Junos Spaceネットワーク管理プラットフォームでのユーザーの作成

Junos Spaceネットワーク管理プラットフォームでユーザーアカウントを作成し、Junos Spaceプラットフォームのデータベースに保存します。その後、ユーザーがネットワークで実行する必要があるネットワーク管理タスクに応じて、これらのユーザーアカウントに関連付けられているユーザーに異なるロールを割り当てることができます。

ユーザーがJunos Spaceプラットフォームにログインしようとすると、認証されている場合にのみログインが許可されます。Junos Space プラットフォームでは、認証情報ベースのユーザー認証と認定書ベースのユーザー認証がサポートされています。ユーザー認証の詳細については、「ロールベースのアクセス制御の概要」を参照してください。

資格情報ベースのユーザー認証の場合、各ユーザーアカウントには以下を含める必要があります。

ログインID
パスワード
お名前(名)
お名前(姓)
ロールは、ユーザーがアプリケーションおよびワークスペース内で実行できるタスクを決定します。
ユーザーが操作できるドメイン

証明書ベースのユーザー認証の場合、各ユーザーアカウントには以下を含める必要があります。

ログインID
お名前(名)
お名前(姓)
X.509 証明書ファイル
ロールは、ユーザーがアプリケーションおよびワークスペース内で実行できるタスクを決定します。
ユーザーが操作できるドメイン

Junos Space プラットフォームの [ロールベースのアクセス制御] ワークスペースの [ユーザーアカウント] ページで、次のようなさまざまなタスクを実行できます。

一時パスワードを使用してユーザーアカウントを生成し、有効期限を最大 10,000 時間に設定します。
同時 UI セッションの数をユーザーごとに設定します。
GUIからJunos SpaceにアクセスできるユーザーとAPIを介してアクセスできるユーザーを決定します。
複数のロールとドメインを新しいユーザーに割り当てます。
既存のユーザーに役割とドメインを割り当てます。
ユーザーを手動で有効または無効にし、ロックアウトされているユーザーのロックを解除します。

特定のロールをユーザーに割り当てて、ユーザーがアクセスおよび管理できるタスクとオブジェクト(デバイス、ユーザー、サービスなど)を指定できます。1 人のユーザーに複数のロールを割り当てることができます。[レポート] ワークスペースからユーザーアカウントをエクスポートできます。ユーザーアカウントをエクスポートするには、[レポート] ワークスペースでユーザーアカウントレポート定義を作成します。次に、レポート定義からレポートを生成し、レポートをダウンロードします。詳細については、 Junos Spaceネットワーク管理プラットフォームからのユーザーアカウントのエクスポートを参照してください。また、Junos Space プラットフォームでは、ユーザーのログインセッション数を制限できます。

ユーザーの作成

スーパー管理者またはユーザー管理者は、Junos Space プラットフォームでユーザーを作成し、そのユーザーに役割を割り当てることができます。ロールによって、ユーザーが Junos Space プラットフォームで実行できるタスクが決まります。

管理者は、新しいユーザーまたはパスワードの有効期限が切れた既存のユーザーに、一時パスワードまたは永続的なパスワードを割り当てることができます。ユーザーに一時パスワードまたは通常のパスワードを割り当てる前に、表 1 に記載されている点を考慮してください。

表 1: 一時パスワードと通常のパスワードの違い
一時パスワード	通常のパスワード
ユーザーは、最初のログイン時に一時パスワードを変更する必要があります。	ユーザーは最初のログイン時にパスワードを変更する必要はありません。
一時パスワードの有効期限が切れると、ユーザーはJunos Spaceサーバーにアクセスできなくなります。 Junos Space サーバーにアクセスするには、管理者が生成して共有した新しいパスワードを使用する必要があります。ユーザーは自分でパスワードを変更することはできません。	通常のパスワードに有効期限が切れると、ユーザーはJunos Spaceサーバーにログインした後で自分でパスワードを変更できます。
パスワードの有効期限は、ユーザーレベルで構成されます。既定では、一時パスワードは 24 時間後に期限切れになります。	パスワードの有効期限は、[管理] ワークスペースからグローバルレベルで構成します。この有効期限は、通常のパスワードを持つすべてのユーザーに適用されます。通常のパスワードに関連するパラメーターの構成の詳細については、 Junos Space ネットワーク管理プラットフォームの設定の変更を参照してください。

ユーザーを作成するには:

Junos Space プラットフォームの UI で、[ユーザーアカウント>ロールベースのアクセス制御] を選択します。

[ユーザーアカウント] ページが表示されます。
アプリケーション・データの上にあるツールバーの「ユーザーの作成」アイコンをクリックして、「ユーザーの作成」ページを表示します。

「ユーザーの作成」ページが表示されます。このページでは、ページの左側に [全般] 領域が表示され、ページの右側に [ユーザーの作成] 領域が表示されます。

メモ：
このページの青いアイコンの上にマウスを置くと、そのアイコンが表示されている横のフィールドの詳細を確認することをお勧めします。
「ログイン ID」フィールドに、新しい Junos Space ユーザーのログイン ID を入力します。

電子メールアドレスを指定できます。その場合、ログインIDが[Eメール]フィールドに入力したメールアドレスと一致することは必須ではありません。ログイン ID は 128 文字を超えることはできません。使用できる文字には、ハイフン (-)、アンダースコア (_)、文字と数字、および @ とピリオド (.) が含まれます。同じログイン ID を持つユーザーを 2 人持つことはできません。

メモ：
ログインIDとして入力 admin することはできません。ログイン ID として入力 admin すると、次のエラーメッセージが表示されます。Username admin is reserved in Space. Please do not create user with username: admin.
(オプション)ユーザーの一時パスワードを生成する場合は、一時パスワードを生成するチェックボックスを選択します。一時パスワードの生成は、ローカル認証モードでのみサポートされます。リモートローカル認証またはリモート認証モードではサポートされていません。
管理者は、新しいユーザーのために、または既存のユーザーのパスワードの有効期限が切れたときに、ランダムなパスワードを生成することができます。ユーザーは、初めてログインするときに一時パスワードを変更する必要があります。一時パスワードを持つユーザーは、一時パスワードを新しいパスワードに置き換えない限り、Junos Space プラットフォームのどの機能も使用できません。

ユーザーの一時パスワードを生成する場合、一時パスワードに関連する以下のフィールドを設定することを検討してください。
- [一時パスワードの有効期限] - 一時パスワードの有効期限が切れるまでの期間を指定します。ユーザーは、この時間内にJunos Spaceにログインし、一時パスワードを変更する必要があります。そうしないと、パスワードの有効期限が切れた後、ユーザーはログインできなくなります。一時パスワードの有効期限が切れると、Junos Space は以下のメッセージを表示します。Your password has expired. Please contact your administrator.
  
  ユーザーは、管理者に新しいパスワードを要求する必要があります。
  
  既定では、一時パスワードは生成から 24 時間後に期限切れになります。管理者は、1 時間から 10,000 時間までの値を入力できます。
- 一時パスワード - Junos Space サーバーによって生成された一時パスワードが表示されます。別のパスワードを生成するには、このフィールドの横にある [ 生成] をクリックします。新しく生成されたパスワードがこのフィールドに表示されます。
- [パスワードをユーザに電子メールで送信する(Email Password to user)]:生成された一時パスワードをユーザに電子メールで送信するには、このチェックボックスをオンにします。SMTP サーバーが構成されていない場合、このチェックボックスは無効になります。
  
  電子メールがユーザーに届かない場合、またはパスワードが失われた場合、管理者は新しい一時パスワードを生成する必要があります。古い一時パスワードを再送信するオプションはありません。
  ヒント：
  Junos Spaceサーバーが一時パスワードと有効期限を電子メールで自動的にユーザーに送信するには、必ず以下を設定してください。
  
  [ユーザーの作成] ページ (現在表示しているページ) の [電子メール ] フィールドにあるユーザーの電子メール ID
  
  Junos Space サーバーから電子メールを受信し、目的の受信者にルーティングする SMTP サーバー
  
  [管理] ページ> [SMTP サーバーのインベントリ] ランディングページで SMTP サーバーを設定する必要があります。SMTPサーバーの設定後、Junos SpaceサーバーとSMTPサーバーの接続をテストし、サーバー間の通信が確立されていることを確認します。SMTP サーバーの構成とそのテスト方法の詳細については、「SMTP サーバーの追加」および「SMTP サーバーの管理」を参照してください。
[ パスワード ] フィールドにパスワードを入力します。

このフィールドは、一時パスワードの生成を選択した場合は無効になります。

Junos Space プラットフォームのパスワードはすべて、大文字と小文字が区別されます。パスワードルールの構成については、 Junos Spaceネットワーク管理プラットフォーム設定の変更を参照してください。

パスワード強度インジケータは、入力したパスワードの効率をチェックして表示します。

メモ：
パスワードの強度インジケータがパスワードが脆弱であることを示している場合、次の手順に進むことはできません。

パスワードにコンマ "," を使用することはできません。
[ パスワードの確認] フィールドに、パスワードを再入力してパスワードを確認します。

このフィールドは、一時パスワードの生成を選択した場合は無効になります。
[ 名 ] フィールドに、ユーザーの名を入力します。

名前は 32 文字を超えることはできません。
[ 姓 ] フィールドに、ユーザーの姓を入力します。

名前は 32 文字を超えることはできません。
(オプション)[ 電子メール ] フィールドに、ユーザーの電子メールアドレスを入力します。

[ パスワードをユーザーに電子メールで送信する ] チェックボックスをオンにして、一時パスワードをユーザーに電子メールで送信することを選択した場合は、このフィールドに電子メールアドレスを入力する必要があります。

ログインIDがメールアドレスの場合、これはログインIDと同じである必要はありません。

入力する電子メール ID が有効であり、@domain の形式userを使用していることを確認してください。
(オプション)ユーザーに許可される同時 UI セッションの最大数にユーザー固有の制限を設定するには、[ グローバル設定を使用する ] チェックボックスをオフにします。

既定では、このチェックボックスはオンになっており、ユーザーには 5 つの同時セッションが許可されます。この制限は、このチェックボックスのすぐ下の [ 同時 UI セッションの最大数 ] フィールドに表示されます。同時 UI セッションの制限の構成の詳細については、 Junos Space でのユーザーセッションの制限を参照してください。

[グローバル設定を使用する] チェックボックスをオフにするとアクティブになる [同時 UI セッションの最大数] フィールドに、このユーザーに許可される同時 UI セッションの最大数を入力します。このフィールドのデフォルト値は5です。

0 から 999 までの値を入力できます。

メモ：
0 (ゼロ) を入力すると、ユーザーに許可される同時 UI セッションの数に制限はありません。ただし、多数のユーザーに無制限の同時 UI セッションを許可すると、Junos Space セットアップのパフォーマンスが影響を受ける可能性があります。
(オプション) [非アクティブ後の自動ログアウト ]設定にユーザー固有の値を設定するには、[ グローバル設定を使用 ]チェックボックスをオフにします。

メモ：
リリース 17.1R1 以降で、ユーザー固有のアイドルタイムアウトを設定できます。

デフォルトでは、このチェック・ボックスはオンになっており、「ネットワーク管理プラットフォームの変更」ページ(「システム管理 >アプリケーション」>「アプリケーション設定の変更」の「ユーザー設定」の「非アクティブ後の自動ログアウト(分)」フィールドに構成した値がユーザーに適用されます。

[グローバル設定を使用する] チェックボックスをオフにするとアクティブになる [非アクティブ後の自動ログアウト] フィールドに、アイドルタイムアウト値を分単位で入力します。アイドルタイムアウト値は、ユーザーセッションの有効期限が切れるまでの非アクティブ期間を示します。0 分から 480 分の範囲の値を入力できます。値を 0 に設定すると、ユーザーセッションは期限切れになりません。
(オプション)[ 画像ファイル ] フィールドで、ローカルファイルシステムからユーザーの写真 ID をアップロードします。
表示されるフィールドは、Junos Space の設定で選択した認証モードによって異なります。完全な証明書ベースの認証を有効にした場合は、[X509 証明書ファイル] フィールドが表示されます。パスワードベースの認証またはパラメーターベースの認証を有効にした場合は、[X.509 証明書] 領域が表示され、パラメーターの値を入力するためのテキストボックスが表示されます。
1. 完全な証明書ベースの認証を有効にした場合:
  1. [X509 証明書ファイル] フィールドの横にある [ 参照 ] をクリックして、ローカルコンピューターから X.509 証明書ファイルを選択します。
    
    拡張子が .der、 .cer、. crt の証明書ファイル形式をアップロードできます。Junos Space プラットフォームが、ユーザー用の証明書ファイルをアップロードして保存します。
  2. [ アップロード] をクリックします。
    
    証明書をアップロードすると、ユーザーは完全な X.509 証明書に基づいて認証されます。証明書ベースのユーザー認証の詳細については、「証明書管理の概要」を参照してください。
2. パスワードベースの認証またはパラメーターベースの認証を有効にした場合:
  1. [X.509 証明書] 領域で、パラメーターの値を入力します。
    
    最大 4 つの X.509 パラメーターが表示されます。たとえば、ユーザーの電子メールアドレスやクライアント証明書のシリアル番号などです。
    
    すべてのユーザーのすべてのパラメーターに一意の値を入力する必要があります。X.509 証明書パラメーターは、パラメーターベースの認証中にのみ認証されます。
(オプション)この時点で、[ 完了] をクリックして、ロールを割り当てずにユーザーを作成できます。ロールは後で割り当てることができます。
ロールを割り当てるには、[次へ] をクリックします

表示される [ロールの割り当て] ページには、[使用可能] および [選択済み] リストボックスが表示されます。すべての定義済みロールは、デフォルトで「使用可能」リストボックスに表示されます。
(オプション)既存のユーザーのロールを新しいユーザーに割り当てるには、「割り当てられたものと同じロールを使用」チェック・ボックスを選択し、既存のユーザーの名前を入力して「検索」アイコンをクリックします。
既存のユーザーに割り当てられているすべてのロールが [使用可能] リストボックスに表示されます。新しいユーザーのロールの割り当てを変更するには、[選択済み] リストボックスにロールを追加したり、[選択済み] リストボックスからロールを削除したりします。
- 新しいユーザーに権限を割り当てる既存のユーザーを選択するには、[検索(Search)] フィールドに既存のユーザーのユーザー名の 1 文字以上を入力して、ユーザー名を検索して選択します。
  
  既存のユーザーに割り当てられているロールが [選択済み] リストボックスに表示されます。新しいユーザーのロールの割り当てを変更するには、[選択済み] リストボックスにロールを追加したり、[選択済み] リストボックスからロールを削除したりします。
(オプション) ユーザーに許可するアクセスのタイプに応じて、「 GUI アクセス」または「 API アクセス」チェック・ボックスを選択します。

デフォルトでは、ユーザーは GUI または API の両方にアクセスできます。ユーザーを正常に作成するには、少なくとも 1 つのアクセスタイプを選択します。
ユーザーが Junos Space プラットフォームですべてのジョブを表示できるようにするか、選択したジョブのみを表示できるかを選択します。

デフォルトでは、「ユーザー自身のジョブのみを表示」オプション・ボタンが選択されています。ユーザーにすべてのジョブを表示させる場合は、[ すべてのジョブの表示] オプションボタンを選択します。

メモ：
スーパー管理者またはジョブ管理者の役割を持つユーザーは、すべてのユーザーが開始したジョブを表示できます。Junos Space プラットフォームではこの権限を変更することはできません。スーパー管理者またはジョブ管理者の役割を持つ新しいユーザーの場合、[ すべてのジョブの表示] オプションボタンが既定で選択され、[ジョブ管理ビュー] 領域が淡色表示されます。

メモ：
以前のリリースの Junos Space プラットフォームからアップグレードする場合、以前のリリースでスーパー管理者またはジョブ管理者ロールが割り当てられていないユーザーは、[ジョブ管理] ページで自分のジョブのみを表示できます。他のユーザーが開始したジョブを表示することはできません。
デバイス上で RPC コマンドを安全に実行するために API アクセスプロファイルをユーザに関連付けるには、デバイスコマンド [API 経由のアクセス ] ドロップダウンリストから API アクセスプロファイルを選択します。

デフォルトでは、[ すべての実行 RPC を許可しない ] オプションボタンが選択されています。

API アクセスプロファイルの作成の詳細については、「 API アクセスプロファイルの作成」を参照してください。
ユーザーに事前定義されたロールを選択して割り当てるには:
1. [ 使用可能 ] リストボックスから 1 つ以上のロールを選択し、右矢印をクリックします。
  
  選択したロールが [ 選択済み ] リストボックスに表示されます。
  
  ロールをダブルクリックして、リスト間で移動することもできます。
  
  メモ：
  Junos SpaceプラットフォームにJunos Spaceアプリケーションをインストールすると、これらのアプリケーションに事前定義されたロールも選択できるようになります。ユーザーを特定の Junos Space アプリケーションに制限する場合は、そのアプリケーションに関連するロールをユーザーに割り当ててください。
  
  メモ：
  IBM Systems Director および Junos Space Launch in Context (LiC) のユーザーを設定するために必要な最小限のロールは、デバイス・マネージャーです。
2. (オプション)左矢印を使用して、[選択済み] リストボックスから [使用可能] リストボックスに戻る役割を移動します。
3. (オプション)ロールに割り当てられている権限を表示するには、[使用可能] または [選択済み] リストボックスでロールをクリックします。
  
  これらのロールに割り当てられた権限は、[選択済み] リストボックスの横に表示されます。
(オプション)この時点で、[ 完了] をクリックすると、ユーザーにドメインを割り当てずにユーザーを作成できます。ドメインは後で割り当てることができます。
ユーザーにドメインを割り当てるには、[ 次へ] をクリックします。

[ドメインの割り当て] ページが表示されます。このページには、[使用可能なドメイン] 領域に階層ツリー構造のドメインが表示されます。
(オプション)既存のユーザーにすでに割り当てられているドメインを新しいユーザーに割り当てるには、「割り当てられたものと同じロールを使用」チェック・ボックスを選択し、既存のユーザーの名前を入力して、「検索」アイコンをクリックします。
既存のユーザーに割り当てられているすべてのドメインが [使用可能なドメイン] 領域に表示されます。
- 新しいユーザーに割り当てるドメイン権限を持つ既存のユーザーを選択するには、[検索(Search)] フィールドに既存のユーザーのユーザー名の 1 文字以上を入力して、ユーザー名を検索して選択します。
  
  [使用可能なドメイン] 領域には、既存のユーザーに割り当てられているドメインのみが表示されます。
新しいユーザーに割り当てるドメインを選択します。

同じ階層レベルで複数のドメインを選択できます。

メモ：
ユーザーにドメインを割り当てない場合、グローバルドメインはデフォルトでユーザーに割り当てられます。
[ 完了] をクリックします。

新しいユーザーが Junos Space Platform データベースに作成されます。[ユーザーアカウント] ページに戻ります。

リリース履歴テーブル

リリース

説明

17.1R1

リリース 17.1R1 以降で、ユーザー固有のアイドルタイムアウトを設定できます。

Junos Spaceネットワーク管理プラットフォームでのユーザーの作成

ユーザーの作成

関連ドキュメント