アクセスグループの管理

  • 更新

Contrastでは、グループによるロールベースのアクセス制御(RBAC)機能が提供されます。管理者はグループを作成し、Contrastユーザに対して、システム、組織およびアプリケーションのアクセスと権限を提供または制限できます。Contrastには、2種類のアクセス制御グループがあります。システム組織です。システムグループは、エンタープライズオンプレミス(EOP)のお客様のみが利用できるもので、システム管理の委任が許可されます。組織グループでは、横断的な組織アクセスおよびアプリケーションのアクセスルールが許可されます。

システム管理グループ

システムグループは、ユーザや組織全体の管理タスクを管理するための便利な方法です。ユーザは、複数のグループに所属することができます。組織にアクセスするために組織内で作成される必要はありません。

システムグループの管理

ユーザは、ユーザのデフォルト組織以外に1つ以上の組織があるシステム管理グループに追加されると、システム管理用のUIにアクセスできます。ユーザメニューでSuperAdminの項目が新たに利用できるようになり、複数の組織や定義されている組織に関連するアプリケーション、ユーザ、グループなどを管理できます。

システム管理用のUIでグループページにアクセスします。そこで次の機能を実行できます。

  • 新しいグループを構成するには、グループを追加ボタンをクリックします。
  • システムで作成された全てのグループを参照するには、種類の列でフィルタをかけるか、グリッドの上のドロップダウンメニューでSYSTEM ROLESのいずれかを選択します。
  • グループ名をクリックするとグループを編集の画面が表示され、グループの詳細情報を参照し、変更を行うことができます。システムアクセスやロールの変更、そしてグループのメンバーの変更ができます。保存ボタンで変更が保存されます。
  • システムで作成されたグループを削除するには、グリッド行またはグループを編集のページでゴミ箱アイコンをクリックします。この操作を確定するとグループは削除され、このグループで提供された全てのアクセスがグループに割り当てられていた全てのユーザから取り消されます。

組織グループ

組織グループを使用して、認証されたユーザに組織とアプリケーションへのアクセスを割り当てます。組織管理者(Admin)は、組織の設定ページからグループの作成、編集および削除ができます。また、システム管理者(EOPのみ)は、ユーザが複数の組織にアクセスできる横断的な組織グループを作成できます。

Contrastでは各組織に4つのデフォルトグループが用意されています。これらのグループは、関連付けられたロールで組織内の全てのアプリケーションへアクセスできるものです。そのロールにより、ユーザがアプリケーションで実行できることが許可または制限されます。これらのロールは次の通りです。

  • View:ユーザは、アプリケーションのスコア、ライブラリおよび脆弱性を参照し、コメントを追加できます。
  • Edit:ユーザは、アプリケーションの基本的な機能に加えて、アプリケーションの脆弱性を管理できます。
  • Rules Admin:ユーザは、Editロールの全機能に加えて、アプリケーションのセキュリティルールを管理できます。
  • Admin:アプリケーションを設定するための完全なアクセスが提供されます。

組織グループの管理

組織管理者は、アプリケーションレベルで詳細な制御やアクセスを提供する目的で、組織内にカスタムグループを作成できます。これにより、組織内に多数のユーザと複数のアプリケーションを含めるという、最もよくある方法でContrastを展開することができます。

組織に割り当てられたユーザは、その組織内のアプリケーション間でさまざまな役割を持つことができます。それぞれのロールにより、ユーザがアプリケーションで実行できることが許可または制限されます。ただし、組織に関連付けられたユーザにとって、組織内の多数のアプリケーションのうち認識する必要があるものが、1つまたはごく一部だけの場合があります。この機能により、ユーザは自分の作業に関係のない情報の整理をする必要がなく、自分にとって重要なものに直接焦点を当てることができます。

注:個々のアプリケーションにユーザ権限を付与するには、そのアプリケーションのアクセスグループを作成し、そのグループにユーザを追加する必要があります。さらに、アプリケーションに割り当てられたロールがユーザにない場合、このユーザはそのアプリケーションにアクセスできません。

グループを作成または編集するには、組織の設定ページのグループタブに移動し、次の操作を実行します。

  • 新しいグループを構成するには、グループを追加ボタンをクリックします。
  • 全てのグループ(デフォルトとカスタムの両方)が表示されるので、ドロップダウンメニューのグループ検索フィールドまたは表示の切替を使用して特定の情報に焦点を当てます。
  • グループ名をクリックするとグループを編集の画面が表示され、グループの詳細情報を参照し、変更を行うことができます。グループ名、グループのアプリケーションアクセスおよびメンバーの変更が可能です。オンボード中にアプリケーションをグループに追加させるには、アプリケーションアクセスフィールドでグループにオンボードしたアプリケーションを選択します。

  • グループを削除するには、グリッド行またはグループを編集のページでゴミ箱アイコンをクリックします。この操作を確定するとグループは削除され、このグループで提供された全てのアクセスがグループに割り当てられた全てのユーザから取り消されます。

注:Contrastから提供されているデフォルトグループはロックアイコン付きで表示され、アプリケーションとロールは固定されており、削除はできません。これらのデフォルトグループには、ユーザの追加か削除のみが可能です。

ゲストユーザ

ユーザがゲストに指定されている場合には、組織の設定のユーザページでユーザ名の横にゲストと表示されます。これは、そのユーザはシステム管理用のUIで作成された組織グループから組織ロールを受け取っていることを意味します。

組織管理者は、ゲストリンクをクリックして、組織にゲストユーザを追加できます。そして、ユーザを編集して任意のグループに割り当てることができます。ただし、システムで作成された組織グループによりユーザの組織ロールとアプリケーションアクセスが指定されるため、組織管理者はゲストユーザを管理できません。ゲストだったユーザが削除されると、そのユーザがシステムで作成されたグループの組織にまだアクセスがある場合、ユーザはゲストロールに戻ります。

ロールの競合

ユーザが複数のグループに配置され、その複数のグループ内で同じアプリケーションに対して異なるロールが割り当てられている場合、ロールの競合が発生します。ロールは、制限の厳しいものから順に、No Access、View、Edit、Rules Admin、Adminとなります。各ロールの詳細については、ユーザの管理を参照してください。

Contrastでは、最少特権のルールにより競合を解決します。つまり、最も制限の厳しいアクセスを提供するルールが適用されます。

例:ユーザがAdminグループに割り当てられ、この同じユーザがEditグループに割り当てられた場合、EditロールよりAdminロールの方が制限が厳しいため、ユーザには全アプリケーションに対してEditロールが適用されます。

また、Contrastではロールの割り当ての特定性を判断することにより、ロールの競合を解決します。特定のアプリケーションに割り当てられたロールについては、アプリケーション固有のロールが全アプリケーションに割り当てられたロールよりも制限が緩くても、全アプリケーションに割り当てられたロールより優先されます。

例:ユーザがViewグループに割り当てられ、App1に対してAdminロールのあるカスタムアクセスグループに割り当てられた場合、ユーザにはApp1に対してAdminロールとそれ以外のアプリケーションにViewロールが適用されます。

ユーザが2つのカスタムグループに割り当てられ、同じアプリケーションに対してロールが与えらている場合は、最小特権のロールが適用されます。

例:ユーザがApp1に対してRules Adminロールを与えるカスタムグループに割り当てられ、またApp1に対してNo Accessロールを与える別のグループに割り当てられた場合、両ルールは特定のアプリケーションに対するものですが、No Accessの方がRules Adminより制限が厳しいため、ユーザにはApp1に対してNo Accessが適用されます。

管理者は、ユーザを編集ページに移動して、ユーザに割り当てられているアクセスレベルやアクセスできるグループを確認できます。現在のアクセスレベルを提供するグループの詳細については、アクセスインジケータにカーソルを合わせてください。詳細については、ユーザの管理の項目を参照してください。



この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください