Cisco Prime Collaboration Assurance Guide - Standard, 10.0
ユーザの管理
ユーザの管理

ユーザの管理

Prime Collaboration はユーザ ロールの作成をサポートします。 ユーザは、スーパー管理者ロールに割り当てることができます。 スーパー管理者はシステム管理者およびネットワーク管理者の両方が実行できるタスクを実行できます。

Prime Collaboration は、globaladmin というデフォルトの Web クライアント管理者ユーザで事前設定されます。globaladmin は、両方の Prime Collaboration Assurance UI にアクセスできるスーパーユーザです。

仮想アプライアンスを設定するときに globaladmin のパスワードを指定します。 Prime Collaboration Web クライアントを初めて起動するときは、これらのクレデンシャルを使用する必要があります。

Prime Collaboration Assurance サーバは、これらの CLI ユーザ、つまり admin および root をサポートします。

Web クライアント UI を使用して CLI ユーザを作成できません。 CLI ユーザは OVA コンフィギュレーションで作成されます。 デフォルトでは、ユーザ名は admin です。パスワードは OVA コンフィギュレーションで指定され、アプリケーション ステータスをチェックし、バックアップと復元を実行するように CLI にログインするために使用されます。


注意    


root パスワードは取得できないため、書き留めておくことを推奨します。

  • CLI ユーザは Prime Collaboration の [User Management] ページに表示されなくなります。


globaladmin と root は同じパスワード検証ルール セットに従いますが、admin のルールは異なります。 これらのユーザのパスワード検証ルールについては、『Cisco Prime Collaboration 10.0 Quick Start Guide』を参照してください。

Prime Collaboration Provisioning のユーザ ロール

グローバルとドメイン固有の 2 種類のグローバル プロビジョニング ユーザ ロールがあります。

グローバルなプロビジョニング ユーザは通常、音声アプリケーションの Prime Collaboration Provisioning ビジネス抽象化を設定する IP テレフォニーのエキスパートです。 ドメイン固有のプロビジョニング ユーザは、単一のドメインの管理者および複数のドメインのユーザにすることができます。

表 1 に Prime Collaboration Provisioning のユーザ ロールを示します。

表 1 権限ロール

権限ロール

説明

グローバル ロール

管理機能

Provisioning のすべての機能にアクセスできます。

Maintenance

システムのクリーンアップ アクティビティを設定できます。 メンテナンス モードを参照してください。 『Cisco Prime Collaboration 10.0 Provisioning Guide』参照してください。

ドメインのロール

ドロップダウンリストで、権限ロールを設定するドメインを選択します。 選択したロールは、選択したドメインにだけ適用されます。 使用可能なすべてのドメインに同じ権限ロールを適用するには、[Apply to all domains] を選択します。

(注)     

管理者が [Apply to all domains] を選択した場合、すべてのドメイン内のユーザの既存のロールが現在選択されているロールに上書きされます。

ポリシー(Policy)

電話ボタン テンプレートの表示、加入者ロールの修正、および電話機インベントリの追加または更新を行うことができます。

Infrastructure Configuration Management

インフラストラクチャ設定オブジェクトをプロビジョニングできます。 このロールを選択する場合は、[Permission Profile] ボックスからプロファイルも選択する必要があります。

Permission Profiles

この権限ロールが割り当てられているインフラストラクチャ設定オブジェクト ユーザが設定できる権限を設定します (権限の設定の詳細については、『Cisco Prime Collaboration 10.0 Provisioning Guideを参照してください。)

SelfCare User

自分のサービスを管理することを許可されています。回線の設定、サービスの管理、および電話機のオプションの設定をすばやく簡単に実施できます。

(注)     

スタンドアロンの Collaboration Provisioning アプリケーションでは、両方のユーザを追加している間にセルフケアを有効または無効にできます。 [Self-Care] チェックボックスは、ユーザを追加するときには使用できません。 ただし、ユーザの作成後に、[Manage User] ページからのセルフケアのロールを割り当てることができます。 『Cisco Prime Collaboration 10.0 Provisioning Guide』参照してください。

オーダー ロール

これらのロールを割り当てられたユーザは、ほかのユーザや自分自身のオーダーを発行できます。

注文

許可する操作:

  • ドメイン内のユーザの追加、削除、またはアップデート。

  • ドメイン内のユーザ ロールの追加、削除、またはアップデート(ドメイン ルールで許可されている場合)

  • ドメイン内のインベントリにある電話の追加、削除、またはアップデート(ドメイン ルールで許可されている場合)

  • ドメイン内の詳細ユーザ情報の検索と表示

  • ドメイン内のユーザに対するオーダーの発行

Advanced Ordering

Ordering(オーダー)ロールによって指定されているすべての機能にアクセスできます。また、[Order Entry] ページの [Advanced Order] オプションにもアクセスできます。

Advanced Assignment

Ordering(オーダー)ロールによって指定されているすべての機能にアクセスできます。また、オーダーの入力時に電話製品の MAC アドレスを割り当てることができます。

アクティビティ ロール

これらのロールのいずれかを割り当てられたユーザは、オーダー処理中にグループに割り当てられているアクティビティを実行できます。

Approval

オーダーを受け入れて承認を完了できます。

Assignment

MAC アドレスを割り当てるユーザ アクティビティを受け入れることができます。

出荷中

オーダーを受け入れて出荷を完了できます。

Receiving

オーダーを受け入れて受領を完了できます。


(注)  


  • globaladmin およびドメイン管理者はすべてのユーザにセルフケア ロールを作成できます。 セルフケア ロールは、スタンドアロンの Prime Collaboration Provisioning の [Manage Users] ページでのみユーザに割り当てることができます。 詳細については、『Cisco Prime Collaboration 10.0 Provisioning Guide』の「Creating a Self-Care Account(セルフケア アカウントの作成)」を参照してください。

  • 統合モードでは、Prime Collaboration Assurance アプリケーションにセルフケア ロールに関連付けられたユーザはインポートできません。


ユーザの管理方法の詳細については、『Cisco Prime Collaboration 10.0 Provisioning Guide』の「Managing Subscribers and Users(加入者およびユーザの管理)」の章を参照してください。

ユーザの追加、編集、削除

ユーザを追加して、事前定義済みの静的ロールを割り当てることができます。 このユーザは、Prime Collaboration Web クライアントだけにアクセスできます。

Prime Collaboration Assurance に初めてログインする場合は、globaladmin としてログインします。

globaladmin として、実際のユーザ ID を使用しているほかの管理者を作成する必要があります。


注意    


名前を使用してユーザを作成しないでください(globaladmin、pmadmin、および admin)。


ユーザを追加するには、次の手順を実行します。


    ステップ 1   [Administration] > [User Management] を選択します。
    ステップ 2   [User Management] ページで、[Add] をクリックします。
    ステップ 3   [Add User] ウィンドウで、必要なユーザの詳細情報を入力します。
    ステップ 4   ロールを選択します。
    ステップ 5   [Save] をクリックします。

    このように [Add User] 機能を使用して作成されたユーザは、Web クライアントだけに関連付けられ、CLI を介して Prime Collaboration Assurance サーバにログインできません。

    ユーザの詳細を編集するには、[Administration] > [User Management] でユーザを選択し、必要な変更を行います。

    定期的なシステム管理タスクの一環として、場合によっては Prime Collaboration データベースからユーザを削除する必要があります。 ただし、Prime Collaboration Web クライアントのデフォルトの管理者 globaladmin は削除できません。

    ユーザを削除するには、[Administration] > [User Management] でユーザを選択し、[Delete] をクリックします。 削除したユーザ名でスケジュールされたジョブは、キャンセルされるまで引き続き実行されます。


    LDAP サーバの設定

    Lightweight Directory Access Protocol(LDAP)サーバに接続することにより、LDAP サーバに格納されたユーザ情報にアクセスするように Prime Collaboration を設定することができます。 統合モードでは、Prime Collaboration Assurance で指定された LDAP サーバは認証だけに使用されます。許可およびロールベース アクセス コントロール(RBAC)機能は、Prime Collaboration によって実行されます。

    [User Management] ページで LDAP ユーザを作成して、このユーザが LDAP のクレデンシャルを使用してログインできるようにする必要があります。 ユーザを追加するには、「ユーザの追加」を、ユーザを編集または削除するには、「ユーザ ロールの変更」を参照してください。

    Prime Collaboration は、1 台のプライマリ LDAP サーバと 1 台のバックアップ LDAP サーバをサポートします。

    LDAP サーバを設定するには、次の手順を実行します。


      ステップ 1   [Administration] > [System Setup] > [Assurance Setup] > [LDAP Settings] を選択します。 > > >
      ステップ 2   [LDAP Settings] ページで、すべてのフィールドに値を入力します。 フィールドの説明については、表 4 を参照してください。
      (注)     

      Prime Collaboration が SSL 暗号化を使用する必要がある場合は、[Use SSL] チェックボックスをオンにし、ポート 636 を指定します。

      ステップ 3   LDAP サーバへの接続を確認するには、[Test Connection] をクリックします。
      ステップ 4   接続に成功したら、[Apply Settings] をクリックし、Prime Collaboration Assurance サーバを再起動し、LDAP を使用してログインします。

      Prime Collaboration Assurance サーバを再起動するには、admin ユーザとしてログインし、次のコマンドを実行します。

      application stop cpcm
      application start cpcm

      application stop cpcm コマンドは、実行完了までに 10 分、application start cpcm コマンドは実行完了までに 10 ~ 15 分かかります。


      [LDAP Configuration] のパラメータ

      表 2 LDAP サーバの設定

      フィールド

      説明

      サーバの IP アドレス

      LDAP サーバ名または IP アドレスを入力します。

      オプションで、バックアップ LDAP サーバの IP アドレスを入力します。

      Server Port

      サーバの LDAP 要求を受信するポート番号を入力します。

      [Non-secure port]:389

      [Secure SSL port]:636

      オプションでバックアップ LDAP サーバのポート番号を入力します。

      (注)     

      標準以外のポートを使用するように LDAP サーバが設定されている場合は、そのポートもここで入力する必要があります。

      Admin Distinguished Name

      対応する LDAP ディレクトリへのアクセス権を持つユーザのユーザ名を入力します。

      たとえば、userID = jdoe のユーザの John Doe は "John Doe" を入力する必要があります。

      (注)     

      管理者が Windows ドメイン cisco のユーザである場合は、admin と入力します(cisco \ admin などのドメイン プレフィックスのユーザ名は動作しません)。

      Admin Password

      LDAP サーバのパスワードを入力し、パスワードを再確認します。

      LDAP User Search Base

      ユーザの検索ベースを入力します。 このベースで LDAP サーバがユーザを検索します。

      検索ベースを入力する場合は CN または OU の詳細を入力する必要があります。 dc=cisco,dc=com では動作しません。CN または OU の部分を指定する必要があります。次に例を示します。

      cn=users,dc=eta,dc=com.

      2 種類のユーザ グループを設定する場合、たとえば、次のように入力します。

      • OU=Organization, OU=Accounts, DC=aaa, DC=com

      • OU=Service, OU=Accounts, DC=aaa, DC=com

      入力する検索ベースは OU=Accounts, DC=aaa, DC=com です。

      OU=Organization ユーザ グループのユーザが Admin DN として設定されている場合は、Orgnization ユーザ グループ内のすべてのユーザが Prime Collaboration にログインできますが、Services ユーザ グループ内のユーザはログインできません。 同様に、OU=Services ユーザ グループ内のユーザが Admin DN として設定されている場合は、Services ユーザ グループ内のすべてのユーザが Prime Collaboration にログインできますが、Organization ユーザ グループ内のユーザはできません。

      Admin DN としてトップ レベルでユーザを設定した場合は、そのレベル以下のすべてのユーザが Prime Collaboration にログインできます。 たとえば、OU=Accounts ユーザ グループ内のユーザが Admin DN として設定されている場合は、Organization および Services ユーザ グループ内のすべてのユーザが Prime Collaboartion にログインできます。

      (注)     

      LDAP 認証は、検索ベースで特殊文字を入力すると失敗します。

      Prime Collaboration Assurance のパスワードのリセット

      スーパー管理者、システム管理者またはネットワーク オペレータとして、ほかの Prime Collaboration のユーザのパスワードをリセットできます。

      次の手順を使用して、Prime Collaboration Assurance Web クライアントの globaladmin パスワードをリセットできます。

      Prime Collaboration Assurance の globaladmin パスワードをリセットするには、次の手順を実行します。


        ステップ 1   root ユーザとしてログインします。
        ステップ 2   「goemsam」コマンドを入力します。
        ステップ 3   次のコマンドを実行します。
        
        #./bin/resetGlobalAdminPassword.sh
        
        ステップ 4   globaladmin の新しいパスワードを入力し、新しいパスワードを確認します。

        パスワードの変更

        自分のパスワードを変更するには、[Administration] > [User Management] に移動し、[Change Password] をクリックして必要な変更を加えます。

        Prime Collaboration のシングル サインオン

        Prime Collaboration は Security Assertion Markup Language(SAML)を使用して Prime Collaboration Assurance および Prime Collaboration Provisioning でのシングル サインオン(SSO)を可能にする管理者権限をユーザに提供します。

        次の UC アプリケーションを相互起動するように Prime Collaboration Provisioning で SSO を有効にできます。
        • Cisco Unified Communications Manager
        • Cisco Unity Connection
        • Cisco Unified Presence

        (注)  


        ログイン クレデンシャルを必要とせずにアプリケーションを相互起動するには、それらのアプリケーションの SSO を必ず Prime Collaboration と同じ IdP サーバで設定します。

        SSO を有効にする前に、次の前提条件が満たされていることを確認してください。

        • Prime Collaboration Provisioning が Secure Socket Layer(SSL)を使用するように設定されています。 Provisioning の SSO を有効にする前に SSL を有効にする必要があります。 Prime Collaboration Provisioning で SSL を有効にする手順については、『Cisco Prime Collaboration 10.0 Provisioning Guide』の「Enabling SSL for Prime Collaboration Provisioning(Prime Collaboration Provisioning の SSL の有効化)」の項を参照してください。

          (注)  


          デフォルトでは、Prime Collaboration Assurance の SSL は有効になっています。
        • Prime Collaboration Provisioning での LDAP 同期を通じ、また、Prime Collaboration Assurance での LDAP 管理ユーザの手動作成による、少なくとも 1 人の LDAP 管理ユーザがシステムに必要です。

          Prime Collaboration Provisioning でユーザに管理者権限を提供する方法については、『Cisco Prime Collaboration 10.0 Provisioning Guide』の「ユーザの管理」を参照してください」。

        • Identity Provider(IdP)サーバは、単一ホストのアプリケーションおよびサービス プロバイダーが提供するその他多くのアプリケーションへのアクセスに SSO を使用できるようにします。 サービス プロバイダーとはアプリケーションをホストする Web サイトです。
          次に、サポートされているサードパーティ IdP サーバを示します。
          • Open Access Manager(OpenAM)
          • Ping ID
          • Active Directory Federation Services(ADFS)
          • Oracle Identity Manager

          IdP サーバをセットアップする手順については、『SAML SSO Deployment Guide for Cisco Unified Communication Applications, Release 10.0(1)』を参照してください。

        • IdP サーバからのアイデンティティ プロバイダーのメタデータ ファイルをダウンロードし、ローカル システムに保存します。

        シングル サインオンを有効にするには、以下を実施します。


          ステップ 1   [Administration] > [Single Sign-on] を選択します。
          ステップ 2   [Enable SSO] をクリックします。

          「Enabling SSO redirects you to the IdP server for authentication from the next login」という警告メッセージが表示されます。 アプリケーションにアクセスするには、正常に認証される必要があります。

          (注)      前述の前提条件が満たされていない場合は、[Enable SSO] は無効になっています。
          ステップ 3   [Continue] をクリックします。
          ステップ 4   シングル サインオンを有効にするには、SSO ウィザードに示される手順に従います。
          1. ローカル システムから IdP メタデータ ファイルを見つけ、[Import IdP Metadata] をクリックします。
          2. [Download Trust Metadata file] をクリックします。
          3. IdP サーバを起動し、ダウンロードした信頼メタデータ ファイルをインポートします。
            (注)      これは、SSO を有効にするための手動の手順です。 SSO のテストを進める前に、IdP サーバで信頼範囲(CoT)を作成し、ログアウトする必要があります。
          4. SSO のテスト セットアップを実行するには、[Valid Administrative Usernames] ドロップダウンからユーザ名を選択します。
            (注)      ほかのユーザ名を使用して IdP サーバにログインすると、管理者アカウントがロックされる可能性があります。
          5. [Run SSO Test] をクリックし、IdP サーバ、Prime Collaboration のアプリケーション、およびシングル サインオン間の接続をテストします。 「Unable to do Single Sign-On or Federation」というエラー メッセージが表示された場合は、次の手順を実行します。
            • エンド ユーザ クレデンシャルを使用して手動で IdP サーバにログインし、認証が成功したかどうかを確認します。
            • Trust Metadata ファイルが IdP サーバで正常にアップロードされているかどうかを確認します。
            • Prime Collaboration サーバと IdP サーバが同じ信頼範囲内にあるかどうかを確認します。
          6. [Finish] をクリックします。
          統合モードでは、Prime Collaboration は Provisioning セットアップを使用して Cisco Unified CM、Cisco Unity Connection、Cisco Unified Presence アプリケーションを相互に起動します。

          SSO のトラブルシューティングおよびログ

          • SSO を有効化している間に Prime Collaboration サーバからログアウトしている場合は、ブラウザを閉じて Prime Collaboration アプリケーションを再起動することを推奨します。 これは、Prime Collaboration サーバでのセッションが期限切れになっても、IdP サーバ セッションはまだアクティブである可能性があるためです。
          • Prime Collaboration Provisioning の場合は /opt/cupm/sep/logs ディレクトリ、Prime Collaboration Assurance の場合は /opt/emms/tomcat/webapps/emsam/log/sso ディレクトリでログ ファイル(ssosp*.log)を見つけることができます。
          • SSO を有効化中は、Prime Collaboration のホスト名が設定され、DNS の一部であることを確認します。
          IdP サーバがダウンしている場合は、次のことが可能です。
          • リカバリ URL(https://<PCserver IP アドレス または DNS に含まれているホスト名>/ssosp/local/login)を使用します。
          • CMD ユーティリティからのシングル サインオンの無効化。
          Prime Collaboration アプリケーションで CMD ユーティリティから SSO を無効化するには、以下を実施します。
          • SSH とポート 22(Prime Collaboration Assurance の場合は 26)を使用して Prime Collaboration Provisioning サーバにログインします。
          • Prime Collaboration Provisioning の場合は /opt/cupm/sep/build/bin ディレクトリ、Prime Collaboration Assurance の場合は /opt/emms/emsam/bin に移動します。 次の表に基づいて cpcmconfigsso.sh ファイルの <Operation> および <Value> エントリを追加します。
          操作は次のとおりです。 値は次のとおりです。
          1:シングル サインオン ステータスを取得 N/A
          2:リカバリ URL ステータスを取得 N/A
          3:シングル サインオン ステータスを設定 False
          (注)      CLI から SSO を有効にすることはできません。 SSO を有効にするには、UI プロシージャを使用します。
          4:リカバリ URL ステータスを設定 True または False
          • SSO を無効にするには、次のコマンドを実行します。

          cpcmconfigsso.sh 3 false


          (注)  


          デフォルトでは、リカバリ URL は有効になっています。 セキュリティ上の理由から無効にする場合は、false に設定します。