JTEC001032 : CA EndevorのNATIVEセキュリティで最終ステージの更新を防ぐことは可能ですか?

book

Article ID: 141507

calendar_today

Updated On:

Products

CA Endevor Software Change Manager (SCM)

Issue/Introduction

Question
CA EndevorのNATIVEセキュリティで最終ステージの更新を防ぐことは可能ですか?

Environment

Release:V17.0まで

Resolution

Answer
NATIVEセキュリティを使用した環境下で、本番環境のPRODステージへの更新処理を抑止することは可能です。
以下はそための設定方法です。

※ V18.0以降でNATIVEセキュリティは廃止されました。

サンプル環境:
+-----------------+  +-----------------+  +-----------------+
|    テスト環境     |  |     QA環境     |  |     本番環境     |
+--------+--------+  |--------+--------+  +--------+--------+
|  STG1  |  STG2  |  |  STG3  |  STG4  |  |  EMER  |  PROD  |
+--------+--------+  +--------+--------+  +--------+--------+

STG1、STG2、STG3、STG4、EMERに関するセキュリティは無し。
STG4からPRODへのMOVEを制御。
EMERからPRODへのMOVEを制御。
PRODのGENERATE、DELETE、UPDATE、環境の管理を制御。

1. Access Security Tableの設定
テーブル : Prefix.endbas.CSIQSRC(ACCSTABL)
JCL : Prefix.endbas.CSIQJCL(BC1JTABL)

アクセスを許すステージを定義します。
グループ単位で分けることも可能ですが、この例では全ユーザーが全ステージにアクセス出来る状況で、PRODステージへの更新系処理を制御する設定のため、グループは1つしか作成していません。

例)
//SYSIN    DD   *
        CONSDEF TYPE=START,TABLE=USER
        CONSDEF TYPE=USER,GROUP=FINANCE,                              X
              SYSDEF=((STG1,$,R),(STG2,$,R),(STG3,$,R),               X
              (STG4,$,R),(EMER,$,R),(PROD,$,R))
        CONSDEF TYPE=USER,USERID=ATEST$,GROUP=FINANCE
        CONSDEF TYPE=USER,USERID=BTEST01,GROUP=FINANCE
        CONSDEF TYPE=USER,USERID=CTEST0$,GROUP=FINANCE
        CONSDEF TYPE=END,TABLE=USER
/*
//

GROUP=FINANCEは、STG1、STG2、STG3、STG4、EMER、PRODにアクセスできます。
USERID=ATEST$、USERID=BTEST01、USERID=CTEST0$は、GROUP=FINANCEに属します。
$は、ワイルドカードです。


2. User Security Table
テーブル : Prefix.endbas.CSIQSRC(USERTABL)
JCL : Prefix.endbas.CSIQJCL(BC1JTABL)

実行可能なアクションを設定します。
アクションのコードにつきましては、Securing - Enabling Native SecurityのHow to Define the User Security Tableをご参照ください。

例) 
//SYSIN    DD   *
        CONSDEF TYPE=START,TABLE=USER
        CONSDEF TYPE=USER,GROUP=ADMIN,                                X
              SYSDEF=(($,$,ADMPRSUZN,BV))
        CONSDEF TYPE=USER,USERID=BTEST01,GROUP=ADMIN
        CONSDEF TYPE=USER,GROUP=FINANCE,                              X
              SYSDEF=(($,$,ADRPU,B))
        CONSDEF TYPE=USER,USERID=ATEST$,GROUP=FINANCE
        CONSDEF TYPE=USER,USERID=CTEST0$,GROUP=FINANCE
        CONSDEF TYPE=END,TABLE=USER
/*
//

GROUP=ADMINは、管理者用として全アクションを設定しています。
USERID=BTEST01は、GROUP=ADMINに属します。
GROUP=FINANCEは、一般ユーザー用としてA、D、R、P、Uのアクションを実行可能です。
USERID=ATEST$とUSERID=CTEST0$は、GROUP=FINANCEに属します。


3. オプションテーブル
テーブル : Prefix.endbas.CSIQSRC(ENCOPTBL)
JCL : Prefix.endbas.CSIQJCL(BC1JTABL)

本来、環境をまたがった制御は出来ませんが、以下のオプションを有効にすることで、STG4からPRODへのMOVEを制御することが出来ます。
*を削除し、保存します。そしてモジュール作成用JCLを実行します。

***********************************************************************
* IF IN-HOUSE SECURITY IS DESIGNED TO EXPECT THE MOVE ACTION TO ISSUE *
* A SECURITY CALL AT THE TARGET LOCATION, THEN DO SECURITY CHECK AT   *
* THE TARGET LOCATION DURING THE MOVE PROCESSING.                     *
* O0000517                                                            *
*---------------------------------------------------------------------*
       ENHOPT SEC_MOVE_TARGET=ON 
*                                                                     *
***********************************************************************


4. C1DEFLTSテーブル
テーブル : Prefix.endbas.CSIQSRC(C1DEFLTS)
JCL : Prefix.endbas.CSIQJCL(BC1JTABL)

1、2で作成したテーブルをCA Endevorに設定します。
ACCSTBL=とUSERTBL=にテーブル名(モジュール名)を設定します。
ACCSTBL=は1箇所しか設定する部分がありませんが、USERTBL=は各環境毎に設定出来ます。

この例では、本番環境のPRODステージのみの制御となりますので、最終環境のUSERTBL=のみにテーブル名(モジュール名)を設定します。
JCLを実行後、再LOGONしてください。

//SYSIN    DD  *
        C1DEFLTS TYPE=MAIN,                                           X
              ACCSTBL=ACCSTABL,        ACCESS SECURITY TABLE NAME     X
    :
    :
    :
        C1DEFLTS TYPE=ENVRNMNT,                                       X
              ENDBACT=N,               ENDVR DB BRIDGE OPTION (Y/N)   X
              ENDBAVL=N,               ENDVR DB BRIDGE OPTION (Y/N)   X
    :
    :
              USERTBL=USERTABL


5. テスト結果  
テストしたユーザーIDは、ATETSxxで一般ユーザーとして設定しテストしました。管理者の設定では、全てを実行することが出来ました。

STG1、STG2、STG3、STG4、EMERは、セキュリティが無いため、今までどおりの処理が可能。
STG4からPRODへMOVEした場合、以下のエラーでMOVEが出来ません。
C1G0203I     MOVE     ELEMENT TEST01
C1G0204I        FROM ENVIRONMENT: UTST     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: D
C1G0232I        OPTIONS:  SIGNIN
C1G0232I                  CCID: A
C1G0232I                  COMMENT: A
C1G0000I     ELEMENT TEST01
C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC


EMERからPRODへMOVEした場合、以下のエラーでMOVEが出来ません。
C1G0203I     MOVE     ELEMENT TEST20
C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: E
C1G0232I        OPTIONS:  SIGNIN
C1G0232I                  CCID: A
C1G0232I                  COMMENT: A
C1G0000I     ELEMENT TEST20
C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC


PRODのエレメントをUPDATEした場合、以下のエラーでUPDATEが出来ません。
C1G0203I     UPDATE   ELEMENT TESU01
C1G0205I        FROM DSNAME:  TSUKE01.PANVLT.SAMPJCL    MEMBER:  TEST01
C1G0204I        TO   ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: E
C1G0232I        OPTIONS:  NEW ELEMENT NAME
C1G0232I                  CCID: A
C1G0232I                  COMMENT: A
C1G0013E  THE ELEMENT IS NOT FOUND AT STAGE EMER
C1G0277I  UPDATE PROCESSING TERMINATED BECAUSE OF THE PREVIOUS ERROR


PRODのエレメントをGENERATEした場合、以下のエラーでGENERATEが出来ません。
C1G0203I     GENERATE ELEMENT TEST20
C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: P
C1G0204I        TO   ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: P
C1G0232I        OPTIONS:  CCID: A
C1G0232I                  COMMENT: A
C1G0000I     ELEMENT TEST20
C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC


PRODのエレメントをDELETEEした場合、以下のエラーでDELETEが出来ません。
C1G0203I     DELETE   ELEMENT TEST20
C1G0204I        FROM ENVIRONMENT: PROD     SYSTEM: FINANCE  SUBSYSTEM:
                         ACCTREC  TYPE: PARM     STAGE ID: P
C1G0232I        OPTIONS:  CCID: A
C1G0232I                  COMMENT: A
C1G0000I     ELEMENT TEST20
C1E0103E  USER ATETSxx NOT AUTHORIZED FOR MOVE OF PROD/FINANCE/ACCTREC

 

Additional Information

Old Japanese Knowledge Document ID : JTEC001032