ユーザーおよびシステムグループとの作業

概要

アカウントのユーザーは、2つの異なる種類のグループに含まれています。

ユーザーグループ

ユーザグループは、ルール、ポリシー、またはライセンスの割り当てに使用するオブジェクトです。 例として、インターネットファイアウォールのポリシーにルールを追加する際にユーザグループを設定すると、そのルールはユーザグループ内のすべてのユーザーに適用されます。 ユーザグループには三つの種類があります:

  • システムグループ: 自動的に作成された

  • SCIM/LDAP定義: IdPからプロビジョニングされている

  • ユーザー定義: 手動で作成された

    注意: ユーザー定義グループに追加できるユーザーの最大数は 50,000 です

アカウントのユーザグループを表示するには、アクセス > ユーザーグループ ページを参照してください。

システム定義ユーザーグループの理解

Catoは自動的に全てのユーザー システムユーザーグループを作成します。 これは、アカウントに作成されたすべてのユーザーを含みます。 このユーザグループを使用すると、すべてのユーザーにルール、ポリシー、または設定を適用できます。

少なくとも1つのWMIコントローラが設定されている場合、これらのシステムユーザーグループも作成されます:

  • 保留中のすべてのユーザー: 同期済みだがクライアントにサインインしていないユーザー

  • すべての未識別ユーザー: 識別できないユーザー

  • すべての未マップユーザー: 識別可能であり、LDAPから同期された情報(例: 組織データ)に一致できないユーザー

ライセンスの割り当てのためのシステムグループ

システムグループは、SDPライセンスをユーザーに割り当てるためのオブジェクトであり、アクセス > ライセンス割り当て ページにのみ表示されます。 例えば、すべての手動で作成されたユーザーにSDPライセンスを割り当てることができます。 システムグループは、ルールやポリシーで使用することはできません。 システムグループには三つの種類があります:

  • すべてのLDAPユーザー: LDAPでプロビジョニングされたすべてのユーザー

  • すべてのSCIMユーザー: SCIMでプロビジョニングされたすべてのユーザー

  • すべての手動ユーザー: 手動で作成されたすべてのユーザー

SDPライセンスの割り当てについての詳細は、「ユーザーへのZTNAライセンスの割り当て」をご覧ください。

ユーザーグループとメンバーの表示

ユーザーグループ.png

ユーザーグループのメンバーを表示するには:

  1. ナビゲーションメニューで、アクセス > ユーザーグループをクリックして、ユーザーグループを選択します。

  2. ナビゲーションメニューで、メンバーをクリックします。 グループメンバーが表示されます。

ユーザーグループの追加

ユーザーグループとそのメンバーを定義できます。 SCIMまたはLDAPユーザープロビジョニングの一部として作成されたユーザーグループの場合:

  • 一般ペインの定義はCato管理画面によって定義されており、変更できません

  • LDAPまたはSCIMユーザーグループのメンバーを変更するには、ADまたはIdPで設定を変更してください

  • ユーザーグループの種類SCIMによる定義またはLDAPによる定義です

グループを追加し、そのメンバーを定義するには:

  1. ナビゲーションメニューで、アクセス > ユーザーグループをクリックして、ユーザーグループを選択します。

  2. 新規をクリックします。 ユーザーグループ作成パネルが開きます。

  3. グループの名前を入力して、適用をクリックします。 ユーザーグループが画面に追加されます。

  4. ユーザーグループをクリックします。 ユーザーグループの一般画面が開きます。

  5. (オプション) 説明を入力。

  6. このグループのメンバーとなるアイテムを追加します:

    1. ナビゲーションメニューで、メンバーをクリックします。 ユーザーグループのメンバーが表示されます。

    2. メンバーを追加するドロップダウンメニューから、追加するメンバーの種類(SDPユーザまたはユーザ)を選択します。

    3. ユーザーグループに含めるすべてのユーザーを選択します。

      SDPユーザーとユーザーがメンバーリストに追加されます。

  7. 保存をクリックしてください。

ユーザグループの削除

作成方法により、ユーザグループは永久に削除されるか、無効化されることがあります。

  • 手動で作成されたユーザグループは手動で削除できます。 削除された後、ユーザグループページで表示されなくなります。 削除されたユーザグループはポリシーにおいて削除済みとして可視化されますが、ポリシーはユーザグループに適用されません。

  • プロビジョニングされたユーザグループはCMAで削除できますが、IdPから削除することをお勧めします。 IdPから削除された後、ユーザグループページで表示されなくなります。 削除されたユーザグループはポリシーにおいて削除済みとして可視化されますが、ポリシーはユーザグループに適用されません。

    • CMAで削除され、次のプロビジョニングにより提供されたユーザグループ:

      • Okta - すべてのメンバーシップが再作成されます

      • Entra - メンバーシップなしで再作成されます

注意

注意: 削除は元に戻すことができません。

ユーザグループを手動で削除するには:

  1. ナビゲーションメニューでアクセス > ユーザグループをクリックして、ユーザグループを選択します。

  2. 削除したいユーザグループの隣のDelete.png (削除)をクリックしてください。

    確認ウィンドウが開きます。

  3. 削除をクリックします

    ユーザグループが削除されました。

ドメインコントローラでのグループのパスを変更する

LDAPでプロビジョニングされたユーザグループの場合、ドメインコントローラでグループのパスを変更すると、Cato管理画面(CMA)のベースDNを更新する必要があります。

新しいパスにCMAを更新しないと、移動されたユーザグループは同期の対象外となり、削除されます。 これらのユーザグループはユーザグループページで表示されなくなります。 削除されたユーザグループはポリシーにおいて削除済みとして可視化されますが、ポリシーはユーザグループに適用されません。削除されたLDAPプロビジョニング済みユーザグループ内のユーザからSDPライセンスが削除され、ネットワークに接続できなくなります。 ユーザがネットワークに接続する必要がある場合は、SDPライセンスを再割り当てする必要があります。

この記事は役に立ちましたか?

3人中1人がこの記事が役に立ったと言っています

0件のコメント