グローバルカード所有者管理のルールと制限事項 - Security Center 5.10

Security Center 管理者ガイド 5.10

series
Security Center 5.10
revised_modified
2021-03-26

カード所有者をグローバルに管理する前に、グローバルカード所有者管理を使用する際に適用されるルールと制限事項をお読みください。

ローカルおよびグローバルパーティションに関するルール

  • それぞれの共有ゲストに割り当てることができるホストは 1 つのみです。それぞれのシステムで使用できる GCS ロールのインスタンスは 1 つのみです。
  • 共有ゲストでグローバルパーティションを変更することはできませんが、メンバーが変更することは可能です。共有ゲストに実際に許可される変更は、GCS ロールに割り当てられているユーザーの権限によって決まります。
  • システムで共有できるのは、そのシステムが所有しているエンティティのみです。2 層共有は許可されません。このルールにより、ローカルパーティションにグローバルエンティティが含まれている場合、ホストシステムで変換を行わない限り、そのローカルパーティションをグローバルパーティションに変換することはできません。
  • ローカルエンティティをグローバルパーティションに追加すると、そのエンティティの所有権がローカル所有者 (共有ゲスト) からパーティション所有者 (共有ホスト) に移転します。
  • 共有ゲストでグローバルエンティティを削除すると、共有ホストでもそのエンティティが削除されます。ただし、そのエンティティが別のグローバルパーティションにも属している場合は、そのメンバーシップが最初のパーティションから削除されます。

ローカルおよびグローバルエンティティに関するルール

  • エンティティは、グローバルパーティションのメンバーシップを条件としてグローバルです。つまり、カード所有者は、その親カード所有者グループがグローバルであっても自動的にはグローバルにはなりません。
  • ローカルアクセスルールは、ローカルカード所有者にもグローバルカード所有者にも同様に適用されます。アクセスルールが共有されることはありません。これにより、ローカル管理者はそのローカル施設のセキュリティを完全に制御できるようになっています。
  • グローバルカード所有者/グループは、ローカルカード所有者グループのメンバーになることができます。
  • ローカルカード所有者/グループは、グローバルカード所有者グループのメンバーになることはできません。このルールの例外は、両方のエンティティが同じシステムに属する場合です。この例外としてローカルカード所有者/グループがグローバルカード所有者グループのメンバーになった場合、カード所有者グループを共有できるとしても、ローカルカード所有者を共有することはできません。
  • グローバルカード所有者には、グローバル認証情報とローカル認証情報の両方を割り当てることができます。
  • ローカルカード所有者にグローバル認証情報を割り当てることはできません。
  • 共有ゲストでは、カスタムのカード形式を使用したグローバル認証情報を使用および編集できます。ただし、その認証情報を表示できるのは、カスタムカード形式エディターツールを使用して、対応するカスタムのカード形式 (XML ファイル) を共有ゲストにも定義した場合のみです。
要確認: 常に、アクセスルールは個々のカード所有者ではなくカード所有者グループに適用することをお勧めします。したがって、カード所有者をその親カード所有者グループと併せて共有することをお勧めします。何らかの理由でそのように共有できない場合は、グローバルカード所有者のローカルカード所有者グループを作成することをお勧めします。

グローバルカスタムフィールドおよびデータタイプに関するルール

  • グローバルエンティティに定義したカスタムフィールドおよびデータタイプは、グローバルエンティティを共有すると自動的に共有されます。
  • グローバルカスタムフィールドおよびデータタイプの定義を共有ゲストで変更することはできません。
  • グローバルカスタムフィールドとローカルカスタムフィールドは、それぞれ個別に維持されます。これらのフィールドは所有者 (フィールドを定義したシステム) によって区別されます。
  • グローバルカスタムフィールドとローカルカスタムフィールドのデータタイプ定義には同じ名前は付けられません。
  • グローバルデータタイプを使用してローカルカスタムフィールドを定義することはできません。
  • グローバルエンティティのカスタムフィールドの値は、共有ゲストで変更できます。
  • グローバルカスタムフィールドをローカルエンティティに適用することはできますが、フィールドの値はローカルでの値に維持されます。
  • ローカルカスタムフィールドをグローバルエンティティに適用することもできますが、フィールドの値はローカルでの値に維持されます。
  • ゲストシステムがグローバルパーティションの共有を解除すると、共有グローバルエンティティのローカルコピーも、ローカルエンティティのカスタムフィールドの値も、すべて削除されます。
要確認: 組織内で GCM の実装を予定している場合、グローバルエンティティのカスタムフィールドおよびデータタイプはすべて共有ホストで定義することをお勧めします。

Federation™ およびグローバルエンティティに関するルール

  • 共有ホストがその共有ゲストも統合する場合、共有ゲストに属するローカルエンティティのみが統合されます。共有されているエンティティは共有ホスト上では統合されません。
  • 共有ホストがFederation™ホストでもある場合、その共有ホストは自身のフェデレーションエンティティをグローバルパーティションに追加して共有することはできません。この場合、共有ホストはこれらのフェデレーションエンティティの所有者ではないためです。エンティティを共有できるのは、その適格な所有者に限られます。フェデレーションエンティティを共有エンティティにするには、フェデレーションシステムを Federation™ ホストの共有ゲストにする必要があります。これにより、Federation™ ホストに任意のフェデレーションエンティティを共有する権限が与えられます。
  • 共有ゲストがサードシステムを統合している場合、その共有ゲストは自身のフェデレーションエンティティを共有ホストと共有することはできません。この場合、共有ホストはフェデレーションエンティティの所有者ではないためです。
  • 共有ゲストが別のシステムによって統合されている場合、Federation™ ホスト上にはその共有ゲストのローカルエンティティとグローバルエンティティの両方がフェデレーションエンティティとして示されます。

Active Directory およびグローバルエンティティに関するルール

  • Active Directory からインポートされたカード所有者とカード所有者グループは、共有ホスト上のグローバルパーティションに追加できます。
  • 共有ゲストのローカル Active Directory からインポートされたカード所有者とカード所有者グループをグローバルパーティションに追加することはできません。Active Directory と共有ホストの両方が共有カード所有者の所有者になることはできないためです。
  • Active Directory からインポートされたグローバルカード所有者およびカード所有者グループは、その所有者である Directory サービスを使用しなければ変更できません。
注意:
Active Directory からインポートされたグローバルカード所有者およびカード所有者グループを共有ゲストで変更することはできますが、その場合の変更は一時的なものです。共有ホストが Active Directory と同期されると、変更内容が失われます。
要確認: すべてのカード所有者データを一元管理しなければならない場合、企業 Active Directory からカード所有者をインポートするシステムが共有ホストとして機能すること、およびすべての変更は Directory サービスを使用して行うことが必要です。