グローバルカード所有者管理のルールと制限事項 - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

グローバルカード所有者管理の使用時には、いくつかのルールと制限事項が適用されます。

カード所有者をグローバルに管理するには、その前に、次のツールと制限事項を確認してください。

ローカルおよびグローバルパーティションに関するルール

  • それぞれの共有ゲストに割り当てることができるホストは 1 つのみです。それぞれのシステムで使用できる GCS ロールのインスタンスは 1 つのみです。
  • 共有ゲストでグローバルパーティションを変更することはできませんが、メンバーが変更することは可能です。共有ゲストに実際に許可される変更は、GCS ロールに割り当てられているユーザーの権限によって決まります。
  • システムで共有できるのは、そのシステムが所有しているエンティティのみです。2 層共有は許可されません。このルールにより、ローカルパーティションにグローバルエンティティが含まれている場合、ホストシステムで変換を行わない限り、そのローカルパーティションをグローバルパーティションに変換することはできません。
  • ローカルエンティティをグローバルパーティションに追加すると、そのエンティティの所有権がローカル所有者 (共有ゲスト) からパーティション所有者 (共有ホスト) に移転します。
  • 共有ゲストでグローバルエンティティを削除すると、共有ホストでもそのエンティティが削除されます。ただし、そのエンティティが別のグローバルパーティションにも属している場合は、そのメンバーシップが最初のパーティションから削除されます。

ローカルおよびグローバルエンティティに関するルール

  • エンティティは、グローバルパーティションのメンバーになることでグローバルエンティティになります。つまり、親カード所有者グループがグローバル所有者グループであるというだけで、カード所有者が自動的にグローバルカード所有者になることはありません。
  • ローカル・アクセス・ルールは、ローカルカード所有者にもグローバルカード所有者にも同様に適用されます。アクセスルールが共有されることは決してありません。これにより、ローカル管理者はそのローカル施設のセキュリティを完全に制御できるようになっています。
  • グローバルカード所有者/グループは、ローカルカード所有者グループのメンバーになることができます。
  • ローカルカード所有者/グループがグローバルカード所有者グループのメンバーになることはできません。ただし、両方のエンティティが同じシステムに属している場合は、このルールの例外となります。この例外としてローカルカード所有者/グループがグローバルカード所有者グループのメンバーになった場合、カード所有者グループを共有できるとしても、ローカルカード所有者を共有することはできません。
  • グローバルカード所有者には、グローバル認証情報とローカル認証情報の両方を割り当てることができます。
  • ローカルカード所有者にグローバル認証情報を割り当てることはできません。
  • 共有ゲストでは、カスタムのカード形式を使用したグローバル認証情報を使用および編集できます。ただし、その認証情報を表示できるのは、カスタムカード形式エディターツールを使用して、対応するカスタムのカード形式 (XML ファイル) を共有ゲストにも定義した場合のみです。
要確認: 常に、アクセスルールは個々のカード所有者ではなくカード所有者グループに適用することをお勧めします。したがって、カード所有者をその親カード所有者グループと併せて共有することをお勧めします。何らかの理由でそのように共有できない場合は、グローバルカード所有者のローカルカード所有者グループを作成することをお勧めします。

グローバル・カスタム・フィールドおよびデータタイプに関するルール

  • グローバルエンティティに定義したカスタムフィールドおよびデータタイプは、グローバルエンティティを共有すると自動的に共有されます。
  • グローバル・カスタム・フィールドおよびデータタイプの定義を共有ゲストで変更することはできません。
  • グローバル・カスタム・フィールドとローカル・カスタム・フィールドは、同じ名前を使用するとしてもそれぞれ個別に維持されます。これらのフィールドは所有者 (フィールドを定義したシステム) によって区別されます。
  • グローバル・データ・タイプを使用してローカル・カスタム・フィールドを定義することはできません。
  • グローバルエンティティのカスタムフィールドの値は、共有ゲストで変更できます。
  • グローバル・カスタム・フィールドをローカルエンティティに適用することはできますが、フィールドの値はローカルでの値に維持されます。
  • ローカル・カスタム・フィールドをグローバルエンティティに適用することもできますが、フィールドの値はローカルでの値に維持されます。
  • ゲストシステムがグローバルパーティションの共有を解除すると、共有グローバルエンティティのローカルコピーも、ローカルエンティティのカスタムフィールドの値も、すべて削除されます。
要確認: 組織内で GCM の実装を予定している場合、グローバルエンティティのカスタムフィールドおよびデータタイプはすべて共有ホストで定義することをお勧めします。

Federation™ およびグローバルエンティティに関するルール

  • 共有ホストがその共有ゲストも統合する場合、共有ゲストに属するローカルエンティティのみが統合されます。共有されているエンティティは共有ホスト上では統合されません。
  • 共有ホストがフェデレーションホストでもある場合、その共有ホストは自身のフェデレーションエンティティをグローバルパーティションに追加して共有することはできません。この場合、共有ホストはこれらのフェデレーションエンティティの所有者ではないためです。エンティティを共有できるのは、その適格な所有者に限られます。フェデレーションエンティティを共有エンティティにするには、フェデレーションシステムを Federation™ ホストの共有ゲストにする必要があります。これにより、Federation™ ホストに任意のフェデレーションエンティティを共有する権限が与えられます。
  • 共有ゲストがサードシステムを統合している場合、その共有ゲストは自身のフェデレーションエンティティを共有ホストと共有することはできません。この場合、共有ホストはフェデレーションエンティティの所有者ではないためです。
  • 共有ゲストが別のシステムによって統合されている場合、Federation™ ホスト上にはその共有ゲストのローカルエンティティとグローバルエンティティの両方がフェデレーションエンティティとして示されます。

Active Directory およびグローバルエンティティに関するルール

  • Active Directory からインポートされたカード所有者とカード所有者グループは、共有ホスト上のグローバルパーティションに追加できます。
  • 共有ゲストのローカル Active Directory からインポートされたカード所有者とカード所有者グループをグローバルパーティションに追加することはできません。Active Directory と共有ホストの両方が共有カード所有者の所有者になることはできないためです。
  • Active Directory からインポートされたグローバルカード所有者およびカード所有者グループは、その所有者である Directory サービスを使用しなければ変更できません。
注意:
Active Directory からインポートされたグローバルカード所有者およびカード所有者グループを共有ゲストで変更することはできますが、その場合の変更は一時的なものです。共有ホストが Active Directory と同期されると、変更内容が失われます。
要確認: すべてのカード所有者データを一元管理しなければならない場合、企業 Active Directory からカード所有者をインポートするシステムが共有ホストとして機能すること、およびすべての変更は Directory サービスを使用して行うことが必要です。