Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ロールベースのアクセス制御の概要

Junos Spaceネットワーク管理プラットフォームは、認証プロセスで検証され、認証プロセスで権限を付与されたユーザーにのみ、アクセスと管理の権限を付与します。

Junos Space スーパー管理者またはユーザー管理者は、ユーザーを作成し、1 つ以上のロールを割り当てて、Junos Space プラットフォームのワークスペース内のタスクやオブジェクトにアクセスし、管理できるようにします。ロールは、ユーザーがアクセスできるワークスペースと、ユーザーがワークスペース内で実行できるタスクを決定します。

Junos Spaceスーパー管理者またはユーザー管理者は、APIアクセスプロファイルを作成して割り当て、ネットワークにとって安全でない、またはネットワークに害を及ぼす可能性のあるリモートプロシージャコール(RPC)コマンドの実行をユーザーが制限することもできます。ルールは、RPC コマンドを安全に実行できるかどうかを判断する XPath 式として API アクセスプロファイルに追加されます。

ユーザー認証

認証を通じて、Junos Spaceネットワーク管理プラットフォームは、パスワードまたは証明書に基づいてユーザーを検証します。Junos Spaceネットワーク管理プラットフォームは、ローカルとリモートの両方のユーザー認証をサポートしています。ユーザーがJunos Spaceネットワーク管理プラットフォームにアクセスしようとすると、ログイン時にユーザーが入力したパスワードが、Junos Space Platformデータベースに保存されているパスワードと一致するか、RADIUSまたはTACACS+サーバーを介してリモートで確認することで、ユーザーをローカルで認証することができます。リモート認証と許可のためのRADIUSおよびTACACS+サーバーの設定については、 認証と許可のためのRADIUSサーバーの設定 および認証 と許可のためのTACACS+サーバーの設定を参照してください。

Junos Spaceネットワーク管理プラットフォームは、証明書ベースのユーザー認証とX.509証明書パラメーターベースのユーザー認証もサポートしています。ユーザーの資格情報に基づいてユーザーを認証する代わりに、より安全と見なされるユーザーの証明書に基づいてユーザーを認証できます。証明書ベースの認証または証明書パラメーターベースの認証の詳細については、「 証明書管理の概要」を参照してください。

RBAC の施行

ロールベースのアクセス制御(RBAC)適用では、Junos Space スーパー管理者またはユーザー管理者が、ユーザーがアクセスできるワークスペース、ユーザーが表示および管理できるシステム リソース、ワークスペース内でユーザーが使用できるタスクを定義します。RBAC は、Junos Space ユーザー インターフェイスのナビゲーション階層で、ワークスペース、タスク グループ、タスクごとに適用されます。ユーザーは、アクセス権限によって明示的に付与されたナビゲーション階層の部分にのみアクセスできます。次のセクションでは、ユーザー インターフェイス ナビゲーション階層の各レベルでの RBAC 強制動作について説明します。

ワークスペースごとの RBAC の適用

Junos Spaceのユーザーインターフェイスは、関連するタスクのコレクションがワークスペースごとに整理されたタスク指向の環境を提供します。たとえば、[ユーザー] ワークスペースでは、ユーザーとロールの管理に関連するタスクのグループを定義します。これらのタスクには、ユーザーの作成、変更、削除、およびロールの割り当てが含まれます。ワークスペースによる適用により、ユーザーは、ユーザーが実行するアクセス許可を持っているタスクを含むワークスペースのみを表示できます。たとえば、[デバイス] ワークスペース内のすべてのタスクへのアクセス権を付与するデバイス マネージャー ロールが割り当てられたユーザーは、[デバイス] ワークスペースにのみアクセスできます。このユーザーに他のロールが割り当てられていない限り、他のワークスペースはこのユーザーに表示されません。ワークスペース内の一部のタスクへのアクセス権を付与するロールがユーザーに割り当てられている場合、ユーザーはワークスペース内のすべてのタスクを表示できますが、アクセス許可が付与されているタスクのみを実行できます。

RBAC の適用が [はじめに] ページでサポートされていない

RBAC の適用は、[はじめに] ページのコンテンツに対して有効になっていません。したがって、特定のアクセス権限を持たないユーザーでも、[はじめに] ページに表示される手順を表示できます。たとえば、デバイスを管理する権限を持たないユーザーには、引き続き [デバイスの検出] ステップが表示されます。ただし、ユーザーがステップをクリックすると、Junos Spaceネットワーク管理プラットフォームには、ステップがリンクされているワークスペースまたはタスクにアクセスする権限がユーザーにあることを示すエラーメッセージが表示されます。

関連ドキュメント