユーザーはNetScaler Consoleのすべてのコンテンツを表示できますが、操作を行う権限はありません。
-
appadmin_policy。NetScaler Consoleのアプリケーション機能にアクセスするための管理者権限を付与します。このポリシーにバインドされたユーザーは次のことができます:
- カスタムアプリケーションの追加、変更、削除
- サービス、サービスグループ、およびさまざまな仮想サーバー (コンテンツスイッチやキャッシュリダイレクトなど) を有効または無効にする
- appreadonly_policy。アプリケーション機能に対する読み取り専用権限を付与します。このポリシーにバインドされているユーザーはアプリケーションを表示できますが、追加、変更、削除、有効化、および無効化の操作は実行できません。
これらの定義済みポリシーは編集できませんが、独自の(ユーザ定義の)ポリシーを作成することはできます。
以前は、ロールにポリシーを割り当て、ロールをユーザーグループにバインドすると、NetScaler Console GUIでノードレベルでユーザーグループに権限を付与できました。たとえば、 負荷分散ノード全体にアクセス権限のみを与えることができます 。ユーザーは、負荷分散の下にあるすべてのエンティティ固有のサブノード (仮想サーバー、サービスなど) にアクセスする権限を持っていたか、負荷分散の下にあるどのノードにもアクセスする権限を持っていませんでした。
NetScaler Console 507.xビルド以降のバージョンでは、アクセスポリシー管理が拡張され、サブノードにも権限が提供されるようになりました。アクセスポリシー設定は、仮想サーバ、サービス、サービスグループ、サーバなど、すべてのサブノードに対して構成できます。
現在、このようなきめ細かなアクセス権限を与えることができるのは、 負荷分散ノードの下のサブノードと 、GSLBノードの下のサブノードだけです。
たとえば、管理者として、 負荷分散ノード内のバックエンドサービス 、サービスグループ、アプリケーションサーバーではなく、仮想サーバーのみを表示するアクセス権限をユーザーに付与したい場合があります。このようなポリシーが割り当てられているユーザーは、仮想サーバーにのみアクセスできます。
ユーザー定義のアクセスポリシーを作成するには、次の手順を実行します。
-
NetScalerコンソールGUIで、[ 設定]>[ ユーザーと役割 ]>[ アクセスポリシー ]に移動します。
-
[追加] をクリックします。
-
[ アクセスポリシーの作成 ] ページの [ ポリシー名 ] フィールドにポリシーの名前を入力し、[ポリシーの説明] フィールドに説明を入力します 。
権限セクションには 、NetScaler Consoleのすべての機能と、読み取り専用、有効化/無効化、または編集アクセスを指定するオプションが表示されます。
-
(+) アイコンをクリックすると、各機能グループが複数の機能に展開されます。
-
機能名の横にある権限チェックボックスを選択して、ユーザーに権限を付与します。
-
表示:このオプションにより、ユーザーはNetScalerコンソールで機能を表示できます。
-
有効化-無効化:このオプションは、NetScaler Consoleでアクションを有効または無効にするネットワーク機能でのみ使用できます 。ユーザーはこの機能を有効または無効にできます。ユーザーは「 今すぐ投票 」アクションを実行することもできます。
ユーザーに「 有効/無効化 」権限を付与すると、「 表示 」権限も付与されます。このオプションの選択を解除することはできません。
-
編集: このオプションはユーザーにフルアクセスを許可します。ユーザーは機能とその機能を変更できます。
編集権限を付与すると 、 **表示権限と有効化/無効化権限の両方が付与されます** 。自動選択オプションの選択を解除することはできません。
機能のチェックボックスを選択すると、その機能のすべての権限が選択されます。
-
注:
負荷分散とGSLB を展開すると、その他の構成オプションが表示されます。
次の図では、負荷分散機能の構成オプションに異なる権限があります:
仮想サーバ 機能に対する 表示 権限は、ユーザーに付与されます。ユーザーは、NetScaler コンソールで負荷分散仮想サーバーを表示できます。仮想サーバーを表示するには、[ インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ 仮想サーバー ] タブを選択します。
サービス 機能の 有効化/無効化 権限は、ユーザーに付与されます。 この権限は閲覧権限も付与します 。ユーザーは、負荷分散仮想サーバーにバインドされたサービスを有効または無効にできます。また、ユーザーはサービスに対して [ 今すぐポーリング ] アクションを実行できます。サービスを有効または無効にするには、[ インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ サービス ] タブを選択します。
注:
ユーザーに有効化/無効化権限がある場合 、サービスの有効化または無効化操作は次のページで制限されます。
-
[ インフラストラクチャー] > [ネットワーク機能] に移動します。
-
仮想サーバを選択し、[ 構成]をクリックします。
-
負荷分散仮想サーバーサービスバインディングページを選択します 。 このページには、「 有効化」または「無効化**」を選択するとエラーメッセージが表示されます。
**サービスグループ機能の編集権限がユーザーに付与されます。この権限は、 **表示権限と有効化/無効化権限が付与されている場所でのフルアクセスを許可します** 。ユーザーは、負荷分散仮想サーバーにバインドされているサービスグループを変更できます。サービスグループを編集するには、[ **インフラストラクチャ] > [ネットワーク機能] > [負荷分散 ] に移動し、[ サービスグループ ] タブを選択します。
-
-
[作成] をクリックします。
注:
[ 編集] を選択すると、[権限] セクションに有効として表示されない依存アクセス許可が内部的に割り当てられることがあります。たとえば、障害管理の編集権限を有効にすると、ユーザーがレポートをメールとして送信できるように、NetScaler Consoleはメールプロファイルの構成またはSMTPサーバー設定を作成するための権限を内部的に提供します。
ユーザーにStyleBookパーミッションを付与する
アクセスポリシーを作成して、StyleBookのインポート、削除、ダウンロードなどの権限を付与できます。
注:
他のStyleBook権限を付与すると、表示権限が自動的に有効になります。
NetScaler コンソールでのロールの構成
NetScaler Consoleでは、各ロールは1つ以上のアクセスポリシーにバインドされています。ポリシーと役割には、1対1、1対多、多対多の関係を定義できます。1つの役割を複数のポリシーにバインドすることも、複数の役割を1つのポリシーにバインドすることもできます。
たとえば、ある機能のアクセス権を定義するポリシーと別の機能のアクセス権を定義する別のポリシーの2つのポリシーに、1つの役割をバインドできます。1つのポリシーでNetScalerコンソールにNetScalerインスタンスを追加する権限を付与し、もう1つのポリシーでStyleBookを作成して展開し、NetScalerインスタンスを構成する権限を付与する場合があります。
1 つの機能に対して複数のポリシーで編集権限と読み取り専用権限が定義されている場合、編集権限は読み取り専用権限よりも優先されます。
NetScaler コンソールには、次の 5 つの定義済みロールが用意されています。
-
admin_role。NetScaler コンソールのすべての機能にアクセスできます。(このロールは
adminpolicy
にバインドされています)。 - adminExceptSystem_Role。設定権限以外はNetScalerコンソールのGUIにアクセスできます。(このロールは adminExceptSystem_Policy にバインドされています)
-
readonly_role。読み取り専用アクセスが設定されています(このロールは
readonlypolicy
にバインドされています)。 - appadmin_role。NetScaler コンソールのアプリケーション機能にのみ管理アクセスできます。(この役割はappAdminPolicyにバインドされています)。
- appreadonly_role。アプリケーション機能への読み取り専用アクセス権を持ちます。(この役割はappReadOnlyPolicyにバインドされています)。
定義済みのロールを編集することはできませんが、独自の (ユーザー定義) ロールを作成することはできます。
ロールを作成してポリシーを割り当てるには、次の手順に従います。
-
NetScalerコンソールGUIで、[ 設定]>[ ユーザーとロール]>[ロール ] に移動します。
-
[追加] をクリックします。
-
[ ロールの作成 ] ページの [ ロール名 ] フィールドにロールの名前を入力し、[ロールの説明] フィールドに説明を入力します (オプション)。
-
[ ポリシー ] セクションで、1 つまたは複数のポリシーを [ 構成済み ] リストに追加します。
注:
ポリシーには、すべてのテナントに固有のテナント ID (例:
maasdocfour
) があらかじめ付けられています。注:
[ 新規] をクリックしてアクセスポリシーを作成するか、[ 設定] > [ ユーザーとロール ] > [ アクセスポリシー ] に移動してポリシーを作成できます。
-
[作成] をクリックします。
NetScaler コンソールでのグループの構成
NetScaler Consoleでは、グループは機能レベルとリソースレベルの両方のアクセス権を持つことができます。たとえば、あるユーザーグループは選択したNetScaler インスタンスのみにアクセスし、別のグループには選択した少数のアプリケーションのみにアクセスできるなどです。
グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。そのグループのすべてのユーザーには、NetScaler Consoleで同じアクセス権が割り当てられます。
NetScaler Consoleでは、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。特定の権限をエンティティレベルでユーザーまたはグループに動的に割り当てることができます。
NetScaler Consoleは、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。
-
仮想サーバー(アプリケーション) :負荷分散(
lb
)、GSLB、コンテキストスイッチング(CS
)、キャッシュリダイレクト(CR
)、認証(Auth
)、およびNetScaler Gateway(vpn
) - サービス -負荷分散とGSLBサービス
- サービスグループ -負荷分散と GSLB サービスグループ
- サーバ -負荷分散サーバ
グループを作成するには、次の手順に従います。
-
NetScaler コンソールで、[ 設定] > [ ユーザーとロール ] > [グループ] に移動します。
-
[追加] をクリックします。
「 システムグループの作成 」ページが表示されます。
-
[ グループ名 ] フィールドに、グループの名前を入力します。
-
「 グループの説明 」フィールドに、グループの説明を入力します。適切な説明を提供することで、グループの役割と機能を理解するのに役立ちます。
-
[ ロール ] セクションで、1 つまたは複数のロールを [ 構成済み ] リストに移動します。
注:
ロールには、すべてのテナントに固有のテナント ID (例:
maasdocfour
) があらかじめ付けられています。 -
[ 使用可能 ] ボックスの一覧で、[ 新規 ] または [ 編集 ] をクリックし、ロールを作成または変更できます。
または、[ 設定] > [ユーザーとロール] > [ユーザー] に移動して、ユーザーを作成または変更することもできます。
-
[次へ] をクリックします。
-
[ 認証設定 ] タブでは、次のカテゴリからリソースを選択できます。
- Autoscale グループ
- インスタンス
- アプリケーション
- 構成テンプレート
- IPAM プロバイダーとネットワーク
- StyleBook
- 構成パック
- ドメイン名
ユーザーがアクセスできるカテゴリから特定のリソースを選択します。
Autoscale グループ:
ユーザーが表示または管理できる特定のAutoscale グループを選択するには:
-
[ すべての AutoScale グループ ] チェックボックスをオフにし、[ AutoScale グループの追加] をクリックします。
-
リストから必要なAutoscale グループを選択し、「 OK」をクリックします。
インスタンス:
ユーザーが表示または管理できる特定のインスタンスを選択するには:
-
[ すべてのインスタンス ] チェックボックスをオフにし、[ インスタンスを選択] をクリックします。
-
リストから必要なインスタンスを選択し、 OKをクリックします。
タグ:
関連するタグに基づいて特定のインスタンスを表示または管理することをユーザーに許可するには:
-
「 すべてのインスタンス 」チェックボックスをオフにして、「 タグを選択」をクリックします。
-
リストから必要なタグを選択し、「 OK」をクリックします。
その後、選択したタグにさらに多くのインスタンスを関連付けると、権限のあるユーザーは自動的に新しいインスタンスにアクセスできるようになります。
タグとインスタンスへのタグの関連付けの詳細については、「 タグを作成してインスタンスに割り当てる方法」を参照してください。
アプリケーション:
「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。
インスタンスを選択せずにアプリケーションへのアクセスを許可できます。なぜなら、アプリケーションはインスタンスから独立しているため、ユーザーにアクセス権が付与されているからです。
アプリケーションへのアクセスをユーザーに許可すると、そのユーザーは、インスタンスの選択に関係なく、そのアプリケーションにのみアクセスできます。
このリストには次のオプションがあります。
-
すべてのアプリケーション: このオプションはデフォルトで選択されています。NetScaler コンソールに存在するすべてのアプリケーションが追加されます。
-
選択したインスタンスのすべてのアプリケーション: このオプションは、「 すべてのインスタンス」カテゴリからインスタンスを選択した場合にのみ表示されます 。選択したインスタンスに存在するすべてのアプリケーションを追加します。
-
特定のアプリケーション: このオプションでは、ユーザーにアクセスさせたい必須アプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。
-
[ 個々のエンティティタイプを選択]: このオプションでは、ネットワーク機能エンティティと対応するエンティティの特定のタイプを選択できます。
個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。
[ バインドされたエンティティにも適用 ] オプションは、選択したエンティティタイプにバインドされているエンティティを承認します。たとえば、アプリケーションを選択し、「バインドされたエンティティにも適用 」を選択すると、NetScaler Consoleは選択したアプリケーションにバインドされているすべてのエンティティを承認します。
注意:
バインドされたエンティティを承認する場合は、必ずエンティティタイプを1つだけ選択してください。
正規表現を使用して、グループの正規表現基準を満たすネットワーク関数エンティティを検索して追加できます。指定された正規表現はNetScalerコンソールに保持されます。正規表現を追加するには、次の手順を実行します:
-
「 正規表現を追加」をクリックします。
-
テキストボックスに正規表現を指定します。
以下の画像は、「Specific Applications」オプションを選択したときに、 正規表現を使用してアプリケーションを追加する方法を示しています :
次の図は、「 個別エンティティタイプの選択」オプションを選択した場合に、正規表現を使用してネットワーク機能エンティティを追加する方法を示しています :
正規表現をさらに追加するには、 + アイコンをクリックします。
注:
正規表現は Servers エンティティタイプのサーバー名にのみ一致し、サーバー IP アドレスとは一致しません。
検出されたエンティティに対して「 バインドされたエンティティにも適用 」オプションを選択すると、ユーザーは検出されたエンティティにバインドされているエンティティに自動的にアクセスできます。
正規表現はシステムに保存され、認証範囲を更新します。新しいエンティティがエンティティタイプの正規表現と一致すると、NetScaler Consoleは認証スコープを新しいエンティティに更新します。
設定テンプレート:
ユーザーが表示または管理できる特定の構成テンプレートを選択する場合は、次の手順を実行します:
-
すべての構成テンプレートをクリアして 、「 構成テンプレートの追加」をクリックします。
-
リストから目的のテンプレートを選択し、[ OK] をクリックします。
IPAM プロバイダーとネットワーク:
ユーザーが表示または管理できる特定の IPAM プロバイダーとネットワークを追加する場合は、次の手順を実行します:
-
プロバイダーを追加 - すべてのプロバイダーをクリアして、「プロバイダーを追加**」をクリックします。必要なプロバイダを選択し、 **「OK」をクリックします。
-
ネットワークを追加 - すべてのネットワークをクリアし 、 ネットワークを追加をクリックします。必要なネットワークを選択し、[ OK]をクリックします。
StyleBook:
ユーザーが表示または管理できる特定のStyleBookを選択する場合は、次の手順を実行します:
-
「 すべてのStyleBook 」チェックボックスをオフにして、「StyleBook をグループに追加**」をクリックします。StyleBook を個別に選択することも、フィルタクエリを指定して StyleBook を承認することもできます。
個々の StyleBook を選択する場合は、「個別 StyleBook」ペインから StyleBook を選択し、「 選択内容の保存」をクリックします。
クエリを使用してStyleBookを検索する場合は、[ カスタムフィルタ ] ペインを選択します。クエリーは、
name
、namespace
およびversion
をキーとするキーと値のペアの文字列です。正規表現を値として使用して、グループの正規表現基準を満たすStyleBookを検索して追加することもできます。StyleBooksを検索するカスタムフィルタクエリは 、
And
とOr
の両方をサポートしています。例:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
このクエリは、次の条件を満たすStyleBookをリストします。
- StyleBook名は
lb-mon
またはlb
のいずれかです。 - StyleBookの名前空間は
com.citrix.adc.stylebooks
です。 - StyleBook版は
1.0
です。
キー式に定義された値式の間で
Or
演算を使用します。例:
-
name=lb-mon|lb
クエリは有効です。これは、名前lb-mon
またはlb
のいずれかを持つStyleBooksを返します 。 -
name=lb-mon | version=1.0
クエリは無効です。
Enter
を押して検索結果を表示し、[ クエリーの保存] をクリックします。保存されたクエリが [ カスタムフィルタクエリー] に表示されます。保存されたクエリに基づいて、NetScaler コンソールはそれらのStyleBook へのユーザーアクセスを提供します。
- StyleBook名は
-
リストから必要なStyleBookを選択し、「 OK」をクリックします。
グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。
構成パック:
構成パックで、次のオプションのいずれかを選択します:
-
すべての構成:このオプションはデフォルトで選択されています。これにより、ユーザーはADMのすべての構成を管理できます。
-
選択したStyleBookのすべての構成:このオプションは、選択したStyleBookのすべての構成パックを追加します。
-
特定の構成:このオプションでは、任意のStyleBookの特定の構成を追加できます。
-
ユーザーグループによって作成されたすべての構成:このオプションにより、ユーザーは同じグループのユーザーによって作成された構成のみにアクセスできます。
グループを作成してユーザーをそのグループに割り当てるときに、適切な構成パックを選択できます。
ドメイン名:
ユーザーが表示または管理できる特定のドメイン名を選択するには、次の手順を実行します。
-
[ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名の追加] をクリックします。
-
リストから必要なドメイン名を選択し、 OKをクリックします。
-
[Create Group] をクリックします。
-
「 ユーザーの割り当て 」セクションで、「 使用可能 」リストでユーザーを選択し、「 構成済み 」リストにユーザーを追加します。
注:
[ 新規] をクリックして、新しいユーザーを追加することもできます。
- [完了]をクリックします。
承認スコープに基づくユーザーアクセスの変更方法
管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。
この場合、NetScaler Consoleは、特定の認証範囲に応じて、アプリケーションへのユーザーアクセスを許可します。
ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。
-
Policy-1 — アプリケーションへのアクセス権限のみを表示します。
-
ポリシー-2 — アプリケーションへのアクセス権を表示および編集します。
ユーザーは Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。
制限事項
以下のNetScalerコンソールの機能はRBACを完全にはサポートしていません。
-
分析- 分析モジュールは RBAC を完全にはサポートしていません。RBAC のサポートはインスタンスレベルに制限され、Gateway Insight、HDX Insight、Security Insight 分析モジュールのアプリケーションレベルでは適用されません。
- 例 1: インスタンスベースの RBAC (サポート)。いくつかのインスタンスを割り当てられている管理者は、[HDX Insight]>[ デバイス ] でそれらのインスタンスと[ HDX Insight] > [ Applications ] の下にある対応する仮想サーバーのみを表示できます。これは、RBAC がインスタンスレベルでサポートされているためです。
- 例 2: アプリケーションベースの RBAC (サポートなし)。いくつかのアプリケーションが割り当てられている管理者は、[ HDX Insight ] > [アプリケーション] の下にすべての仮想サーバーを表示できますが、それらにアクセスすることはできません。これは、RBAC はアプリケーションレベルではサポートされていません。
-
StyleBook — RBACはStyleBook では完全にはサポートされていません。
- 多くのユーザーが1つのStyleBookにアクセスできるが、さまざまなNetScalerインスタンスへのアクセス権限を持っている状況を考えてみましょう。ユーザーは自分のインスタンス以外のインスタンスにアクセスできないため、自分のインスタンスで構成パックを作成および更新できます。ただし、NetScalerインスタンス上で作成された構成パックとオブジェクトは、独自のもの以外のものでも表示できます。