アクセス申請機能
アクセス申請機能とは
アクセス申請機能を利用することで、申請者がサーバーへのアクセスを申請し、承認者がそれを承認した場合だけサーバーに接続可能となるワークフローを運用することが可能です。
操作の流れを以下に示します。
アクセス申請を導入しても、アクセスポリシーによるアクセス許可は自動的には無効化されません。
アクセスポリシーが設定されている場合、その範囲で引き続きサーバー接続が可能です。各ユーザーのサーバーアクセスを申請ベースに切り替えたい場合は、アクセスポリシーの設定状況も併せて確認してください。
アクセス申請機能は、サーバー接続にのみ対応しています。Web アクセスには対応してません。
事前設定
アクセス申請機能を使用するには、以下の手順で設定してください。
- アクセス申請機能 および アクセス申請ポリシーの有効化
- ユーザー情報の登録
- サーバーグループの作成
- アクセス申請ポリシーの設定
アクセス申請機能 および アクセス申請ポリシーの有効化
RD ポータル画面の左ペインにある [プロジェクト設定] をクリックし、プロジェクト設定画面を開きます。
[プロジェクト共通設定] タブをクリックし、「アクセス申請」 を有効にします。
アクセス申請ポリシーを使用する場合は、「アクセス申請ポリシーの利用」を有効にします。
アクセス申請ポリシーによって、アクセス申請機能をよりセキュアーに利用できます。新たにアクセス申請機能を利用される場合は、アクセス申請ポリシー機能を有効にすることを推奨します。
具体的には、以下のようなメリットがあります。
- 申請者が参照および利用申請可能なサーバーの範囲を限定できる
- 申請者と同じユーザーグループのuser-admin・auditorロールのユーザーを承認者に指定できる
- 申請時のクリップボード共有・操作録画の有効/無効のデフォルト値を指定できる
以降、アクセス申請ポリシーを有効にしていることを前提に説明します。
アクセス申請ポリシーを利用しない場合の差異については、本章末尾の補足記事を参照してください。
アクセス申請機能 および アクセス申請ポリシーを有効にすると、RD ポータル画面の左ペインに、 [アクセス申請]、[アクセス承認]、[アクセス申請ポリシー]のメニューが表示されるようになります。
ユーザー情報の登録
ログイン中のユーザーに対して、アクセス申請機能で使用する情報を追加で登録します。具体的には以下の情報を設定する必要があります。
- フルネーム (必須)
- アクセス申請の際、この名前が承認者・申請者として表示されます。名前が設定されていないと承認者としてリストアップされません。
最大32文字の日本語・英数字記号で入力してください。
- 所属 (任意)
- アクセス申請の際、承認者・申請者の名前と共に表示されます。
最大120文字の日本語・英数字記号で入力してください。
- EMail (任意)
- アクセス申請の際、承認者として指定された場合、または、自身で申請した場合、このメールアドレス宛に通知メールを送信します。
通知メールの送信元アドレスはno-reply@tunaclo.jp.fujitsu.comです。迷惑メール防止フィルター等をご利用の場合は、同アドレスからメールを受信できるように設定してください。
メールタイトルは[Tunaclo Remote Desktop] アクセス申請(申請番号 n)となります。※nは数値
管理者によってあらかじめ設定されている場合は、この手順は不要です。
必要な場合、[アカウントメニュー] の [ユーザーの情報] 画面で自身の情報を入力してください。詳細は、
ユーザーの情報
を参照してください。
なお、これらの情報は、管理者によって
ユーザーの追加
および
ユーザーの編集
からも設定できます。
サーバーグループの作成
アクセス申請の対象とするサーバーは、サーバーグループの単位で指定するため、事前にアクセスさせてもよいサーバー群をサーバーグループとして登録してください。
サーバーグループの作成方法は、
サーバーグループの追加
を参照してください。
アクセス申請時にサーバーグループの内容を判別できるように、サーバーグループのメモ欄に説明を追加しておくことを推奨します。すでに作成したサーバーグループのメモ欄を追加したい場合、サーバーグループの編集 を参照してください。
アクセス申請ポリシー機能を有効にした場合の設定
アクセス申請ポリシーを有効にしている場合は、以下の設定を実施してください。 アクセス申請ポリシーを無効にしている場合は省略可能です。
ユーザーグループの作成
ユーザーグループを作成し、アクセス申請ポリシーを適用したいユーザーを所属させます。
作成したユーザーグループには、admin・user-admin・auditorロールのユーザーを少なくとも1人以上追加してください。利用者がアクセス申請する際、アクセス申請ポリシーで紐づけられたユーザーグループに所属するadmin・user-admin・auditorロールのユーザーが承認者として指定できます。
なお、adminロールのユーザーであれば、同じユーザーグループに所属していなくてもアクセス申請の承認が可能です。メールや画面上での通知はされません。
ユーザーグループの作成手順は、ユーザーグループの追加を参照してください。 ユーザーグループへのユーザーの追加は、ユーザーの追加 時に同時に行えますが、後ほど ユーザーグループの編集 からも実施できます。
アクセス申請ポリシーの設定
アクセス申請ポリシーを追加します。以下の手順を実行してください。
- RD ポータル画面の左ペインから [アクセス申請ポリシー] をクリックし、アクセス申請ポリシーリスト画面を開きます。
- アクセス申請ポリシーリスト画面で [新規作成]ボタンをクリックし、アクセス申請ポリシー作成画面を開きます。
- パラメーターを入力し、[作成]ボタンをクリックします。
アクセス申請ポリシーリストおよび作成画面の詳細は アクセス申請ポリシーを参照してください。
アクセス申請
アクセス申請の手順は、
アクセス申請
を参照してください。
申請はどのユーザーロールでも実施できます。
アクセス承認
アクセス申請の手順は、アクセス承認を参照してください。 承認の操作は、adminロールのユーザーであればだれでも実施できます。申請時に承認者として指定されている場合、user-admin・auditorロールのユーザーでも実施可能です。
アクセス申請の際に承認者として指定されたユーザーでログインしている場合、アクセス承認のメニュー上に
アイコンが表示されます。
アクセス承認後のアクセス管理
アクセス申請を承認した後、 アクセス承認一覧画面を開くと、承認履歴を参照できます。
アクセス許可を取り消す場合は、アクセス承認後の取り消しを参照してください。
(補足)アクセス申請ポリシーを使用する/しない場合の動作の比較
| アクセス申請機能の動作 | アクセス申請ポリシーを使用しない場合 | アクセス申請ポリシーを使用する場合 | 補足 |
|---|---|---|---|
| 申請者が参照できるサーバーグループ | すべてのサーバーグループ | アクセス申請ポリシーで紐づけたサーバーグループ | アクセス申請ポリシー使用時は、利用者に対してサーバーグループを表示せず、あらかじめ管理者が指定したサーバーグループ内のサーバーに対してアクセスを許可できます。 |
| アクセス申請の承認ができるユーザーロール (承認者) |
adminロール | admin・user-admin・auditorロール | アクセス申請ポリシー使用時は、user-admin・auditorロールのユーザーにチーム内のアクセス申請の承認を委任できます |
| アクセス申請ができるユーザーロール (申請者) |
user・user-admin・auditorロール | すべてのロール | V1.6より、アクセス申請ポリシー使用時は、すべてのユーザーがアクセス申請できるようになりました |
| 申請時に選択できる承認者 | すべてのadminロールのユーザー | アクセス申請ポリシーで紐づいたユーザーグループに所属しているadmin・user-admin・auditorロールのユーザー | どちらの場合も、フルネームが設定されていないと承認者として選択できません。 アクセス申請ポリシー使用時は、利用者が選択できる承認者をユーザーグループ内に限定できます。 選択した承認者に申請が発行されたことをメールで通知しますが、フルネームとメールアドレスが設定されていないとメールが送信されません。設定漏れにはご注意ください。 |
| 申請を承認できるユーザー | すべてのadminロールのユーザー | すべてのadminロールのユーザーと、申請時に指定されたuser-admin・auditorロールのユーザー | |
| 申請を許可する際のパラメーターのデフォルト値 | すべてOFF | アクセス申請ポリシーで設定した値(ON/OFF) | 申請を許可する際のパラメーターには、操作録画とクリップボード機能のON/OFFがあります |