ロールベースのアクセス制御と承認フロー

概要

複数人がNW装置のコンフィグ管理をする場合を想定し、Network Configuration Managerにアクセス可能なユーザー(アカウント)を作成することができます。
また、本機能を用いることで、ユーザーごとに参照可能なNW装置や操作権限を制限することが可能です。

デフォルトのadminユーザー含め、2ユーザーまで作成可能です。
それ以降は追加オプションとなりますので、こちらをご参照ください。

Network Configuration Managerで作成可能なユーザーレベルは以下の2つです。

アクセスレベル(ロール) 説明
管理者(Administrator)

Network Configuration Managerで利用可能なすべての操作権限を持ち、オペレーターユーザーによるコンフィグ投入の実行/承認/拒否を行います。
デフォルトのadminユーザーは、すべての管理対象装置への操作が可能です。
オペレーター

操作可能な機能が制限され、コンフィグ変更を行う際には、管理者ユーザーにリクエストを送る承認ステップが必要になります。

ビルド12.5.476以降、「ロール」機能が実装され、より詳細な権限付与が可能になりました。
ロール機能については、こちらのページをご参照ください。


ユーザー管理

新規ユーザーの追加、権限の割り当て、既存のユーザーの編集、ユーザーの削除などのユーザー管理操作は、管理者権限のユーザーのみが実行できます。

ユーザー管理画面
[設定]→[ユーザー管理]→[ユーザー]画面

[ユーザー]画面では、以下の情報が一覧で表示されます。

  • 名前
    Network Configuration Managerを利用可能なユーザー名が表示されます。
  • アクセスコントロール
    ユーザーに割り当てれらた権限(AdministratorまたはOperator)が表示されます。
  • 認証
    ユーザーログインに使用される認証方式が表示されます。選択可能な認証方式については、こちらのページをご参照ください。
  • パスワード変更
    ユーザーのログインパスワードを変更する場合に、[変更]オプションから変更が可能です。
  • 最新ログイン日時
    対象ユーザーが、Network Configuration Managerにログインした最新の日時が表示されます。
  • 前回ログイン日時
    対象ユーザーが、前回Network Configuration Managerにログインした日時が表示されます。
  • アクション
    ユーザーの削除を行います。
ユーザーACL

デフォルトのログインユーザー名とパスワードは、それぞれadmin/adminです。
ログインパスワードを失念した場合に備え、ユーザーのメールアドレスとメールサーバー設定を行うようお願いします。
ログインパスワードを失念しログインできない場合には、ログイン画面の[パスワードを忘れた場合]から登録したメールアドレス宛にログイン用の仮パスワードが送られます。

また、ビルド12.5.334以降、デフォルトのadminユーザーのパスワードリセットポリシーが実装され、デフォルトパスワードの変更が強制化されました。詳細はこちらのページをご参照ください。


新規ユーザーの追加

Network Configuration Managerにログインできるユーザーを新規に追加する手順は、こちらのページを参照してください。

追加したユーザーの編集、削除方法はそれぞれ以下のページを参照してください。


各アクセスロールの操作権限

以下、アクセスレベルごとに付与される各種コンフィグ操作権限です。
ユーザー作成手順5において、[すべての装置]を対象にアクセス許可を設定した場合、以下の通りデフォルトの「admin」ユーザーと同様の操作権限が付与されます。

操作 管理者 オペレーター
ユーザー管理機能(作成、編集、削除)
コンフィグバックアップ
コンフィグ変更(コンフィグレット、ドラフトアップロード、ターミナル)
  • 割り当てられた装置に対して任意に変更可能
  • オペレーターからのコンフィグ変更依頼(コンフィグレット/ドラフトアップロード)を実行/承認/拒否
  • 直接のコンフィグ変更は不可
  • コンフィグレット/ドラフトの作成後、管理者にアップロードを実施し、承認された場合に変更が反映されます。
  • 管理者以外はターミナル機能を利用不可
コンフィグ変更通知の受信(変更通知プロファイルの作成可否)
装置情報の編集、削除
ダッシュボード画面の操作(ウィジェット追加、編集、削除)
  • 既存ウィジェットのカスタマイズ不可
  • 新規ダッシュボードの作成は可能
コンプライアンスポリシー(作成、実行、編集)
  • 既存ポリシーの実行のみ可能
  • ルール/ルールグループ/ポリシー作成、編集、ポリシーへの装置割り当て不可
ファームウェア脆弱性情報の表示
スケジュール機能

項目制限アリ(以下の4つを選択可能)

  • Configuration Backup
  • Report Generation
  • Compliance Check
  • コンフィグレット(管理者の承認が必要)
コンフィグ同期(Sync)
レポート

項目制限アリ(以下のレポートのみ参照可能)

  • ハードウェアインベントリ
  • ファームウェアインベントリ
  • 装置インベントリ
  • ネットワークステータス
  • 装置管理ステータス
  • 装置監査
  • ネットワークバックアップステータス
  • Startup-Running不一致
  • コンフィグ変更
  • コンフィグ変更トレンド
  • コンフィグ変更へのメモ
  • CVE IDレポート
  • 露出装置レポート
  • 脆弱性のあるファームウェアバージョン
  • コンプライアンス
ライセンスファイル適用可否
サポートページ(DBクエリの実行、インストール情報参照)

オペレーターから管理者への承認リクエストフロー

オペレーター権限のユーザーの場合、Network Configuration Managerで管理している装置のコンフィグを直接変更することはできません。
装置のコンフィグ変更(コンフィグレット、ドラフトアップロード)を行う際には、管理者ユーザーの承認が必要になります。

オペレーターがコンフィグレットを投入する場合、そのリクエストは管理者に送られ、承認待ちの状態となります。
管理者ユーザーはオペレーターからのリクエストに対して、承認/拒否を選択します。


リクエストの実行/承認/拒否


  1. オペレーターユーザーが、コンフィグレットを実行または、ドラフトアップロードを実行
  2. 管理者ユーザーとしてNetwork Configuration Managerにログイン
  3. [コンフィグ自動化]→[アップロードリクエスト]→[保留中のリクエスト]に遷移し、オペレーターからのリクエストをクリック
    ユーザーACL1
  4. [承認リクエスト]画面で以下の情報を確認し、実行、承認、拒否のいずれかを選択
    • リクエストの対象装置
    • 承認/拒否コメント
    • 投入予定のコンフィグ内容
    • 実行モード
    • コンフィグバックアップのトリガー(コンフィグレット実行前後の実施)
    • 投入タイミング(即時、スケジュール)
    • 承認後に装置の割り当てが解除された場合も、リクエスト送信者は承認されたリクエストを実行できます
    ユーザーACL2
  • アップロードリクエストは、管理者ユーザーアカウントに設定されているメールアドレスに通知されます。
  • リクエスト結果は、オペレーターユーザーアカウントに設定されているメールアドレスに通知されます。
  • [実行]を選択すると、リクエストが即時的に実行され[コンフィグ自動化]→[アップロードリクエスト]→[承認済みリクエスト]に追加されます。
  • [承認]を選択すると、[コンフィグ自動化]→[アップロードリクエスト]→[実行可能なリクエスト]に追加され、 依頼者はその画面から承認されたリクエストを実行することができます。
  • [拒否]したリクエストは、[コンフィグ自動化]→[アップロードリクエスト]→[拒否したリクエスト]で確認可能です。
  • オペレーターユーザーがスケジュールコンフィグレットを設定した場合の管理者ユーザーの承認画面では、実行予定のコンフィグ内容が表示されます。
    ※[スケジュール]一覧からオペレーターユーザーの作成したスケジュール設定を参照できます。
  • [承認後に装置の割り当てが解除された場合も、リクエスト送信者は承認されたリクエストを実行できます]にチェックを入れない場合、[承認]できません。
    ※本項目をチェックすることで、リクエスト送信者に割り当てられている装置が解除された場合も、[実行可能なリクエスト]画面から実行できます。
    ※スケジュールの場合、この項目は表示されません。