ユーザ ロールおよび権限
AUS を使用するには、ユーザ名およびパスワードが認証される必要があります。ユーザ名およびパスワードの組み合わせは、AUS で使用するようにコンフィギュレーションで選択された、CiscoWorks Server または Cisco Secure Access Control Server(ACS)データベースのいずれかと比較されます。
認証後、割り当てられた権限に基づいて許可されます。権限は、アプリケーション内で定義されたタスクまたは操作です。ユーザに割り当てられた権限セットによって、ユーザのロールが定義され、システムへのアクセス権の範囲とタイプを示します。
次のトピックでは、2 タイプの認証方式に関連したユーザ ロールおよび許可に関する詳細を説明します。
•
「AUS 権限」
•
「CiscoWorks Server ロールおよび AUS 権限」
•
「Cisco Secure ACS ロールおよび AUS 権限」
AUS 権限
AUS 権限は、ユーザが実行できる主要なアクションです。AUS によって提供される権限を 表 B-1 に示します。これらの権限は CiscoWorks Server および次のセクションで説明する ACS ロールに割り当てられます。
•
「CiscoWorks Server ロールおよび AUS 権限」
•
「Cisco Secure ACS ロールおよび AUS 権限」
表 B-1 AUS 権限
|
|
API_View_Device GUI_View_Device |
デバイス情報を表示できます。 |
API_View_Images GUI_View_Images |
ソフトウェア イメージに関する情報を表示できます。 |
API_View_Assignment GUI_View_Assignment |
デバイスからファイルへの割り当ておよびファイルからデバイスへの割り当てに関する情報を収集および表示できます。 |
API_View_Reports GUI_View_Reports |
システム概要情報およびイベント レポートを表示できます。 |
API_View_Admin GUI_View_Admin |
AUS 管理情報を表示できます。 |
API_Modify_Device GUI_Modify_Device |
デバイスを強制的に AUS に接続できます。 |
API_Modify_Images GUI_Modify_Image |
AUS でイメージを追加および削除できます。 |
API_Modify_Assignment GUI_Modify_Assignment |
ファイルをデバイスに割り当てる、またはデバイスをファイルに割り当てることができます。 |
API_Modify_Admin GUI_Modify_Admin |
AUS 管理コンフィギュレーション設定を変更できます。 |
CiscoWorks Server ロールおよび AUS 権限
CiscoWorks Server 認証方式を使用してデバイスに対してアクションを実行すると、アクションは選択したデバイスに応じて認証されます。
CiscoWorks Server には、組織内で想定される職務に対応するロールが 5 つ定義されています。
表 B-2 に AUS とともに使用できるロールを示します。
表 B-2 CiscoWorks のロール
|
|
システム管理者 |
CiscoWorks Server および AUS タスクをすべて実行できます(ユーザの追加、ユーザ パスワードの設定、イメージの追加または削除、割り当ての解除など)。 |
ネットワーク管理者 |
CiscoWorks Server の管理をタスクを実行し、システム管理者と同じ権限があります。 |
ネットワーク オペレータ |
AUS の情報すべてに読み取り専用の権限があります。 |
承認者 |
デバイスを変更できます。イメージ、割り当て、レポート、および管理タスクに対して読み取り専用の権限があります。 |
ヘルプ デスク |
AUS の情報すべてに読み取り専用の権限があります。 |
表 B-3 に AUS ロールおよびサポートされる権限を示します。権限の詳細については、 表 B-1 を参照してください。
表 B-3 CiscoWorks ロールおよび AUS 権限
|
|
|
|
|
|
|
API_View_Device GUI_View_Device |
○ |
○ |
○ |
○ |
○ |
API_View_Images GUI_View_Images |
○ |
○ |
○ |
○ |
○ |
API_View_Assignment GUI_View_Assignment |
○ |
○ |
○ |
○ |
○ |
API_View_Reports GUI_View_Reports |
○ |
○ |
○ |
○ |
○ |
API_View_Admin GUI_View_Admin |
○ |
○ |
○ |
○ |
○ |
API_Modify_Device GUI_Modify_Device |
○ |
○ |
- |
○ |
- |
API_Modify_Images GUI_Modify_Image |
○ |
○ |
- |
- |
- |
API_Modify_Assignment GUI_Modify_Assignment |
○ |
○ |
- |
- |
- |
API_Modify_Admin GUI_Modify_Admin |
○ |
○ |
- |
- |
- |
Cisco Secure ACS ロールおよび AUS 権限
Cisco Secure ACS では、アプリケーション固有のロールがサポートされます。上位ロールには、下位ロールに関連付けられたすべての権限が含まれます。ACS を認証に使用する他のアプリケーションとは異なり、AUS では、デバイス単位ではなく、AUS 自体で認証を確認します。
ACS ですでに定義されている AUS ロールを使用することも、独自のカスタマイズ ロールを作成することもできます。
ACS の使用方法および、ACS のセキュリティに関するメリットについては、『 User Guide for Cisco Secure ACS for Windows Server 』を参照してください。
表 B-4 に AUS とともに使用できるデフォルトのロールを示します。
表 B-4 ACS ロール
|
|
システム管理者 |
フル権限(スーパーユーザ)。 |
ネットワーク管理者 |
フル権限(スーパーユーザ)。 |
ネットワーク オペレータ |
GUI の読み取り権限。 |
AUS リモート インターフェイス |
外部インターフェイスのみのアクセスが許可され、GUI へのアクセスは許可されません。 |
ヘルプ デスク |
機密ではないデータの読み取り専用権限。 |
API リーダー |
外部インターフェイスの読み取り権限。 |
API ライター |
外部インターフェイスの読み取り/書き込み権限。 |
GUI リーダー |
GUI の情報を表示する読み取り権限。 |
GUI ライター |
GUI の情報を表示および変更する読み取り/書き込み権限。 |
(注) Security Manager および AUS 間で正常に通信するには、Security Manager で AUS に対して入力したユーザ名およびパスワードを API_Writer ロール、同様の権限があるロール、または AUS リモート インターフェイスと関連付ける必要があります。
表 B-5 にデフォルトの AUS ロールおよびサポートされる権限を示します。権限の詳細については、 表 B-1 を参照してください。
表 B-5 ACS ロールおよび AUS 権限
|
|
|
|
|
|
|
|
|
|
API_View_Device |
○ |
○ |
○ |
- |
○ |
- |
○ |
- |
GUI_View_Device |
○ |
○ |
○ |
○ |
|
○ |
- |
○ |
API_View_Images |
○ |
○ |
○ |
- |
○ |
- |
○ |
- |
GUI_View_Images |
○ |
○ |
○ |
○ |
|
○ |
- |
○ |
API_View_Assignment |
○ |
○ |
○ |
- |
○ |
- |
○ |
- |
GUI_View_Assignment |
○ |
○ |
○ |
○ |
|
○ |
- |
○ |
API_View_Reports |
○ |
○ |
○ |
- |
○ |
- |
○ |
- |
GUI_View_Reports |
○ |
○ |
○ |
○ |
|
○ |
- |
○ |
API_View_Admin |
○ |
○ |
○ |
○ |
○ |
- |
○ |
- |
GUI_View_Admin |
○ |
○ |
○ |
- |
- |
○ |
- |
○ |
API_Modify_Device |
○ |
○ |
- |
- |
- |
- |
○ |
- |
GUI_Modify_Device |
○ |
○ |
- |
- |
- |
- |
- |
○ |
API_Modify_Images |
○ |
○ |
- |
- |
- |
- |
○ |
- |
GUI_Modify_Images |
○ |
○ |
- |
- |
- |
- |
- |
○ |
API_Modify Assignment |
○ |
○ |
- |
- |
- |
- |
○ |
- |
GUI_Modify_Assignment |
○ |
○ |
- |
- |
- |
- |
- |
○ |
API_Modify_Admin |
○ |
○ |
- |
- |
- |
- |
○ |
- |
GUI_Modify_Admin |
○ |
○ |
- |
- |
- |
- |
- |
○ |