リソース権限
権利は、グループとユーザーが関連するツールとオプションを使用できるようにすることでTDVアクションを実行できるようにするセキュリティ機能です。デフォルトでは、TDVシステム内のすべてを表示および変更する権限を持つ管理者以外のユーザーには権限が付与されません。
このセクションでは、次のトピックについて説明します。
権利ベースのセキュリティの概要
権利ベースのセキュリティアーキテクチャは、
グループとユーザーの権利で説明されているように、機能グループの責任によって分業とTDVアクセス管理を作成します。ユーザーは、サーバーに直接接続するのではなく、クライアント接続を介してTDVにアクセスするため、デフォルトでは権限がありません。これらの権限とそれらが割り当てられているデフォルトのグループの説明については、
TDV権限の概要を参照してください。
TDVシステムで利用可能な権利は次のとおりです。
• ACCESS_TOOLS
• MODIFY_ALL_CONFIG
• MODIFY_ALL_RESOURCES
• MODIFY_ALL_STATUS
• MODIFY_ALL_USERS
• READ_ALL_CONFIG
• READ_ALL_RESOURCES
• READ_ALL_STATUS
• READ_ALL_USERS
• UNLOCK_RESOURCE
グループとユーザーの権利
TDVシステムでは、権利によって、各ユーザーがTDVのどの部分にアクセスして使用できるかが決まります。
権利はグループレベルで指定するのが最適です。ユーザーは、自分が属するグループに割り当てられたすべての権限を自動的に継承するため、グループレベルでエンタープライズ権限を管理することをお勧めします。ロールベースの管理は、権限を個別に割り当てるよりも効率的です。
Studioまたはその他のTDVコンポーネントにアクセスする必要があるユーザーグループにアクセスツールの権利を割り当てます。
TDVは、潜在的なユーザーのリストを取得するために新しいLDAPドメインをイントロスペクトしません。 TDV用にLDAPを設定するときは、LDAPツールを使用して、TDVにアクセスできる特定のユーザーとグループを選択します。
インストールされたユーザーとグループおよびそれらの権利
次のデフォルトのユーザーとグループは、インストール中にTDVで作成されます。これらのユーザーとグループをTDVから削除することはできません。
•「composite/admin」グループはすべての権限で事前に作成されています。 「composite/admin」ユーザーは、このグループのメンバーとして事前に作成されており、このグループから削除することはできません。
•「composite/nobody」および「composite/system」ユーザーは、権限なしで事前に作成されており、権限を付与したり、グループに配置したりすることはできません。
•「composite/all」および「dynamic/all」グループと「composite/anonymous」ユーザーは、権限なしで事前に作成されています。権利を付与することはできますが、そうしないことを強くお勧めします。
ユーザーとグループ |
説明 |
誰もユーザー |
権限を割り当てたり、グループのメンバーにすることができない特別なユーザーは誰もいません。 |
システムユーザー |
システムは、権限を割り当てたり、グループのメンバーにすることができない特別なユーザーです。 |
複合/匿名ユーザー |
匿名ユーザーはallグループのメンバーではなく、そのグループから権限または特権を継承しません。ただし、匿名ユーザーの権限と特権を明示的に追加できます。
デフォルトのTDV構成設定では、匿名ユーザーはサインインできません([TDV Server] > [構成] > [セキュリティ] > [匿名サインインを有効にする:false])。 |
複合/すべてのグループ
動的/すべてのグループ |
複合/すべておよび動的/すべてのグループは、TDVのインストール中に作成されます。それらには権利がありません。適切な区別なしにすべてのユーザーに権利を与えるため、権利を与えないことを強くお勧めします。
コンポジットまたはLDAPドメインを使用して認証し、Studioにログインするすべてのユーザーは、自動的にコンポジット/すべてのグループのメンバーになります。 |