ID プロバイダー・オペレーターの追加

既存の Active Directory アカウントまたは LDAP アカウントまたは Microsoft Entra ID を使用して、コンソールにアクセスするオペレーター用のアカウントを作成することができます。

このオプションを選択すると、ID プロバイダー・ディレクトリーで指定されている名前と同じ名前のオペレーターが、BigFix コンソールのドメイン・パネルの「オペレーター」ノードに追加されます。その後、これらのオペレーターは、以下の表記のいずれかを使用して、通常どおりにログインできるようになります。

username
username@domain
domain\username

ID プロバイダー・ディレクトリーの当該ユーザーに割り当てられた許可は、新規に作成されたオペレーターに継承されません。必要な許可をオペレーターに割り当てるか、オペレーターを既存の役割に割り当てる必要があります。
注: BigFix を SAML V2.0 と統合すると、BigFix ID プロバイダー・オペレーターに次の認証方法を提供できます。
  • Common Access Card (CAC)、Personal Identity Verification (PIV) カード、またはその他の要素を使用した 2 要素認証 (ID プロバイダーによって要求された場合)。
  • ID プロバイダーのログイン URL からの Web ベースのシングル・サインオン認証方式。
詳しくは、「識別情報プロバイダー・オペレーター用の SAML V2.0 認証の有効化」を参照してください。

ID プロバイダー・ユーザーを追加するには、以下の手順を実行します。

  1. 必要な Active Directory または LDAP ディレクトリーまたは Microsoft Entra ディレクトリーが BigFix 環境に追加されていることを確認してください。
  2. 「ツール」>「ID プロバイダー・オペレーターの追加」メニュー項目をクリックするか、作業域で右クリックして、「ID プロバイダー・オペレーターの追加」を選択します。次のダイアログが表示されます。
    このウィンドウには、「ID プロバイダー・ユーザー」ダイアログが表示されています。
  3. 「検索」フィールドと 2 つのラジオ・ボタンを使用して、指定された ID プロバイダー・サーバーで定義されているユーザーの照会とフィルタリングを行うことができます。
    注: 環境内に 1 つ以上の Microsoft ID プロバイダーを設定していて、テナント内に多数のユーザーが存在する場合は、「次で始まる」オプションを使用することを強くお勧めします (「次を含む」オプションよりもはるかに速く処理できるためです)。

    BigFix ユーザーが REST API 応答の Microsoft Entra ページ・サイズを構成できるように、_Enterprise Server_MSEntraID_PageSize という名前の新しいクライアント・プロパティーが導入されました。このプロパティーは、BigFix サーバーが実行されているマシンで設定する必要があります。デフォルトでは 0 に設定されています。これは、ページング・オプションが適用されていないことを示し、要求のたびに、Microsoft Entra のデフォルト値である 100 項目が返されることを示します。ページ・サイズを大きくすると、多数の Microsoft Entra ユーザーに対応する際のパフォーマンスが向上します。

    名前 _Enterprise Server_MSEntraID_PageSize
    デフォルト値 0
    設定タイプ int
    値の範囲 0 ~ 999
    コンポーネントの再起動が必要 なし
  4. ID プロバイダー・オペレーターとして追加するユーザーを特定したら、そのユーザーを選択して「追加」をクリックします。「コンソール・オペレーター」パネルが開きます。
    このウィンドウには、オペレーター権限の詳細を入力する必要がある「コンソール・オペレーター」パネルが表示されています。
  5. 「詳細」タブから、オペレーター権限を割り当てます。

    オペレーターがポストアクションとして再起動およびシャットダウンをトリガーできるようにしたり、再起動およびシャットダウンを BigFix アクション・スクリプトに含めたりすることができます。特定のオペレーターに対して設定したシャットダウンおよび再起動の構成に応じて、「アクションの実行」パネルの「ポストアクション」タブのラジオ・ボタンは、そのオペレーターに対して無効になる場合があります。この構成は、アクション・スクリプトのタイプが BigFix アクション・スクリプトではないアクションに対しては無効です。

    また、BigFix コンソールおよび REST API にアクセスする権限を設定することもできます。

  6. 「管理対象コンピューター」タブには、このオペレーターによって管理されているコンピューターがリストされます。
  7. 「割り当てられた役割」タブで、このオペレーターについて、割り当てる役割、または割り当てを解除する役割を選択します。
  8. 「サイト」タブで、このオペレーターにアクセスを許可するサイトを割り当てます。または割り当てを解除します。
  9. 「コンピューターの割り当て」タブで、このオペレーターが扱えるコンピューターが合致する必要のあるプロパティーを指定します。
  10. 変更内容を保存するには、「変更の保存」をクリックします。
既存のローカル・オペレーターまたは古い LDAP オペレーターを ID プロバイダー・オペレーターに変換するには、次の手順を実行します。
  1. 任意のローカル・オペレーター・リストで、変換したいオペレーターを右クリックします。
  2. コンテキスト・メニューで、「ID プロバイダー・オペレーターに変換」を選択します。


  3. オペレーターの変換先となる ID プロバイダー・ユーザーを特定します。


  4. ユーザー名を選択し、「変換」をクリックします。


権限の継承: 変換されたオペレーターは、割り当てられたすべての権限を選択された ID プロバイダー・ユーザーに継承します。ただし、グループ・メンバーシップに基づいて古いオペレーターに付与された権限は継承されません。

上の画面キャプチャでは、ユーザーを変換する例を示しています。

「user1」という名前のユーザーは、権限「permission1」を付与する「TestRole」ロールに関連付けられたグループ「TestGroup」に属しています。

「BigFix User 1」(「user1」から変換) が「permission1」を持つようにするには、「BigFix User 1」は、「TestRole」に関連付けられた新しいグループ「newTestGroup」に属している必要があります。