アクセス申請の承認


アクセス申請機能の設定・使用方法について説明します。アクセス申請機能によって、申請者がサーバーへのアクセスを申請し、承認者がそれを承認した場合だけサーバーに接続可能となるワークフローを運用することが可能です。
操作の流れを以下に示します。

click batch register

なお、V1.5より、アクセス申請ポリシー機能を追加しました。アクセス申請ポリシーを設定すると、アクセス申請機能をよりセキュアーに利用できます。
新たにアクセス申請機能を利用される場合は、アクセス申請ポリシー機能を有効にすることを推奨します。(デフォルトでは無効に設定されています)

V1.4以前からアクセス申請機能を利用されていて運用を変更したくない場合は、アクセス申請ポリシーを有効にしなければ、従来通りご利用いただけます。
アクセス申請ポリシーを有効にした/しない場合の具体的な動作の違いについては、本章末尾の表を参照してください。

事前設定

アクセス申請機能を使用するには、以下の手順で設定してください。

  • アクセス申請機能の有効化
  • ユーザー情報の登録
  • サーバーグループの作成
  • アクセス申請ポリシーの設定(任意)

アクセス申請機能の有効化

画面右上部にある [アカウントメニュー] の [プロジェクト] をクリックし、「アクセス申請」 を有効にします。
アクセス申請ポリシーを使用する場合は、「アクセス申請ポリシーの利用」を有効にします。

click batch register

アクセス申請機能を有効にすると、Tunaclo RD ポータル画面上部に、adminロールまたはuser-adminロールのユーザーの場合は [アクセス承認]、userロールのユーザーの場合は [アクセス申請] のメニューが表示されるようになります。
アクセス申請ポリシーを有効にすると、同メニューからポリシーを設定できるようになります。

ユーザー情報の登録

ログイン中のユーザーに対して、アクセス申請機能で使用する情報を追加で登録します。 [アカウントメニュー] の [プロファイル] 設定画面上で、自身の情報を入力してください。詳細な設定方法は、 プロファイル情報の更新 を参照してください。
なお、これらの情報は ユーザーの追加 および ユーザーの編集 でも設定できます。管理者によってあらかじめ設定されている場合は、この手順は不要です。

名前 (必須)
アクセス申請の際、この名前が承認者として表示されます。名前が設定されていないと承認者としてリストアップされないため、承認先として表示したいadminロールのユーザー(アクセス申請ポリシー利用時はuser-adminロールのユーザーも含む)はすべて名前を設定をする必要があります。
最大32文字の日本語・英数字記号で入力してください。

メールアドレス (任意)
アクセス申請の際、承認者として指定された場合に、このメールアドレス宛に通知メールを送信します。
通知メールの送信元アドレスはno-reply@tunaclo.jp.fujitsu.comです。迷惑メール防止フィルター等をご利用の場合は、同アドレスからメールを受信できるように設定してください。
メールタイトルは[Tunaclo Remote Desktop] アクセス申請(申請番号 n) となります。※nは数値

所属 (任意)
userロールのユーザーがアクセス申請する際に、承認者の名前と共に表示されます。
最大120文字の日本語・英数字記号で入力してください。

サーバーグループの作成

アクセス申請する際に、アクセスを希望するサーバーはサーバーグループの単位で指定できます。 サーバーを登録しただけではuserロールのユーザーからアクセス申請することはできませんので、事前にアクセスさせてもよいサーバー群をサーバーグループとして登録しておいてください。
サーバーグループの作成方法は、 サーバーグループの追加 を参照してください。

ポイント:
アクセス申請時にサーバーグループの内容を判別できるように、サーバーグループのメモ欄に説明を追加しておくことを推奨します。すでに作成したサーバーグループのメモ欄を追加したい場合、サーバーグループの編集 を参照してください。

アクセス申請ポリシー機能を有効にした場合の設定

アクセス申請ポリシーを有効にしている場合は、以下の設定を実施してください。 アクセス申請ポリシーを無効にしている場合は省略可能です。

ユーザーグループの作成

ユーザーグループを作成し、アクセス申請ポリシーを適用したいユーザーを所属させます。
作成したユーザーグループには、adminロールまたはuser-adminロールのユーザーを少なくとも1人以上追加してください。利用者がアクセス申請する際、アクセス申請ポリシーで紐づけられたユーザーグループに所属するadmin/user-adminロールのユーザーが承認者として指定できます。
なお、adminロールのユーザーであれば、同じユーザーグループに所属していなくてもアクセス申請の承認が可能です。メールや画面上での通知はされません。

ユーザーグループの作成手順は、ユーザーグループの追加 および ユーザーの追加 を参照してください。 ユーザーグループへのユーザーの追加は、ユーザーの追加時に同時に行えますが、後ほど ユーザーグループの編集 からも実施できます。

アクセス申請ポリシーの設定

アクセス申請ポリシーを追加します。以下の手順を実行してください。

  1. 画面上部の [アクセス承認] > [アクセス申請ポリシー]をクリックし、アクセス申請ポリシーリスト画面を開きます。
click batch register

アクセス申請ポリシーリスト画面では、以下の情報を参照できます。

項目 説明
ポリシー名 当該アクセス申請ポリシーの名前です。
サーバーグループ 当該アクセス申請ポリシーに紐づけられているサーバーグループです。複数ある場合は複数行で表示されます。申請者はこれらのサーバーグループを申請時に選択できます。
ユーザーグループ 当該アクセス申請ポリシーに紐づけられているユーザーグループです。複数ある場合は複数行で表示されます。これらのユーザーグループに所属するユーザーが当該アクセス申請ポリシーの適用対象となります。
操作録画許可 申請を承認する際の、操作録画ON/OFFのデフォルト値です。enableまたはdisableが表示されます。
クリップボード 申請を承認する際の、クリップボードON/OFFのデフォルト値です。enableまたはdisableが表示されます。
状態 アクセス申請ポリシーが有効か無効かを表示します。enableまたはdisableが表示されます。
アクセス申請ポリシーの情報を編集します。
アクセス申請ポリシーを削除します。

  1. アクセス申請ポリシーリスト画面で [作成]ボタンをクリックし、アクセス申請ポリシー作成画面を開きます。

  2. パラメーターを入力し、[作成]ボタンをクリックします。

click batch register
ポリシー名 (必須)
アクセス申請ポリシーの名前です。利用者に複数のアクセス申請ポリシーが設定されている場合、この名前を選択して、どのアクセス申請ポリシーに沿って申請するかを決定します。
アクセス申請ポリシーは以下の条件で入力します。
  • 文字数は3文字以上32文字以下で指定してください。
  • 使用可能な文字は以下となります。
    • 半角英字(小文字):a - z
    • 半角英字(大文字):A - Z
    • 半角数字:0 - 9
    • 半角記号:-
  • アクセス申請ポリシー名はプロジェクト内で一意となるように指定してください。

メモ (任意)
アクセス申請ポリシーの内容について任意の説明文を記述し、識別するために使用します。
メモは以下の条件で入力します。
  • 文字数は512文字以内で入力してください。
  • 使用可能な文字は以下となります。
    • 半角英字(小文字):a - z
    • 半角英字(大文字):A - Z
    • 半角数字:0 - 9
    • 半角記号:.,-_~!"#$%&'()=^|`@?[]{}:;+*/(スペース)
    • 日本語(Unicode準拠): ひらがな、半角および全角カタカナ、漢字、全角記号の一部
    • 全角記号: (全角長音),_

ポリシー無効化 (必須)
アクセス申請ポリシーを有効にするか無効にするかを選択します。デフォルトは有効です。定義を残したまま一時的にアクセス申請ポリシーを無効化したい場合に、無効を選択してください。

サーバーグループ (必須)
アクセス申請ポリシーに紐づけるサーバーグループを1つ以上選択します。利用者の申請が承認されると、ここで選択したサーバーグループ内のサーバーにアクセス可能となります。
紐づけたいサーバーグループにチェックを入れてください。チェックを入れることができるサーバーグループの数は5つまでです。

ユーザーグループ (必須)
アクセス申請ポリシーに紐づけるユーザーグループを1つ以上選択します。ここで選択したユーザーグループに所属するユーザーは、作成中のアクセス申請ポリシーが選択できるようになります。
紐づけたいユーザーグループにチェックを入れてください。チェックを入れられるユーザーグループの数は5つまでです。

操作録画の有効化 (任意)
利用者からの申請を承認する際、操作録画をONにするかOFFにするかを選択しますが、その際のデフォルト値を設定します。
承認時の操作ミスを防止するために利用できます。何も設定しない場合はデフォルト値はOFFです。

クリップボード (任意)
利用者からの申請を承認する際、クリップボード機能を有効にするか無効にするかを選択しますが、その際のデフォルト値を設定します。
承認時の操作ミスを防止するために利用できます。何も設定しない場合はデフォルト値は無効です。

アクセス承認

事前に、userロールのユーザーによってアクセス申請を実施する必要があります。その手順は、 アクセス申請 を参照してください。
ここでは、userロールのユーザーよりアクセスが申請されたあとに、承認するための手順を説明します。

  1. Tunaclo RD ポータル画面上部で [アクセス承認] をクリックします。
  2. アクセス申請ポリシーが有効な場合はさらに [承認依頼一覧] をクリックします。
  3. アクセス承認一覧画面が表示されるので、承認したい申請の右部にある Activated アイコンをクリックします。
    click register

アクセス承認一覧画面では、以下の情報を参照できます。

項目 説明
申請番号 アクセス申請ごとに自動的に付与される番号です。
ステータス アクセス申請のステータスです。
ステータスは右に示す3つとなります。
New 承認者が誰も承認・拒否していない新規のアクセス申請です。
Approved 承認者によって承認されたアクセス申請です。
Rejected 承認者によって許否されたアクセス申請です。
申請日 申請者からのアクセス申請日時です。
申請者 申請者のユーザー名です。
アクセス申請ポリシー 申請に紐づいているアクセス申請ポリシーの名前です。
アクセス申請ポリシーを使用せずサーバーグループを指定している場合、詳細ダイアログをご参照ください。
利用期間 申請者からのアクセス申請のある利用期間です。
利用時間 申請者からのアクセス申請のある利用時間です。 時間 アクセス申請として時間帯が設定されていた場合に表示されます。
制限なし 設定されていない場合、「制限なし」が表示されます。
承認依頼先 申請者からのアクセス申請先の承認者です。
承認者 アクセス申請を承認した承認者名が表示されます。
アクセス申請の詳細ダイアログを表示します。承認の操作は詳細ダイアログで実施できます。

ポイント:
アクセス申請の際に承認者として指定されたユーザーでログインしている場合、アクセス承認のメニュー上に申請された件数に応じた数字が表示されます。


承認の操作は、adminロールのユーザーであればだれでも実施できます。
申請時に承認者として指定されている場合、user-adminロールのユーザーでも実施可能です。

  1. 詳細ダイアログに表示された申請内容を確認してください。なお、アクセス申請ポリシーを使用しない場合は、アクセス申請ポリシー欄は表示されず、代わりに申請時に指定したサーバーグループが表示されます。
    内容を確認後、[承認] または [拒否] ボタンをクリックします。なお、申請に対して以下の項目が設定可能です。必要に応じて指定してください。
click register
操作録画を有効にする
チェックを入れると、操作録画機能を有効にし、その申請者がサーバー接続した場合に操作内容を記録します。なお、操作録画機能を利用するためには、オプションライセンスの契約が必要です。

クリップボードを有効にする
チェックを入れると、クリップボード機能を有効にし、その申請者がサーバー接続中に、接続元クライアントとクリップボードを介してテキストデータをやり取りできます。

承認理由
申請者に承認または拒否の理由を通知できます。デフォルトで定型文が表示されるので、必要に応じて変更してください。以下の条件で入力します。
  • 文字数は400文字までにしてください。
  • 使用できる文字は以下のとおりです。
    • 半角英数字のすべて、半角記号は . _ - ~ ! " # $ % & ' ( ) , = | ` @ ? [ ] { } : ; + * / \ だけが使用可能です。
    • 日本語(Unicode準拠)はひらがな、半角および全角カタカナ、漢字、全角記号の一部が使用可能です。
      • 使用できる全角記号は ー(全角長音) _ です。
      • -(全角英記号ハイフン) および ―(全角日本語記号ハイフン) は使用できません。
  1. 申請が承認または拒否されると、申請者がメールアドレスを設定している場合、その結果を通知するメールが送信されます。

アクセス承認後のアクセス管理

アクセス申請を承認した後、 アクセス承認で説明した手順でアクセス承認一覧画面を開くと、承認履歴を参照できます。
アクセス許可を取り消す場合は、Activated アイコンを選択し、[申請を無効化する]をクリックしてください。
承認した後にアクセス許可期間を変更することはできませんので、継続して利用したい場合は再度アクセス申請および承認を実施してください。

アクセス許可期間が過ぎると、利用者のサーバー接続は強制的に切断されます。

注意:

RDエージェントがV1.4以前の場合、そのエージェントを経由している接続は、アクセス許可期間が過ぎてもサーバー接続を強制切断しません。必要な場合はエージェントをアップデートしてください。


V1.4以前ではアクセス承認時にユーザーグループとアクセスポリシーが自動的に作成されていましたが、V1.5以降では作成されなくなりました。
また、V1.4以前で自動的に作成されていたユーザーグループとアクセスポリシーに関しても、V1.5以降は表示されなくなっています(設定されたアクセス期間内は継続して利用可能です)。
自動的に作成されていたユーザーグループとアクセスポリシーの命名規則は以下の通りです。

  • ユーザーグループの名前:workflow-id<申請番号>-YYYYMMDDの形式
  • アクセスポリシーの名前:workflow-id<申請番号>-YYYYMMDDの形式

(補足)アクセス申請ポリシーを使用する/しない場合の動作の比較

アクセス申請機能の動作 アクセス申請ポリシーを使用しない場合 アクセス申請ポリシーを使用する場合 補足
申請者が参照できるサーバーグループ すべてのサーバーグループ アクセス申請ポリシーで紐づけたサーバーグループ アクセス申請ポリシー使用時は、利用者に対してサーバーグループを表示せず、あらかじめ管理者が指定したサーバーグループ内のサーバーに対してアクセスを許可できます。
アクセス申請の承認ができるユーザーロール
(承認者)
adminロール admin、user-adminロール アクセス申請ポリシー使用時は、user-adminロールのユーザーにチーム内のアクセス申請の承認を委任できます
アクセス申請ができるユーザーロール
(申請者)
user、user-adminロール userロール アクセス申請ポリシー使用時は、user-adminロールのユーザーではアクセス申請できません
申請時に選択できる承認者 すべてのadminロールのユーザー アクセス申請ポリシーで紐づいたユーザーグループに所属しているadminロールまたはuser-adminロールのユーザー 利用者が選択できる承認者を、ユーザーグループ内の承認者に限定できます。
選択した承認者に申請が発行されたことをメールで通知しますが、名前とメールアドレスが設定されていないとメールが送信されません。設定漏れにはご注意ください
申請を承認できるユーザー すべてのadminロールのユーザー すべてのadminロールのユーザーと、申請時に指定されたuser-adminロールのユーザー
申請を許可する際のパラメーターのデフォルト値 すべてOFF アクセス申請ポリシーで設定した値(ON/OFF) 申請を許可する際のパラメーターには、操作録画とクリップボード機能のON/OFFがあります