Service Manager ユーザー ロールの管理
このセクションでは、「 Service Manager のユーザー ロール プロファイルの一覧のユーザー ロールの概要について説明します。 ユーザー ロールの操作に使用できる手順についても説明します。
ユーザー ロールについて
通常、何人かの社員が、ポータブル コンピューターやサーバーなどのハードウェアのサポートを担当します。 これらの担当者の中には、構成アイテムの作成と更新だけが許可され、削除は許可されていない人と、作成、更新、削除のすべてが許可されている人がいます。
Service Manager のユーザー ロール プロファイルの リストでは、ユーザーが情報にアクセスしたり更新したりできるようにするセキュリティ権限が、ユーザー ロール プロファイルで定義されます。 ユーザー ロール プロファイルは、アクセス権の名前付きコレクションであり、通常は従業員のビジネス責任に対応します。 それぞれのユーザー ロール プロファイルは、ナレッジ項目、作業アイテム (インシデント、変更要求)、作成、管理、資格情報などのアイテムへのアクセスを制御します。 ユーザー ロール プロファイルは、実行を許可されているものを定義していると考えてください。
たとえば、構成アイテムを管理する社員を次の 2 つのグループに分割する計画があるとします。1 つはデスクトップ コンピューターの構成アイテムを取り扱うグループ、もう 1 つはポータブル コンピューターの構成アイテムを取り扱うグループです。 上記の 2 つのユーザー プロファイル (構成アイテムの作成と編集だけを行えるプロファイルと、作成、編集、削除を行えるプロファイル) は維持する予定です。 この場合は、これらのユーザー プロファイルに、デスクトップ コンピューターとポータブル コンピューターという異なるスコープが定義します。 ユーザー ロール プロファイルで許可される操作が定義されている場合、スコープは、変更できる項目を定義していると考えてください。 ユーザー ロール プロファイルとスコープを合わせて、ユーザー ロールといいます。
ユーザー ロールについて
Service Manager で Administration を選択し、 Security を展開し、 User Roles を選択すると、 User Roles ペインにユーザー ロールの一覧が表示されます。 これらのユーザー ロールのそれぞれに、ユーザー ロール プロファイルと未定義のスコープが構成されています。 ユーザー ロールのスコープは定義されていないため、どのユーザーも、すべての管理パック、キュー、グループ、タスク、ビュー、フォーム テンプレートに対して、自分のユーザー プロファイルで定義されている操作を行えます。 次の表に、既定のユーザー ロール、それに関連付けられているユーザー ロール プロファイル、およびスコープを示します。
| ユーザー ロール | ユーザー ロール プロファイル | 範囲 |
|---|---|---|
| 活動実行者 | 活動実行者 | グローバル |
| 管理者 | 管理者 | グローバル |
| 高度なオペレーター | 高度なオペレーター | グローバル |
| 変更開始者 | 変更イニシエーター | グローバル |
| エンド ユーザー | エンド ユーザー | グローバル |
| 読み取り専用オペレーター | 読み取り専用オペレーター | グローバル |
| 作者 | 作成者 | グローバル |
| 問題アナリスト | 問題アナリスト | グローバル |
| ワークフロー | ワークフロー | グローバル |
| インシデント リゾルバー | インシデント リゾルバー | グローバル |
| 変更マネージャー | 変更マネージャー | グローバル |
| レポート ユーザー | レポート ユーザー | グローバル |
| リリース マネージャー | リリース マネージャー | グローバル |
| サービス リクエスト アナリスト | サービス リクエスト アナリスト | グローバル |
Note
Service Manager レポート ユーザー のユーザー ロールは、Service Manager データ ウェアハウスに登録した後、およびデータ ウェアハウスのナビゲーション ボタンが使用可能な後にのみ使用できます。 Service Manager レポート ユーザー ロールを表示するには、 Data Warehouse を選択し、 Security を展開して、 User Roles を選択します。
例
たとえば、構成アイテムの作成と編集だけを行え、削除はできないセキュリティ アクセスと、構成アイテムの作成、編集、削除を行えるセキュリティ アクセスを定義するとします。 このガイドの最後にある付録 A には、ユーザー ロール プロファイルとその関連アイテムの一覧があります。 次の表に、各ユーザー ロール プロファイルで、構成アイテムに対してどの操作を行えるかを示します。
| ユーザー ロール プロファイル | 構成アイテムの作成 | 構成アイテムの更新 | 構成アイテムの削除 |
|---|---|---|---|
| レポート ユーザー | いいえ | 番号 | いいえ |
| エンド ユーザー | いいえ | 番号 | いいえ |
| 読み取り専用オペレーター | いいえ | 番号 | いいえ |
| 活動実行者 | いいえ | 番号 | いいえ |
| 変更イニシエーター | いいえ | 番号 | いいえ |
| インシデント リゾルバー | いいえ | 番号 | いいえ |
| 問題アナリスト | いいえ | 番号 | いいえ |
| 変更マネージャー | いいえ | 番号 | いいえ |
| 高度なオペレーター | はい | はい | いいえ |
| 作成者 | はい | はい | いいえ |
| ワークフロー | はい | はい | いいえ |
| 管理者 | はい | イエス | はい |
上の表を見ると、高度なオペレーターのユーザー ロール プロファイルでは、構成アイテムの作成と更新はできるけれども、削除はできないことがわかります。 管理者のユーザー ロール プロファイルでは、構成アイテムの作成、更新、削除のすべてを行えます。 構成項目の作成と更新は許可されているが、削除は許可されていない資産管理チームのメンバーは、定義済みの Service Manager Advanced Operators プロファイルのメンバーになります。 一方、CI の作成、更新、削除が許可されているメンバーは、事前定義の管理者プロファイルのメンバーになります。
ベスト プラクティスとして、資産管理チームのメンバーが変更される可能性があると想定します。 まず、Active Directory ドメイン サービス (AD DS) に 2 つのグループを作成し、これらのグループを高度なオペレーター プロファイルと管理者プロファイルのメンバーにします。 その後、メンバーが変更されると、ユーザーは Active Directory グループに追加および削除され、Service Manager で変更を加える必要はありません。
今後、資産管理チームをデスクトップとラップトップの 2 つのグループに分ける場合は、同じユーザー ロール プロファイルを使用しますが、異なるスコープを指定して、独自のユーザー ロールを作成できます。
一部のユーザー ロールを作成できない理由
ユーザー ロールを作成するときに、管理者、レポート ユーザー、ワークフローの 3 つのユーザー ロールが使用できないことに注意してください。 これら 3 つのユーザー ロールはセットアップ中に作成および設定され、一般に、これらのユーザー ロールは Service Manager によって使用されます。 次に、これらのユーザー ロールを作成できない理由を順番に説明します。
管理者
管理者ユーザー ロールは、スコープ内でグローバルです。そのため、この種類の別のユーザー ロールを作成する理由はありません。
レポート ユーザー
ユーザー ロールであるレポート ユーザーには、Service Manager コンソールでユーザーの Microsoft SQL Server Reporting Services (SSRS) をホストするコンピューターを検索する目的があります。 Service Manager コンソールのユーザーがレポートを実行しようとすると、データ ウェアハウス管理サーバーをホストしているコンピューターを探して Service Manager 管理サーバーに対してクエリが実行されます。 その後、Service Manager コンソールは、SSRS をホストしているコンピューターの名前を探してデータ ウェアハウス管理サーバーにクエリを実行します。 この情報を使用して、Service Manager コンソールは SSRS に接続します。 レポート ユーザーのユーザー ロールの唯一の目的は、これらのクエリを実行することです。 Service Manager コンソールが SSRS に接続すると、コンソールを実行しているユーザーの資格情報によって、SSRS で定義されているアクセス権が付与されます。 このユーザー ロールの目的は狭いため、別のユーザー ロールを作成する理由はありません。
ワークフロー
ワークフローでは、Service Manager データベースの読み取りと書き込みが必要になる場合があります。 セットアップ中に、ワークフロー ユーザー ロールの資格情報を指定するように求められ、このユーザー ロールは Service Manager データベースに対して必要なアクションを実行します。 ユーザー ロールであるレポート ユーザーと同様に、ワークフロー ユーザー ロールの目的が狭いということは、他のユーザー ロールを作成する理由がないことを意味します。
ユーザー ロールにメンバーを追加する
Service Manager では、ユーザーをユーザー ロールに割り当てて、実行できる操作を定義できます。
この例では、構成アイテムの作成と更新はできるけれども、削除はできない資産管理チームのメンバーをユーザー ロールに追加します。 Service Manager の User ロール プロファイルの [構成項目] セクションを見ると高度なオペレーターのユーザー ロール プロファイルが、このチームのアクセス許可に関して必要なものを提供していることがわかります。 現時点では、資産管理チームの全員が、会社のあらゆる資産の管理を担当しているので、無制限のスコープが必要です。
Service Manager Advanced Operators ユーザー ロールにユーザーを追加し、ユーザー ロールへのユーザーの割り当てを検証するには、次の手順に従います。
ユーザーをユーザー ロールに割り当てるには
Service Manager コンソールで、 Administration を選択します。
[ 管理 ] ウィンドウで [ セキュリティ] を展開して、[ ユーザー ロール] を選択します。
[ ユーザー ロール ] ウィンドウで [ 高度なオペレーター] をダブルクリックします。
[ユーザー ロールの 編集 ダイアログで、 ユーザーを選択します。
Users ページで、Add を選択します。
[ユーザーまたはグループの選択 ダイアログで、このユーザー ロールに追加するユーザーまたはグループの名前を入力し、[名前の確認を選択して、OKを選択します。
[ユーザー ロールの 編集 ダイアログで、 OKを選択します。
ユーザーへのユーザー ロールの割り当てを検証するには
- ユーザー ロールに割り当てられているユーザーの 1 人として Service Manager コンソールにサインインします。 ユーザー ロールで指定されているように、アクセス権のないデータにアクセスできないことを確認します。
Windows PowerShell コマンドを使用して、ユーザーを表示できます。 Windows PowerShell を使用して Service Manager で定義されているユーザーを取得する方法については、「 Get-SCSMUserを参照してください。
ユーザー ロールを作成する
次の手順を使用して、ユーザー ロールを作成し、Service Manager でそのロールにユーザーを割り当て、ユーザー ロールの作成を検証します。
ユーザー ロールを作成するには
Service Manager コンソールで、 Administration を選択します。
[ 管理 ] ウィンドウで [ セキュリティ] を展開して、[ ユーザー ロール] を選択します。
[ タスク ] ウィンドウの [ ユーザー ロール] で [ ユーザー ロールの作成] を選択し、そのユーザー ロールに使用するユーザー ロール プロファイル ([ 作成] など) を選択します。
次の手順に従って、 ユーザー ロール ウィザード を実行します。
[開始する前に] ページで、 [次へ] を選択します。
General ページで、このユーザー ロールの名前と説明を入力し、 Nextを選択します。
[ 管理パック ] ページで、アクセス権を割り当てるデータのスコープのフィルタリングを始めます。 [ インシデント管理ライブラリ] など、アクセスを割り当てるデータが含まれている管理パックを選択します。 [次へ] を選択します。
次のページには、指定したユーザー ロールに対して、指定した管理パックから使用できるすべてのクラス、キュー、グループ、タスク、ビュー、フォーム テンプレートが表示されます。 これらのページで特定のアイテムを選択し、アクセス権を割り当てるデータ セットをさらに制限できます。
重要
グループとキューの一覧はフィルター処理されません。すべての管理パックのすべてのグループとキューが一覧表示されます。 [ キュー ] ページで [ すべてのキューを選択 ] 項目を選択すると、[ グループ ] ページの [ すべてのグループを選択 ] が自動的に選択されます。 また、既定では、グループは作成されません。 グループごとにスコープを制限する場合は、グループを作成する必要があります。
Users ページで Add を選択し、 ユーザーまたはグループの選択ダイアログを使用して、このユーザー ロールの Active Directory ドメイン Services (AD DS) からユーザーとユーザー グループを選択し、 Next を選択します。
Summary ページで、設定が正しいことを確認し、Create を選択します。
Completion ページで、ユーザー ロールが正常に作成されたことを確認表示され、Close を選択します。
ユーザー ロールの作成を検証するには
Service Manager コンソールで、新しく作成したユーザー ロールが中央のウィンドウに表示されることを確認します。
ユーザー ロールに割り当てられているユーザーの 1 人として Service Manager コンソールにサインインします。 ユーザー ロールで指定されているように、アクセス権のないデータにアクセスできないことを確認します。
次のように、Windows PowerShell コマンドを使用して、これらのタスクやその他の関連タスクを完了できます。
Windows PowerShell を使用して Service Manager で新しいユーザー ロールを作成する方法については、「 New-SCSMUserRoleを参照してください。
Windows PowerShell を使用して Service Manager で定義されているユーザー ロールを取得する方法については、「 Get-SCSMUserRoleを参照してください。
Windows PowerShell を使用して Service Manager ユーザーの UserRole プロパティを設定する方法については、「 Update-SCSMUserRoleを参照してください。
Windows PowerShell を使用して Service Manager からユーザー ロールを削除する方法については、「 Remove-SCSMUserRoleを参照してください。
次のステップ
- パスワード のセキュリティ要件、パスワードの有効期限、ユーザー名の変更については、「 管理実行アカウントを参照してください。