Contrastでは、グループでロールベースのアクセス制御(RBAC)機能が提供されます。管理者はグループを作成し、Contrastユーザに対して、システム、組織およびアプリケーションのアクセスと権限を提供または制限できます。
Contrastのアクセス制御グループには2種類あります。システムと組織です。システムグループは、エンタープライズオンプレミス(EOP)のお客様のみが利用できるもので、システム管理の委任が許可されます。組織グループは、組織間のアクセスおよびアプリケーションのアクセスルールが許可されます。
システム管理グループ
システムグループは、ユーザや組織全体の管理タスクを管理するための便利な方法です。ユーザは、複数のグループに所属することができます。ユーザを単独の組織で単独のロールに設定したり、複数の組織で単独のロール、もしくは複数の組織で複数のロールなどに設定できます。
作成されていない組織へのアクセス権をユーザに付与することもできます。システム管理グループには、ユーザのデフォルト組織以外に1つ以上の組織があり、ユーザは追加されるとシステム管理用のUIにアクセスできます。ユーザメニューのSuperAdminオプションで、組織、アプリケーション、および定義した組織に関連付けられているユーザやグループを管理できます。
新しいグループの追加
新しいグループを追加するには、ユーザメニュー > SuperAdmin > グループページに移動します。グループを追加のボタンを選択し、設定画面で以下のフィールドに値を入力します。
- システムグループの名前とするユニークな文字列(例えば、"My Company"など)を入力します。
- 種類メニューからSystem(システム)を選択します。
-
システムアクセスフィールドで、1つ以上の組織と以下のロールのいずれか1つを組み合わせて選択します。
- System Admin:システム管理UIで管理者権限があります。
- Observer:システム管理UIで表示のみの権限です。
- No Access:組織へのアクセスが制限されます。
-
別のロールと組織の組み合わせを追加するには、システムアクセスを追加のリンクをクリックします。
- メンバーフィールドで、グループに割り当てるContrastユーザを選択します。
- グループ情報の入力が完了したら、追加ボタンをクリックします。
作成されたグループがグループグリッドに表示されます。
デフォルトの組織グループ
組織グループを使用して、認証されたユーザに組織とアプリケーションへのアクセスを割り当てます。グループを使用する際の参考として、Contrastでは各組織に4つのデフォルトグループが用意されています。これらのグループは、関連付けられたロールで組織内の全てのアプリケーションへアクセスできるものです。そのロールにより、ユーザがアプリケーションで実行できることが許可または制限されます。4つのロールは次の通りです。
- View: アプリケーションのスコア、ライブラリ、脆弱性を参照し、コメントを追加します。
- Edit: アプリケーションの脆弱性とアプリケーションの基本的な機能を管理します。
- Rules Admin: Editロールの機能に加え、アプリケーションのセキュリティルールを管理できます。
- Admin: アプリケーションを設定するための完全なアクセス権です。
カスタムの組織グループ
より詳細な制御が必要な場合は、システム管理用の画面(EOP利用のお客様でシステム管理者のみが利用可能)で組織グループを作成し、組織間のアクセス制御を行うことができます。組織の管理者(OrgAdmin)として、組織の設定ページでグループを作成することもできます。組織の設定で作成されたグループは、グループで定義される組織のロールと権限のみ制御できます。
注:グループにオンボードしたアプリケーションも選択でき、オンボード処理中に個々のアプリケーションへのグループアクセスを許可できます。
新しいグループの追加
システム管理
SuperAdminとして新しいグループを追加するには、ユーザメニュー > SuperAdmin > グループページにアクセスします。グループを追加のボタンを選択し、以下のフィールドに値を入力します。
- グループ名にユニークな文字列(例えば、"My Test Group"など)を入力します。
-
種類メニューからOrganizational(組織)を選択します。
-
組織メニューで、1つ以上の組織を選択します。これらの組織は、1つ以上のロールに関連付けられます。
-
ドロップダウンメニューから組織ロールを選択します(Contrastのほとんどのユーザには、Editロールが適しています)。
- アプリケーションアクセスフィールドで、1つ以上のアプリケーションと1つのロールを組み合わせて選択します。
- 別のアプリケーションとロールの組み合わせを追加するには、アクセスを追加のリンクをクリックします。 - メンバーフィールドで、グループに割り当てるContrastユーザを選択します。
例:アプリケーションアクセス欄の最初の行で、「Admin」ロールでApp1とApp2へのアクセスを追加します。リンクをクリックして、次の行で、「Edit」ロールでApp3とApp4へのアクセスを追加します。したがって、メンバーフィールドで指定したユーザに対し、App1とApp2には「Admin」ロールが提供されますが、App3とApp4には「Edit」ロールが提供されます。
- グループ情報の入力が完了したら、追加ボタンをクリックします。
作成されたグループがグループグリッドに表示されます。
組織の設定
組織管理者(OrgAdmin)として新しいグループを追加するには、ユーザメニュー > 組織の設定 > グループタブに移動します。グループを追加のボタンを選択し、以下のフィールドに入力します。
- グループ名にユニークな文字列(例えば、"My Group"など)を入力します。
- アプリケーションアクセスフィールドで、1つ以上のアプリケーションと1つのロールを組み合わせて選択します(上記の例を参照してください)。
- 別の行で他のアプリケーションとロールの組み合わせを追加するには、アクセスを追加のリンクをクリックします。 - メンバーフィールドで、グループに割り当てるContrastユーザを選択します。
- グループ情報の入力が完了したら、追加ボタンをクリックします。
作成されたグループがグループグリッドに表示されます。