Cisco Security Manager 4.2 ユーザ ガイド
アクティビティの管理
アクティビティの管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

アクティビティの管理

アクティビティについて

アクティビティの利点

アクティビティの承認

アクティビティとロッキング

アクティビティと複数のユーザ

アクティビティ状態について

アクティビティの使用

Workflow モードでのアクティビティ機能へのアクセス

[Activity Manager] ウィンドウ

アクティビティの作成(Workflow モード)

[Activity Required] ダイアログボックスへの応答

アクティビティの起動(Workflow モード)

アクティビティの終了(Workflow モード)

変更レポートの表示(すべてのモード)

Workflow 以外のモードでの変更レポートの選択

アクティビティの検証(すべてのモード)

承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)

アクティビティの承認または拒否(Workflow モード)

アクティビティの廃棄(すべてのモード)

アクティビティのステータスおよび履歴の表示(Workflow モード)

アクティビティの管理

使用しているモードが Workflow モードか Workflow 以外のモードかにかかわらず、すべてのポリシー設定はアクティビティ内部で行われます。アクティビティは、Workflow 以外のモードでは設定セッションとも呼ばれます。Workflow モードでは、アクティビティを明示的に作成および管理する必要があります。これに対し、Workflow 以外のモードでは、アクティビティの作成および管理のほとんどは自動的に行われます。ただし、Workflow 以外のモードでは、ポリシーを変更するときは実際はアクティビティ内部で作業することになるため、アクティビティの基本的な概念を理解しておく必要があります。

ここでは、アクティビティに関する情報を提供します。

「アクティビティについて」

「アクティビティの使用」

アクティビティについて

アクティビティとは、ポリシーの定義およびデバイスへの割り当てを行うための一時的なコンテキストです。デバイスをインポート、作成、または削除する場合や、各種のシステム管理タスクを実行する場合は、アクティビティを作成する必要はありません(ただし、アクションの一部としてポリシー ディスカバリを実行する場合を除きます)。

アクティビティを作成または開くための要件は、Workflow モードによって異なります。

Workflow 以外のモード:ポリシーの定義、変更、またはデバイスへの割り当てを行うと、アクティビティが自動的かつ透過的に作成されます。変更をデータベースに送信するまでは、同じアクティビティが使用され、必要に応じて自動的に閉じたり再び開いたりします。Workflow 以外のモードでは、アクティビティを明示的に開いたり管理したりすることはできません。これらのタイプのアクティビティは、設定セッションと呼ばれることもあります。

Workflow モード:アクティビティを明示的に開かない場合、アクティビティを必要とするアクションを実行すると、新しいアクティビティを作成するか、既存のアクティビティを開くように要求されます。Workflow モードでは、アクティビティを明示的に開いて管理する必要があります。

アクティビティを自分で作成するか、またはアクティビティが自動的に作成されると、Security Manager ポリシー データベースの仮想コピーが開きます。このコピー内でポリシーを定義して割り当てます。このコピー内で行った変更は、コピーの内部でだけ使用可能です。他のユーザが別のアクティビティ内でこれらの変更を表示することはできません。アクティビティが送信されて承認(Workflow モード)されると、このコピー内部の変更がデータベースにコミットされ、他のすべてのユーザが変更を表示できるようになります。そのあと、関連する CLI コマンドを生成してデバイスに展開するための展開ジョブを作成できます。

アクティビティの変更を送信する方法は、Workflow モードによって異なります。

Workflow 以外のモード:[File] > [Submit] を選択して、変更をポリシー データベースに送信します。

Workflow モード:アクティビティ アプルーバを使用する場合は、[Activities] > [Submit Activity] を選択します。個別のアクティビティ アプルーバがない場合は、[Activities] > [Approve Activity] を選択します。

ここでは、アクティビティが重要である理由と、Workflow モードでのアクティビティの動作について説明します。

「アクティビティの利点」

「アクティビティの承認」

「アクティビティとロッキング」

「アクティビティと複数のユーザ」

「アクティビティ状態について」

アクティビティの利点

アクティビティを使用して、ポリシーおよびポリシー割り当てに対して行われる変更を制御します。アクティビティがどのように実装されるかは、選択したワークフロー設定によって異なりますが、すべてのアクティビティに共通して次のような利点があります。

監査証跡:アクティビティによって、Security Manager で行われた変更が追跡されます。「アクティビティのステータスおよび履歴の表示(Workflow モード)」で説明しているように、Workflow モードでは、この情報を使用して、どのような変更がだれによって行われたかを判断できます。また、「監査レポートの使用」で説明しているように、Workflow モードと Workflow 以外のモードのどちらにも、アクティビティおよびその他のアクションに可視性を提供するための監査レポートが用意されています。

安全性メカニズム:アクティビティは、変更を重ねて実験するための手段を提供します。変更はプライベート データベース ビューに対して行うため、その変更を実装しない場合は、アクティビティまたは設定セッションを廃棄します。詳細については、「アクティビティの廃棄(すべてのモード)」を参照してください。

タスク分離:あるアクティビティ(または設定セッション)内で変更されたポリシーは、別のアクティビティ内で変更されないようにロックされます。このため、変更の競合によりポリシーが不安定になることがありません。詳細については、「アクティビティとロッキング」を参照してください。

また、アクティビティ内で行った変更は、そのアクティビティ内部 でだけ 表示されます。その他のユーザには、最後に承認されたコミット済みの設定だけが表示されます。ただし、(Workflow モードで)アクティビティを閉じる前に他のユーザにアクティビティが表示されていた場合を除きます。

アクティビティの承認

Workflow モードをイネーブルにした場合、アクティビティ アプルーバを使用するかどうかを選択できます。

アクティビティを承認するための上位の権限を持つ別の人が組織に必要な場合は、アプルーバを使用してワークフローをイネーブル化できます。Workflow モードでアプルーバを使用する場合は、ポリシーをデータベースにコミットできるように、適切な権限を持つ人がアクティビティを承認する必要があります。ポリシー定義レベルでこの承認プロセスを使用すると、ネットワーク デバイスに不適切な設定が適用されることはありません。

アプルーバを使用しないように選択した場合は、ポリシーを定義した人がそのポリシーを承認する権限を持ちます。

アクティビティ承認をイネーブルまたはディセーブルにし、デフォルトのアクティビティ アプルーバを変更する方法の詳細については、「[Workflow] ページ」を参照してください。

アクティビティとロッキング

複数のユーザが競合する変更を行うことがないように、Workflow モードまたは Workflow 以外のモードでユーザがアクティビティまたは設定セッション内で特定のアクションを実行すると、Security Manager によってアクティビティレベルのロックが取得されます。このため、複数のユーザが同じ機能ポリシー、ポリシー割り当て、またはオブジェクトに対して同時に変更を行うことができなくなります。

また、Security Manager では、ロッキングを使用して、コミット済みの設定に関連する操作が常に互いに排他的に実行されるようにしています。これらの操作は、2 つのカテゴリに分けられます。

コミット済みの設定を変更する操作:

アクティビティの承認。Workflow 以外のモードでの設定セッションの送信が含まれます。

デバイスの削除。

デバイス プロパティの編集。

コミット済みの設定を読み込む操作:

設定のプレビュー。

展開(Workflow 以外のモード)。

展開ジョブの作成(Workflow 以外のモード)。

アクティビティまたは設定セッションの検証。

コミット済みの設定を変更する操作を実行している間は、その操作が完了するまで、他のユーザはどちらのリストの操作も実行できません。ユーザが操作を試行すると、アクションおよびアクティビティ(または Workflow 以外のモードではユーザ)がロックされていることを示すエラー メッセージが表示されます。たとえば、アクティビティを承認している間(Workflow 以外のモードでは、アクティビティが送信されると自動的に実行される)、その承認が完了するまで、他のユーザがデバイスを削除したり、別のアクティビティを検証したりすることはできません。このタイプのロッキングは、コミット済みの設定を複数のユーザが同時に変更することを回避できるため、マルチユーザ設定においては特に重要になります。

コミット済みの設定を読み込む操作を実行している間、コミット済みの設定を変更する操作はだれも実行できません。たとえば、アクティビティを検証している間、別のユーザはアクティビティを承認できません。ただし、設定を読み込む別の操作を他のユーザが実行することはできます。たとえば、アクティビティを検証している間、別のユーザは展開ジョブを作成できます。同様に、展開前に設定をプレビューしている間、別のユーザも同じように設定をプレビューできます。これは、この 2 つの操作ではコミット済みの設定が読み込まれるだけで、設定が変更されることはないためです。


ヒント アクティビティ ロッキングの方が、ポリシー ロッキングよりも広範囲です。これについては、「ポリシーのロックについて」で説明しています。ポリシー ロッキングにより、2 人のユーザが同じデバイス上の同じポリシーを同時に変更することを回避しています。

関連項目

「アクティビティの承認または拒否(Workflow モード)」

「Security Manager インベントリからのデバイスの削除」

「デバイス プロパティの表示または変更」

「展開および Configuration Archive の使用」

「アクティビティの検証(すべてのモード)」

アクティビティと複数のユーザ

各アクティビティ内でポリシーを同時に定義または変更できるのは、1 人のユーザだけです。ただし、Workflow モードがイネーブルになっている場合は、アクティビティ内で複数のユーザが順番に作業できます。つまり、アクティビティが閉じている(ただし、承認はされておらず、承認のための送信もされていない)場合は、別のユーザがそのアクティビティを開いて変更できます。複数のユーザは、異なるアクティビティで並行して作業できます。

アクティビティ状態について

Workflow モードでは、アクティビティは次の表に示すいずれかの状態になります。主要なアクティビティ状態は太字で示しています。

 

表 4-1 アクティビティ状態

状態
説明

Edit

アクティビティは作成されましたが、現在編集中ではありません。アクティビティは、[Edit] 状態のとき、開いたり廃棄したりできます。

Edit Open

アクティビティは編集用に開いています。アクティビティ内で、ポリシーの定義や割り当てなどの変更を実行できます。アクティビティ内で設定中または変更中のポリシー、ポリシー割り当て(ポリシーを割り当てるデバイス)、およびオブジェクトは、ロックされます。つまり、これらを別のアクティビティのコンテキスト内で設定または変更することはできません。アクティビティは、[Edit Open] 状態のとき、閉じたり、廃棄、送信、または承認できます。

設定の変更は、アクティビティのコンテキストでだけ表示できます。

Submitted

Submitted Open

アクティビティは確認および承認のために送信されました。(この状態は、Workflow モードがイネーブルになっていて、アクティビティ承認が必要な場合だけ使用可能です。詳細については、「[Workflow] ページ」を参照してください。アクティビティ内でこれ以上の変更を行うことはできません。ポリシー、(ポリシー割り当てを介する)デバイス、またはポリシー変更の影響を受けるオブジェクトは、他のアクティビティに対してロックされたままになります。

アクティビティが送信されると、電子メールがアプルーバに送信されます。アプルーバは、アクティビティを(読み取り専用モードで、[Submitted Open] 状態に移行して)開いて、アクティビティ内の変更を確認してから、変更を承認または拒否できます。承認されたアクティビティは、[Approved] 状態に移行します。拒否されたアクティビティは、[Edit] 状態に戻ります。

Approved

アクティビティは承認され、対応する設定要素がコミット済みのポリシー設定となりました。ポリシー変更の影響を受けるデバイスは、他のアクティビティに対してロック解除されます。アクティビティは、[Approved] 状態のときに展開できます。

Approve Failed

承認中に(電源障害などにより)エラーが発生すると、アクティビティは [Approve Failed] 状態になります。この場合は、アクティビティを再び承認するか、サーバをリブートしてください。

Discarded

アクティビティの作成後にアクティビティに対して行われた変更は廃棄され、アクティビティをそれ以上変更することはできません。アクティビティに関連付けられているデバイスはロック解除され、新しいアクティビティで使用できるようになります。アクティビティは、システムから削除されないかぎり、[Activity] テーブルに残り、[Discarded] 状態が表示されます。

図 4-1に、アプルーバを使用しないアクティビティ ワークフローの各ステージを示します。図 4-2に、アプルーバを使用するアクティビティ ワークフローの各ステージを示します。

図 4-1 アプルーバを使用しないアクティビティ ワークフロー

 

図 4-2 アプルーバを使用するアクティビティ ワークフロー

 

アクティビティの使用

ここでは、アクティビティおよび設定セッションを使用する際に役立つ情報を提供します。

「Workflow モードでのアクティビティ機能へのアクセス」

「アクティビティの作成(Workflow モード)」

「アクティビティの起動(Workflow モード)」

「アクティビティの終了(Workflow モード)」

「変更レポートの表示(すべてのモード)」

「アクティビティの検証(すべてのモード)」

「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」

「アクティビティの承認または拒否(Workflow モード)」

「アクティビティの廃棄(すべてのモード)」

「アクティビティのステータスおよび履歴の表示(Workflow モード)」

Workflow モードでのアクティビティ機能へのアクセス

Workflow モードでは、次の方法でアクティビティ管理機能にアクセスできます。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウに、既存のアクティビティとその状態が一覧表示されます。このウィンドウから、新しいアクティビティを作成したり、既存のアクティビティの開閉、送信、承認、拒否、または廃棄を行ったりできます。詳細については、「[Activity Manager] ウィンドウ」を参照してください。

メイン ツールバーの [Activities] 部分にあるボタンをクリックするか、[Activities] メニューで対応するコマンドを選択します。ボタンまたはコマンドがアクティブになるかどうかは、ユーザの権限、アクティビティの状態、およびワークフローでアプルーバを使用しているかどうかによって決まります。次の表に、ボタン、コマンド、およびそれを使用できる条件について説明します。

 

表 4-2 Workflow モードがイネーブルになっているときの [Activities] ツール バーのボタンおよびコマンド

ボタン
[Activities] メニュー コマンド
説明

 

New Activity

アクティビティを作成します。

 

Open Activity

アクティビティを開きます。アクティビティは、[Edit] または [Submitted] 状態にある場合に開くことができます。

送信済みのアクティビティを開くには、そのアクティビティで行った変更を承認または拒否するためのユーザ権限を持っている必要があります。詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

 

Close Activity

アクティビティが開いている間に行われた変更をすべて保存し、アクティビティを閉じます。

アクティビティは、[Edit Open] または [Submit Open] 状態のときに閉じることができます。

 

View Changes

アクティビティで行われたすべての変更を評価し、PDF 形式のアクティビティ変更レポートを別のウィンドウ内に生成します。詳細については、「変更レポートの表示(すべてのモード)」を参照してください。

 

Validate Activity

現在のアクティビティ内で変更されたポリシーの整合性を検証します。アクティビティを検証することにより、ポリシー変更の際の設定エラーをチェックできます。

 

Submit Activity

アクティビティ アプルーバを使用する Workflow モードで、アクティビティを承認のために送信します。アクティビティは、[Edit] または [Edit Open] 状態にある場合に送信できます。

 

Approve Activity

アクティビティ内で提案された変更を承認します。

アクティビティは、アクティビティ アプルーバを使用している場合は [Submitted] 状態のときに承認できます。アプルーバを使用していない場合は [Edit] または [Edit Open] 状態のときに承認できます。アクティビティ内で提案された変更を受け入れるためのユーザ権限を持っている必要があります。詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

 

Reject Activity

アクティビティ アプルーバを使用する Workflow モードで、アクティビティ内で提案された変更を拒否します。

アクティビティは、[Submitted] または [Submitted Open] 状態のときに拒否できます。アクティビティ内で提案された変更を拒否するためのユーザ権限を持っている必要があります。詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

 

Discard Activity

選択したアクティビティを廃棄します。アクティビティは廃棄され、[Tools] > [Security Manager Administration] > [Workflow] で設定したアクティビティの経過時間を超えるとシステムから削除されます。アクティビティが実際にシステムから削除されるまでは、アクティビティ状態は [Discarded] として表示されます。

[Activity Manager] ウィンドウ

[Activity Manager] ウィンドウを使用して、アクティビティの作成と管理、およびアクティビティのステータスと履歴の表示を行います。上半分のペインに、作成されたアクティビティが一覧表示されます。アクティビティを選択すると、下半分のペインにそのアクティビティの詳細と履歴が表示されます。

[Activity Manager] ウィンドウは、Workflow モードで作業している場合だけ使用可能です。Workflow 以外のモードでは、Security Manager によって自動的かつ透過的にアクティビティが管理されます。

ナビゲーション パス

[Main] ツールバーで [Activity Manager] ボタンをクリックするか、[Manage] > [Activities] を選択します。

フィールド リファレンス

 

表 4-3 [Activities Manager] ウィンドウ

要素
説明

Activity

アクティビティの名前。

Last Modified

アクティビティが最後に変更された日時。

State

アクティビティの状態。状態のリストについては、「アクティビティ状態について」を参照してください。

User

アクティビティの状態を最後に変更したユーザ名。

Last Action

アクティビティに対して実行された最新のアクション。

[Create] ボタン

このボタンをクリックすると、新しいアクティビティが作成され、ポリシーの作成や変更、またはデバイスへのポリシーの割り当てができるようになります。詳細については、「アクティビティの作成(Workflow モード)」を参照してください。

[Open] ボタン

このボタンをクリックすると、選択したアクティビティが開き、アクティビティ内から変更(ポリシーの定義や割り当てなど)が取り込まれます。アクティビティは、[Edit] または [Submitted] 状態にある場合に開くことができます。送信済みのアクティビティは、読み取り専用で開かれます。

[Validate] ボタン

このボタンをクリックして、選択したアクティビティを作成してから現在の時刻までに行った変更を検証します。アクティビティを検証すると、ポリシーの整合性と展開可能性がチェックされ、エラーが検出された場合は詳細なエラー情報が表示されます。詳細については、「アクティビティの検証(すべてのモード)」を参照してください。

[Submit] ボタン

アクティビティ アプルーバを使用する Workflow モードで、このボタンをクリックして、選択したアクティビティを送信します。アクティビティを送信すると、指定したアプルーバに、アクティビティの確認の準備ができたという通知が送信されます。アクティビティは、[Edit] または [Edit Open] 状態にある場合に送信できます。

コメントの入力を求められます。詳細については、「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」を参照してください。

[Approve] ボタン

このボタンをクリックすると、選択したアクティビティが承認され、提案された変更がデータベースに保存されます。アクティビティに関連付けられたデバイスはロック解除されるため、ポリシー定義に含めたり、他のアクティビティで変更したりできます。アクティビティを承認するための適切なユーザ権限を持っている必要があります。

アプルーバを使用しない Workflow モードでは、各自のアクティビティを [Edit] 状態のときに承認できます。アプルーバを使用する Workflow モードでは、アクティビティを送信する必要があります。アプルーバがアクティビティを承認できるのは、アクティビティが [Submitted] 状態のときだけです。

承認コメントの入力を求められます。詳細については、「アクティビティの承認または拒否(Workflow モード)」を参照してください。

[Reject] ボタン

アクティビティ アプルーバを使用する Workflow モードで、このボタンをクリックして、選択したアクティビティで提案された変更を拒否します。アクティビティを拒否するための適切なユーザ権限を持っている必要があります。アクティビティが拒否された場合、送信者はアクティビティの変更を続行できます。アクティビティに関連付けられたデバイスはロック解除されないため、ポリシー定義に含めたり、他のアクティビティで変更したりできません。アクティビティは、[Submitted] または [Submitted Open] 状態のときだけ拒否できます。

拒否コメントの入力を求められます。詳細については、「アクティビティの承認または拒否(Workflow モード)」を参照してください。

[Discard] ボタン

このボタンをクリックして、選択したアクティビティを廃棄します。このアクティビティと関連付けられているデバイスはロック解除され、他のアクティビティで使用できるようになります。

コメントの入力を求められます。詳細については、「アクティビティの廃棄(すべてのモード)」を参照してください。

廃棄されたアクティビティは、Security Manager の Workflow 設定で定義されている設定に従って、システムから削除されます。アクティビティがシステムから削除されるまでは、アクティビティ状態は [Discarded] として表示されます。詳細については、「[Workflow] ページ」を参照してください。

View Changes

このボタンをクリックして、選択したアクティビティのレポートを PDF 形式で生成します。アクティビティが閉じている場合、このボタンはグレー表示されます。詳細については、「変更レポートの表示(すべてのモード)」を参照してください。

[Refresh] ボタン

このボタンをクリックして、ウィンドウに表示されている情報をリフレッシュします。

[Details] タブ

選択したアクティビティの詳細情報が表示されます。詳細には、[activities] テーブルから繰り返される情報の他に、次の情報が含まれます。

[Activity ID]:アクティビティを作成したときに Security Manager によって割り当てられた識別番号。

[Created]:アクティビティが作成された日時。

[Description]:アクティビティが作成されたときに入力された、アクティビティの説明。

[History] タブ

選択したアクティビティに行われた変更のログが表示されます。ログの内容は、状態の変更、変更を行ったユーザ、変更日時(Security Manager サーバの時間が基準)、およびユーザが入力した変更を説明するコメントです。

アクティビティの作成(Workflow モード)

Workflow モードでは、ポリシーを作成する前、またはデバイスにポリシーを割り当てる前に、アクティビティを作成する必要があります。


ヒント Workflow 以外のモードでは、必要に応じてアクティビティが自動的に作成されます。

関連項目

「アクティビティについて」

「アクティビティの起動(Workflow モード)」


ステップ 1 次のいずれかを実行します。

アクティビティ ツールバーで [Create Activity] ボタンをクリックします。

[Activities] > [New Activity] を選択します。

[Activity Manager] ウィンドウで [Create] をクリックします。

[Create Activity] ダイアログボックスが表示されます。

ステップ 2 [Create Activity] ダイアログボックスで、アクティビティの名前を入力するか、システムにより生成された名前を保持します。デフォルトのアクティビティ名には、ユーザ名、日付、およびアクティビティの作成時刻が含まれます。また、アクティビティを説明するコメントも入力できます。

ステップ 3 [OK] をクリックします。

アクティビティが、[Activity Manager] ウィンドウ内に一覧表示されます。詳細については、「[Activity Manager] ウィンドウ」を参照してください。


 

[Activity Required] ダイアログボックスへの応答

Workflow モードでは、ポリシーを作成または変更する前に、アクティビティを作成するか開く必要があります。アクティビティを作成しても開いてもいない状態で、アクティビティを必要とするアクションを実行しようとすると、[Activity Required] ダイアログボックスでアクティビティを作成するか開くように要求されます。

次のオプションから選択できます。

[Create a new activity]:アクティビティを指定し、任意でアクティビティの目的の説明を入力して、新しいアクティビティを作成します。デフォルトのアクティビティ名には、ユーザ名、日付、およびアクティビティの作成時刻が含まれます。

[Open an existing activity]:[Activity] リストから選択したアクティビティを開きます。このオプションは、[Edit] 状態の使用可能なアクティビティがある場合にだけ表示されます。

関連項目

「アクティビティの作成(Workflow モード)」

「アクティビティ状態について」

アクティビティの起動(Workflow モード)

Workflow モードでは、他のユーザが開いていない既存のアクティビティを開くことができます。[Edit] 状態の既存のアクティビティを開いて、さらにポリシーを変更したり、[Submitted] 状態の既存のアクティビティを開いて、提案されたポリシー変更を承認または拒否する前に確認したりできます(適切な権限を持っているユーザが、アプルーバを使用する Workflow モードで作業している場合)。

[Edit] 状態のアクティビティは変更できますが、[Submitted] 状態のアクティビティは表示しかできません。

アクティビティを開くには、次のいずれかを実行します。

アクティビティ ツールバーで [Open] ボタンをクリックするか、[Activities] > [Open Activity] を選択します。[Openable Activities] ダイアログボックスに、開くことができるすべてのアクティビティが一覧表示されます。また、アクティビティの名前、その状態、およびアクティビティを作成したユーザ名も表示されます。開くアクティビティを選択し、[OK] をクリックします。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウから、開くアクティビティを選択し、[Open] をクリックします。


ヒント Workflow 以外のモードでは、必要に応じて(まだ送信していない)直前の設定セッションが開かれます。アクティビティを必要とするアクションを次に実行するときに、新しいアクティビティが作成されます。

関連項目

「アクティビティについて」

アクティビティの終了(Workflow モード)

あとで引き続きポリシーを設定できるように、アクティビティを承認せずに(または承認のために送信せずに)閉じることができます。

管理者権限を持つユーザは、別のユーザが開いたアクティビティを閉じることができます。

開いているアクティビティを閉じるには、次のいずれかを実行します。

アクティビティ ツールバーで [Close] ボタンをクリックします。

[Activities] > [Close Activity] を選択します。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウから、[Close] をクリックします。


ヒント Workflow 以外のモードでは、ログアウトするたびに設定セッションが閉じます。次回ログインすると、同じセッションが再び開きます。

関連項目

「アクティビティについて」

変更レポートの表示(すべてのモード)

インターフェイス内には、アクティビティ変更レポートを開くことができる場所が多数あります。通常、レポートを生成するためのボタンまたはコマンドは、[View Changes] です。これらの変更レポートは、Workflow モードか Workflow 以外のモードのいずれを使用しているかにかかわらず、アクティビティ内で行われたポリシーおよびポリシー オブジェクトの変更や、操作が実行されたデバイスに関する詳細情報を提供します。

アクティビティ変更レポートは、Adobe Acrobat(PDF)形式です。[bookmarks] タブを含むすべての Acrobat 機能を使用して、レポートを表示できます。

デバイスを検出した場合、またはデバイス上のポリシーを再検出した場合、同じアクティビティの中でそのデバイスに対してそれ以降に実行されたポリシー変更は、アクティビティ変更レポートに一覧表示されません。これは、別のデバイスから複製したデバイスについても当てはまります。

変更レポートを表示するための方法を次に示します。

Workflow 以外のモード:

[File] > [View Changes] を選択すると、現在の設定セッション中に行われた変更が表示されます。

[Manage] > [Change Reports] を選択すると、以前のセッション中に行われた変更が表示されます(これらのセッションは、変更を送信するか廃棄すると閉じます)。[Change Report] ウィンドウから設定セッションを選択し、[View Changes] をクリックします(「Workflow 以外のモードでの変更レポートの選択」を参照)。

Workflow モード:

[Activities] > [View Changes] を選択するか、ツールバーで [View Changes] ボタンをクリックすると、現在開いているアクティビティ内で行われた変更が表示されます。

[Activity Manager] ウィンドウでアクティビティを強調表示し、[View Changes] をクリックすると、そのアクティビティ内で行われた変更が表示されます。

どちらのモードでも、展開ジョブを作成するときに、さまざまなダイアログボックスから変更を表示できます。


) アクティビティ レポートが確実に開くように、ポップアップブロッカ アプリケーションが実行されていればそれをディセーブルにする必要があります。


次の図に、アクティビティ レポートの例を示します。

図 4-3 アクティビティ レポート

 

アクティビティ レポートには、次の要素が含まれます。

[Activity name]:アクティビティの名前(アクティビティに名前がない場合は、ユーザ名およびセッションの開始日時)。

[Created by]:アクティビティの作成者のユーザ名、および日時。

[Current state]:アクティビティの現在の状態。

[Report created on]:レポートが作成された日時。

[Devices] セクション:アクティビティ内で操作が実行されたデバイス(つまり、追加、変更、または削除されたデバイス)の要約。ローカル ポリシーに対する変更は、ここに表示されます。

レポートのこのセクションおよび他のセクションの中の変更は、区別しやすいように色分けされます。

緑:新しく挿入された項目を示します。

赤:削除された項目、または変更された項目の古い値を示します。

青:変更された項目の新しい値を示します。

[Shared Policies] セクション:ここには、すべての共有ポリシーに対する変更が表示されます。

[Policy Objects]:ここには、すべてのポリシー オブジェクトに対する変更が表示されます。

[VPN]:新たに検出された VPN と削除された VPN トポロジを含め、VPN トポロジとポリシーに対する変更はここに表示されます。

Workflow 以外のモードでの変更レポートの選択

Workflow 以外のモードでは、[Manage] > [Change Reports] を選択して、[Change Report] ダイアログボックスでセッションを選択することにより、閉じている設定セッションの変更レポートを表示できます。

Workflow 以外のモードでは、変更を送信または廃棄すると、設定セッションが完了したと見なされます。[Change Report] ダイアログボックスに、閉じているすべてのセッションが一覧表示され、セッションが閉じられた日時、セッションを閉じたアクション(送信または廃棄)、およびそのセッションに関連付けられているユーザ名が示されます。これらのセッションは、Workflow モードでのアクティビティに相当します。セッションを選択し、[View Changes] をクリックすると、レポートが表示されます。このレポートの解釈については、「変更レポートの表示(すべてのモード)」を参照してください。


ヒント 現在の設定セッションのレポートを表示するには、このダイアログボックスを閉じ、[File] > [View Changes] を選択します。

アクティビティの検証(すべてのモード)

Workflow モードでは、アクティビティを承認のために送信すると、Security Manager によってアクティビティが検証されます。また、アクティビティ内でポリシーの作成中および変更中はいつでも、アクティビティを検証できます。アクティビティが送信されたあとも、検証レポートはスタティックなままです。

Workflow 以外のモードでは、ポリシーをデータベースに送信した場合、ポリシーの展開を試行した場合、またはポリシーを検証した場合に、Security Manager によってポリシーが検証されます。検証プロセスでは、変更が保存または展開されるまでに行われたポリシーの変更についてレポートされます。

検証プロセスでは、次の領域がチェックされます。エラーがあった場合は、検証結果の詳細な要約を表示できます。

ポリシーの整合性:解決不可能な参照(欠落しているオブジェクト、未解決のインターフェイス ロール、必須設定のオーバーライドなど)がないこと。

ポリシーの展開可能性:ポリシーを適切に CLI コマンドに変換できるように、ターゲット デバイスでプラットフォーム、オペレーティング システム、および設定済みの機能がサポートされていること。

ポリシーに、特定のデバイス タイプまたはオペレーション システム バージョンを必要とするオプションが含まれている場合は、サポートされていないデバイスに関する検証警告が表示されますが、Security Manager は、サポートされていないデバイスに対して関連コマンドを生成しません。このため、特定のデバイスに限定されたポリシーを作成せずに、広範囲のデバイスに適用されるポリシーを作成できます。

FlexConfig の整合性:破損した FlexConfig オブジェクトがないこと。破損したオブジェクトが見つかると、破損した FlexConfig オブジェクトのリストとともに警告が表示されます。

FlexConfig の構文:構文エラーが見つかると、影響を受ける FlexConfig とその構文エラーとともに警告が表示されます。

FlexConfig オブジェクト参照:すべてのオブジェクト参照が解決可能であること。FlexConfig オブジェクトが存在しないオブジェクトを参照している場合、存在しないオブジェクトのリストとともに警告が表示されます。

関連項目

「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」

「Workflow 以外のモードでの設定の展開」


ステップ 1 次のいずれかを実行します。

Workflow モードで、次の手順を実行します。

アクティビティを開いて、アクティビティ ツールバーの [Validate] ボタンをクリックするか、[Activities] > [Validate Activity] を選択します。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウからアクティビティを選択し、[Validate] をクリックします。

Workflow 以外のモードで、[File] > [Validate] を選択するか、ポリシーのプレビューまたは展開を試行します。

Security Manager によって検証が実行され、検証結果が要約された情報メッセージ ダイアログボックスが開きます。エラーがない場合、検証は成功です。エラーまたは警告がある場合は、[Details] をクリックして [Validation] ダイアログボックスを開きます。このダイアログボックスで、エラーの詳細情報を確認できます。

ステップ 2 エラーを評価して、エラーの修正方法を決定します。

[Validation] ダイアログボックスでは、エラーと警告が次の 2 つの方法で編成され、別々のタブに表示されます。

[Errors] タブ:[Errors] タブでは、検証の問題がエラーのタイプに基づいて編成されます。各エラーは、影響を受けるデバイスの数およびエラーの重大度を示しています。

上半分のペインでエラーを選択すると、左下のペインに、エラーのあるデバイス(およびデバイス タイプ)のリストが表示されます。右下のペインには、エラー、エラーの原因、および修正方法が表示されます。

[Devices] タブ:[Devices] タブでは、検証の問題がデバイスに基づいて編成されます。各デバイスは、デバイスのエラーや警告の数とタイプ、およびデバイス タイプを示しています。デバイス ステータスは、デバイス設定の最悪の問題(エラーまたは警告)を示しています。

上半分のペインでデバイスを選択すると、左下のペインにそのデバイスのエラーが一覧表示されます。エラーを選択すると、右下のペインにエラー、エラーの原因、および修正方法が表示されます。

アクティビティを送信する前に、エラーを修正する必要があります。Security Manager では、検証エラーのあるアクティビティの送信はできません。


) (エラーとは異なり)検証警告があっても、アクティビティの承認または展開はできます。



 

承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)

アクティビティ アプルーバを使用する Workflow モードでは、承認のためにアクティビティを送信する必要があります。アクティビティを送信すると、アクティビティの整合性と展開可能性が検証されます。検証プロセスおよびレポートの詳細については、「アクティビティの検証(すべてのモード)」を参照してください。

また、アクティビティが閉じられて、アクティビティの承認権限を持つユーザがそれを開くことができるようになります。アクティビティが承認されると、その設定が Security Manager データベースにコミットされ、設定をデバイスに展開できるようになります。

アクティビティを送信すると、Security Manager によって、関連するアプルーバに、アクティビティに承認が必要であることを通知するための電子メールが送信されます。

アクティビティ アプルーバを使用しない Workflow モードでは、アクティビティを送信する必要はありません(実際に、アクティビティの送信はできません)。アクティビティを自分で承認できます。アクティビティ承認設定の変更方法、および通知用の電子メール アドレスの設定方法の詳細については、「[Workflow] ページ」を参照してください。

関連項目

「アクティビティについて」

「アクティビティの起動(Workflow モード)」

「アクティビティ状態について」

「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」


ステップ 1 次のいずれかを実行します。

アクティビティを開いて、アクティビティ ツールバーの [Submit Activity] ボタンをクリックするか、[Activities] > [Submit Activity] を選択します。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウからアクティビティを選択し、[Submit] をクリックします。

[Submit Activity] ダイアログボックスが開きます。

ステップ 2 [Submit Activity] ダイアログボックスで、次のフィールドに入力します。

[Approver]:デフォルトのアドレスが適切でない場合にアクティビティを承認するユーザの電子メール アドレスを入力します。このユーザが、送信の通知を受け取ります。

デフォルトの電子メール アドレスは、[Tools] > [Security Manager Administration] > [Workflow] で設定します。

[Comment]:アプルーバがアクティビティを評価する際に参考になるコメントを入力します。

[Submitter]:デフォルトのアドレスが適切でない場合に承認要求を送信するユーザの電子メール アドレスを入力します。このフィールドには、Security Manager へのログインに使用したユーザ名に関連付けられている電子メール アドレスが最初から埋め込まれています。アクティビティ状態変更の通知は、このアドレスに送信されます。

必要に応じて、[View Changes] ボタンをクリックして、アクティビティ内で行われた変更のレポートを PDF 形式で表示します。詳細については、「変更レポートの表示(すべてのモード)」を参照してください。

ステップ 3 [OK] をクリックします。[Activity Manager] ウィンドウでアクティビティのステータスが [Submitted] に変わり、通知が送信されます。


) 電子メールを送信できない場合は、Security Manager によって警告されます。この場合は、アプルーバに直接連絡する必要があります。



 

アクティビティの承認または拒否(Workflow モード)

アクティビティ内の変更をデータベースにコミットする前に、アクティビティを承認する必要があります。アクティビティの承認権限を持っている場合は、アクティビティを開いて、ポリシーおよびポリシー割り当てを確認してから、アクティビティを承認または拒否できます。

アプルーバを使用しない Workflow モードでは、各自のアクティビティを承認できます。アプルーバを使用せずに作業している場合は、アクティビティを拒否できません。ただし、変更を保存しない場合は、変更を廃棄できます。Workflow 以外のモードでは、[file] メニューで [Submit] および [Discard] コマンドを使用して、設定セッションを送信(して自動的に承認)するか、または設定セッションを廃棄します。

アクティビティ アプルーバを使用する Workflow モードでは、アクティビティを送信しないと、アクティビティを開いたり承認したりできません。このモードでは、アクティビティを拒否することもできます。

アクティビティを承認すると、ポリシーおよびポリシー割り当てがデータベースにコミットされ、デバイスまたはファイルに展開できるようになります。アクティビティに関連付けられたデバイスはロック解除されるため、ポリシー定義に含めたり、他のアクティビティで変更したりできます。

アクティビティを拒否すると、アクティビティは [Edit] 状態に戻ります。送信者は、アクティビティを再び開いて必要な変更を行い、承認のために再送信できます。アクティビティに関連付けられたデバイスはロック解除されないため、ポリシー定義に含めたり、他のアクティビティで変更したりできません。


) アクティビティの承認後に変更を元に戻すことはできません。新しいアクティビティを作成し、ポリシーおよびポリシー割り当てを手動で目的の状態に変更する必要があります。


関連項目

「アクティビティについて」

「アクティビティの起動(Workflow モード)」

「アクティビティ状態について」


ステップ 1 次のいずれかを実行します。

アクティビティを開き、アクティビティ ツールバーで適宜 [Approve Activity] または [Reject Activity] ボタンをクリックします。

アクティビティを開き、適宜、[Activities] > [Approve Activity] または [Activities] > [Reject Activity] を選択します。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウでアクティビティを選択し、適宜 [Approve] または [Reject] を選択します。

[Approve Activity] または [Reject Activity] ダイアログボックスが表示されます。

ステップ 2 [Comment] フィールドに、アクティビティを承認または拒否する理由を示す簡単な説明を入力します。アクティビティを拒否する場合は、推奨リビジョンを含めることができます。

ステップ 3 [OK] をクリックします。[Activity Manager] ウィンドウで、アクティビティ ステータスが [Approved] または [Edit](拒否された場合)に変わります。このウィンドウの要素の詳細については、「[Activity Manager] ウィンドウ」を参照してください。


 

アクティビティの廃棄(すべてのモード)

アクティビティ(Workflow 以外のモードでは設定セッション)が不要になった場合は、廃棄できます。アクティビティを廃棄すると、そのアクティビティ内で定義されていたすべてのポリシーおよびポリシー割り当てが削除されます。これらのポリシーおよびポリシー割り当てはデータベース内には存在しないため、展開はできません。

廃棄されたアクティビティは、Security Manager の Workflow 設定で定義されている設定に基づいてシステムから削除されます。また、そのアクティビティに関連付けられているデバイスがロック解除され、他のアクティビティで使用できるようになります。詳細については、「[Workflow] ページ」を参照してください。

アクティビティを廃棄するには、次の手順を実行します。

Workflow モード:次のいずれかを実行します。

アクティビティを開いて、アクティビティ ツールバーの [Discard] ボタンをクリックするか、[Activities] > [Discard Activity] を選択します。

[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウからアクティビティを選択し、[Discard] をクリックします。廃棄できるのは、Edit または Edit Open の状態にあるアクティビティだけです。

どちらの方法を使用した場合も、[Discard Activity] ダイアログボックスでプロンプトが表示されます。このダイアログボックスで、アクティビティを廃棄する理由を説明する任意のコメントを入力できます。コメントを入力し、[OK] をクリックしてアクティビティを廃棄します。

Workflow 以外のモード:[File] > [Discard] を選択して、現在の設定セッション内の変更を廃棄します。

関連項目

「アクティビティについて」

「アクティビティの起動(Workflow モード)」

「アクティビティ状態について」

アクティビティのステータスおよび履歴の表示(Workflow モード)

Workflow モードでは、[Activity Manager] ウィンドウでアクティビティの変更のステータスおよび履歴を表示できます。

このウィンドウを開くには、ツールバーで [Activity Manager] ボタンをクリックするか、[Manage] > [Activities] を選択します。

上半分のペインに、アクティビティの現在の状態を含む、すべての使用可能なアクティビティが一覧表示されます。アクティビティを選択すると、下半分のペインで次のタブに追加情報が表示されます。

[Details] タブ:アクティビティが作成された日時とその説明が表示されます。

[History] タブ:アクティビティのトランザクション履歴が表示されます。アクティビティ状態が変更されるたびに、変更のレコード(変更を行ったユーザや、変更に関するコメントなど)が保持されます。

関連項目

「アクティビティについて」

「[Activity Manager] ウィンドウ」