権限とユーザ グループ
Cisco Unified Communications Manager の管理機能は、権限とユーザ グループを使用して、さまざまなレベルの特権(アクセス)を提供します。この手法により、選択されたユーザ グループに必要な特権だけを与えることが可能になり、特定ユーザ グループ内のユーザが実行できる設定機能を制限します。
権限とユーザ グループについて、次のトピックで説明します。
• 「概要」
• 「権限」
• 「権限のアクセス特権」
• 「ユーザ グループ」
• 「アクセス ログ」
• 「エンタープライズ パラメータ」
• 「標準権限とユーザ グループ」
• 「参考情報」
関連項目
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「権限の設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「ユーザ グループの設定」
概要
権限とユーザ グループにより、Cisco Unified Communications Manager の管理ページおよびその他のアプリケーションに複数レベルのセキュリティが提供されます。このシステムでは、Cisco Unified Communications Manager の管理ページおよびその他のアプリケーションから利用可能なリソースが、いくつかの権限にグループ化されます。各アプリケーションには、標準の事前定義権限が付属しています。各アプリケーションでは、Cisco Unified Communications Manager の管理ページ用に独自のアクセス特権が定義されます。
管理者は、アプリケーションに権限を追加設定できます。一部のアプリケーションでは、権限にアプリケーションを構成するリソースのリストが含まれています。管理者は、権限を構成するリソースごとにアクセス特権を定義します。Cisco Unified Communications Manager の管理アプリケーションの場合、アクセス特権は read と update です。その他のアプリケーションでは、独自のアクセス特権が指定されます。
アプリケーションに権限を設定後、管理者はユーザ グループを設定できます。ユーザ グループでは、割り当てられた権限の共通リストを共有するユーザのグループが定義されます。ユーザ グループは、アプリケーション ユーザとエンド ユーザの両方で構成されます。
権限
権限には、Cisco Unified Communications Manager の管理アプリケーションなど、アプリケーションのリソースの集合が含まれます。権限には、デフォルト権限と管理者が定義するカスタム権限という、2 つのタイプがあります。アプリケーションの標準権限は、アプリケーションのインストール時に作成されます。管理者は、カスタム権限を定義できます。
(注) すべての標準権限はインストール時に作成されます。標準権限は変更や削除できませんが、コピーすることで、標準権限に基づいた新しいカスタム権限を作成できます。
権限のアクセス特権
Cisco Unified Communications Manager の管理アプリケーションでは、特定の権限を構成する各リソースに、次のいずれかのアクセス特権が適用されます。
• Read
• Update
(注) その他のアプリケーションでは、独自のアクセス特権が指定されます。
Cisco Unified Communications Manager の管理アプリケーションへ関連付けられている権限ごとに、それぞれのリソースへのアクセス用に次のいずれかの特権レベルが適用されます。アクセス特権によって次の特権が指定されます。
• アクセス特権 Read では、特定のリソースに対して定義されたこの特権を持つユーザ グループのユーザが、そのリソースを構成するウィンドウを表示することだけができ、ウィンドウを変更できないことが指定されます。アクセス特権 Read では、ウィンドウへのアクセスが読み取り操作だけに制限されます。 [挿入] 、 [削除] 、 [更新] 、 [リセット] などのボタンは表示されません。
• アクセス特権 Update では、特定のリソースに対して定義されたこの特権を持つユーザ グループのユーザが、そのリソースを構成するウィンドウの表示と変更ができることが指定されます。Update 特権を持つユーザは[挿入]、[削除]、[更新]および[リセット]などの操作を行うことができ、[Cisco Unified CMの管理]ウィンドウおよび[Cisco Unified Serviceability]ウィンドウからプロセスやサービスを開始または停止できる管理機能も実行できます。
インストールを行うと、アプリケーションごとに、インストール時に作成される権限へデフォルトのアクセス特権が割り当てられます。
(注) Standard CCM Admin Users 権限を持つユーザは、Cisco Unified Communications Manager の管理ページのユーザ インターフェイスにアクセスできます。この権限は、すべての管理タスクの基本権限であり、認証権限として働きます。Cisco Unified Communications Manager の管理ページでは、この権限は Cisco Unified Communications Manager の管理ページにログインするために必要な権限として定義されています。
Standard CCM Admin Users 権限には、Cisco Unified Communications Manager の管理ページにログインする以上の権限はありません。ユーザから管理可能な Cisco Unified Communications Manager の管理ページの部分を定義するためには、管理者が別の許可権限を追加する必要があります。Standard CCMADMIN Administration 権限を使用すると、Cisco Unified Communications Manager の管理ページのすべてで、アクセスと変更を行うことができます。
(注) Standard CCM Admin Users 権限だけを持つユーザは、Cisco Unified Communications Manager の管理ページにアクセスできますが、変更はできません。Standard CCMADMIN Administration 権限だけを持つユーザは、変更することはできますが、Cisco Unified Communications Manager の管理ページへのエントリを認証できません。
したがって、ユーザは、Cisco Unified Communications Manager の管理ページにアクセスするための Standard CCM Admin Users権限と、システムを管理するためのそれ以外の権限を少なくとも 1 つ持っている必要があります。
ユーザ グループ
ユーザ グループは、権限の共通リストをユーザ グループ内のメンバーに割り当てることを目的として、グループにまとめられた Cisco Unified Communications Manager アプリケーション ユーザとエンド ユーザの集合から構成されます。
あらかじめ定義されたさまざまな名前のユーザ グループがありますが、インストール時にはどのグループにもメンバーが割り当てられません。Cisco Unified Communications Manager スーパーユーザ、またはユーザ グループ設定にアクセスできるユーザは、そのグループにユーザを追加する必要があります。スーパーユーザ、またはユーザ グループ設定にアクセスできるユーザは、必要に応じて追加の名前付きユーザ グループを設定することができます。
(注) Standard CCM Super Users グループは、すべての名前付き権限に対するフル アクセス権限を常に持つ名前付きユーザ グループを表しています。このユーザ グループは削除できません。このグループに対してはユーザの追加および削除だけが可能です。
(注) CCMAdministrator は、常にスーパーユーザを表します。
ユーザ グループの全リストについては、「標準権限とユーザ グループ」を参照してください。
アクセス ログ
ログには、試みたアクセスおよび変更に関するファイル レポートが含まれます。つまり、Cisco Unified Communications Manager の管理ページは Cisco Unified Communications Manager の管理ページを使用してディレクトリまたはデータベース コンポーネントにアクセスまたは変更を試みた記録を生成します。変更記録には、ユーザ名、日付、時刻、変更に使用されたウィンドウ、および成功または失敗の更新状況が含まれます。
エンタープライズ パラメータ
権限とユーザ グループは、Effective Access Privileges For Overlapping User Groups and Roles エンタープライズ パラメータを使用します。
Effective Access Privileges for Overlapping User Groups and Roles
Effective Access Privileges For Overlapping User Groups and Roles エンタープライズ パラメータは、複数のユーザ グループに所属し競合する特権を持つユーザのアクセス レベルを決定します。
このエンタープライズ パラメータは次の値に設定することができます。
• [Maximum]:有効な特権は、重複するすべてのユーザ グループで最大限の特権になる。
• [Minimum]:有効な特権は、重複するすべてのユーザ グループで最小限の特権になる。
Effective Access Privileges For Overlapping User Groups and Roles エンタープライズ パラメータのデフォルト値は[Maximum]です。
(注) このエンタープライズ パラメータは、Standard CCM Super Users グループのメンバーの特権に影響を与えません。
標準権限とユーザ グループ
Cisco Unified Communications Manager の管理機能をインストールすると、標準権限と標準ユーザ グループが作成されます。標準権限と標準ユーザ グループのリストは動的であることに注意してください。
Cisco Unified Communications Manager の管理ページの標準ユーザ グループでは、さまざまな機能に対する権限の事前定義されたセットが提供されます。管理者は、ユーザ グループおよび権限を管理して、システム ユーザのアクセス レベル(したがって、セキュリティ レベル)を制御できます。管理者は、ユーザが使用しない機能を無効にしたり、標準機能を変更したりして、セキュリティを強化できます。
Cisco Unified Communications Manager では管理者がユーザ グループ、権限、およびリソースを管理できるため、特定のユーザ グループまたは権限が変更されないままであるという保証も、管理者が事前定義されたユーザ グループまたは権限を使用するという保証もありません。
特定のユーザ グループおよび権限(特にアプリケーションに関連するユーザ グループおよび権限)には、管理者が認識しておく必要のある制限があります。たとえば、アプリケーション ユーザとエンド ユーザの両方を追加することにより、Standard EM Authentication Proxy Rights ユーザ グループを変更できます。プロキシによる認証はアプリケーションが使用するためのものであるため、このユーザ グループに追加されたエンド ユーザはプロキシで認証できません。
標準権限と標準ユーザ グループは削除できませんが、CCMAdministrator は標準権限または標準ユーザ グループを変更できます。
参考情報
関連項目
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「権限の設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「ユーザ グループの設定」
• 「アプリケーション ユーザとエンド ユーザ」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「アプリケーション ユーザの設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「エンド ユーザの設定」
参考資料
• Cisco Unified Communications Manager インストレーション ガイド
• Cisco Unified Communications Manager アドミニストレーション ガイド
• Cisco Unified Serviceability アドミニストレーション ガイド