RD ポータルでの設定
RD ポータル上での初期設定手順の概要を説明します。管理者ユーザーで設定することを前提としています。
ここでは、初期設定の方法として、RD ポータル上で手動で設定し、アクセス許可についてはアクセスポリシーという設定でアクセス権を恒久的に付与する方法を説明します。
登録したいサーバーやユーザーの数が多い場合、一括設定を用いて、以下でご説明しているサーバー作成からアクセス許可設定までをExcelにパラメタを記入して一括で設定できます。(アクセス許可設定以降は手動で設定してください。)
また、管理者によって都度アクセス可否を承認する必要がある場合、アクセス申請機能を用いて、ワークフロー形式で運用できます。
ログイン
RD ポータル URL から RD ポータルにアクセスします。
サーバーの登録
Tunaclo RDで接続したいPC・サーバーを登録します。
RD ポータル画面の左ペインでサーバーを選択し、新規作成ボタンをクリックします。
登録画面のガイダンスに従いパラメーターを入力してください。詳細については運用ガイドのサーバー管理を参照してください。
エージェントの欄には、RDエージェントの構築で構築したRDエージェントの一覧が表示され、登録中のサーバーにどのRDエージェントを経由してアクセスするかを指定します。
複数のRDエージェントを構築している場合、現在登録しているサーバーにアクセス可能なものを選択してください。
ユーザーの登録
Tunaclo RDを利用される担当者ごとに、ユーザーを作成します。
RD ポータル画面の左ペインでユーザーを選択し、新規作成ボタンをクリックします。
登録画面のガイダンスに従いパラメーターを入力してください。詳細については運用ガイドのユーザー管理を参照してください。
プロファイル情報の名前、メールアドレス、所属は任意ですが、アクセス承認機能を利用する場合、名前とメールアドレスは必須です。
ユーザーロールは以下4種類で、担当者の役割の違いに応じて指定してください。詳細はユーザーロールを参照してください。
セキュリティ上、可能な限り利用者ロールを指定していただくことを推奨します。
- 管理者(adminロール)
- ご契約頂いたプロジェクト全体を管理することを目的にしたロールです。運用ガイドに記載されたすべての操作の実行・情報の参照が可能です。
- 初期ユーザーのロールはこの管理者(adminロール)です。
- ユーザー管理者(user-adminロール)
- プロジェクトの利用者が多い場合に、管理者のユーザー管理に関する作業を代行することを目的にしたロールです。
- 利用者ロールでできることに加えて、自身が所属するユーザーグループの範囲で、ユーザー追加・削除、アクセスログ参照、操作録画の動画作成・ダウンロード(オプション契約時のみ)、アクセス申請の承認(アクセス申請ポリシー機能を利用する場合のみ)などの操作が実施できます。
- 監査者(auditorロール)
- プロジェクトの利用者が多い場合に、管理者のユーザー監査に関する作業を代行することを目的にしたロールです。
- 利用者ロールでできることに加えて、自身が所属するユーザーグループの範囲で、アクセスログ参照、操作録画の動画作成・ダウンロード(オプション契約時のみ)、アクセス申請の承認(アクセス申請ポリシー機能を利用する場合のみ)などの操作が実施できます。
- 監査を目的としているため、他ユーザーに関する設定変更など、ユーザーを管理するための機能は利用できません。
- 利用者(userロール)
- サーバーに接続し実際に作業することを目的としたロールです。操作ガイドに記載された操作の実行・情報の参照が可能です。
アクセス許可設定
Tunaclo RDでは、以下の設定項目を組み合わせてアクセス許可の設定をします。
- サーバーグループ : サーバーを複数束ねたグループを作成します
- ユーザーグループ : ユーザーを複数束ねたグループを作成します
- アクセスポリシー : サーバーグループにユーザーグループを紐づけ、複数のサーバーに対して複数のユーザーのアクセス許可を一括で設定します
- このアクセスポリシー内で操作録画機能やアクセスを許可する期間・時間帯を設定できます。
- このアクセスポリシー内で操作録画機能やアクセスを許可する期間・時間帯を設定できます。
それぞれ、RD ポータル画面の左ペインで サーバーグループ、ユーザーグループ、アクセスポリシー をクリックして遷移したリスト画面で、[新規作成]ボタンをクリックすると作成画面が開きますので、画面のガイダンスに従いパラメーターを入力してください。
詳細な手順については前述のリンクを参照してください。
サーバーグループは用途が同じサーバー群に対して作成し、ユーザーグループはチームごとに作成することで、用途に応じて必要なチームをアクセスポリシーでアサインするイメージで効率的に設定することができます。
以下に設定例を示します。
この例では、開発チーム(dev-team)は開発用(dev-env)とテスト用(test-env)の両方のサーバーにアクセスし、テストチームはテスト用(test-env)のサーバーにだけアクセスを許可しています。
なお、テスト環境ではエビデンス取得のために操作録画機能をONにしています。
また、権限委任が可能であれば、ユーザーグループにユーザー管理者(user-admin)ロールのユーザーを含めておくと、管理者の手を煩わせずにメンバーの追加・削除に対応できます。
多要素認証の設定
Tunaclo RDでは、RD ポータルのログインに多要素認証(以降MFA)を設定できます。
パスワードが流出しても不正アクセスを防止できる可能性があるなど、認証強度を高めることができますので、Tunaclo RDはMFAを設定してご利用いただくことを強く推奨します。
Tunaclo RDのMFAは、各ユーザーが RD ポータルにログインした後に、各自で設定できます。各ユーザーでの具体的な手順は操作の章で説明します。
多要素認証の強制設定(任意)
管理者によってMFAの利用を強制できます。設定手順は以下の通りです。
- RD ポータル画面の左ペインで
プロジェクト設定をクリック プロジェクト共通設定内の多要素認証の強制をenable(有効)にする
この設定を有効にすると、MFAを設定していないユーザーは初回ログイン時にMFA登録を促されます。
各ユーザーのMFAの設定状況はユーザーリスト画面で確認できます。具体的には、当該ユーザーの認証カラムにMFAの値が表示されていれば、多要素認証が設定済みです。MFA利用時は登録が漏れているユーザーがいないように推進をお願いします。
ファイル共有設定(任意)
ファイル共有機能は、接続元端末と接続先サーバーの間でファイルをやり取りするための機能です。RD ポータルにブラウザーでアクセスするか、RDエージェントにSFTPでアクセスし、ファイルをアップロード・ダウンロードできます。ファイルはRDエージェント上に保存されます。
ファイル共有機能を利用するための設定としては、前述したエージェント初期設定での事前設定の他に、RD ポータルでのディレクトリー作成およびアクセス許可設定(ファイルストアポリシー)があります。
以下に手順の概要を説明します。
ディレクトリー作成
ユーザーのアクセスできる範囲を限定するため、ディレクトリーを作成します。
RD ポータル画面の左ペインで [ファイルストア] を選択し、ファイルストアリスト画面で任意のファイルストアを選択し、ファイルストア詳細画面を開きます。 [ディレクトリー作成] ボタンをクリックし、ディレクトリー名を入力してディレクトリーを作成してください。
アクセス許可設定
前の手順で作成したディレクトリーをユーザーグループと紐づけ、そのユーザーグループに所属するユーザーに当該ディレクトリーへのアクセスを許可します。
RD ポータル画面の左ペインで [ファイルストアポリシー] を選択し、[新規作成]をクリックします。
紐づけ以外にも、RD ポータル経由の操作/RDエージェントに直接SFTPアクセスする場合のそれぞれについて、アップロード/ダウンロードの可否を設定できます。 また、ファイル操作を行う期間・時間帯を設定できます。詳細は運用ガイドのファイルストアポリシーを参照してください。
プロジェクト設定(任意)
ご契約のプロジェクト全体に適用される設定です。RD ポータル画面の左ペインの [プロジェクト設定] から実施できます。設定可能な内容は以下の通りです。 詳細は、運用ガイドのプロジェクト設定 を参照してください。
- プロジェクト共通設定
- 多要素認証の強制
- RD ポータルの無操作時の自動ログアウト時間
- アクセス申請
- アクセス申請ポリシー機能
- Wake on Lan
- ssh/text-based利用中の利用者によるログ取得
- 操作録画ファイルの保存期間
- パスワードポリシー
- ユーザーのロックアウト
- メール通知設定
- IP許可リストの設定