AgilePoint Service Account

AgilePoint Service Accountは、AgilePoint ServerマシンやデータベースSharePointファームとサイトコレクションのような(適用可能であれば)、関連するシステムを含めた、AgilePoint NXシステムのためのマスター管理者アカウントです。

AgilePoint Serverがインストールされる際、AgilePoint Service Accountには、AgilePointシステム管理者アカウントと同じ資格情報が与えられます。 (AgilePointシステム管理者がAgilePoint System Accountと呼ばれることもあります) これはシステム管理を容易にするためであり、AgilePointは、お客様の組織がこれらのアカウント(資格情報)を分離する強い理由がない限りは、そのアカウントをリンクしたままに(資格情報を同じに)保つことをお勧めします。

以下のテーブルでは、システム管理者アカウント特権を含めたAgilePoint Service Accountに対する、デフォルトのアクセス許可が表示されています。 システム管理者アカウント特権は、これらのアカウントを分離したい場合のために指定されます。

システム アクセス許可 注釈

AgilePoint Server Machines

  • ローカル管理者
  • サービスログオン
  • 以下のグループのメンバー:
    • 管理者
    • パフォーマンス監視ユーザー
    • IIS_IUSRS
    • アドホック管理者
  • サービス原則名(SPN)
  • このユーザーアカウントは、AgilePoint NXに最初にサインインする際にも用いられます。
  • Domein Controller上におけるAgilePoint Serverのインストールの際には、これがローカル管理者アカウントであってはいけません。
  • アドホック管理者グループは、レポートセンターのために必要となります。 このグループは、自身の環境で作成しなければならない場合があります。

    大抵の場合、レポートセンターはAgilePoint Serverマシン上においてインストールされます。

  • SetSPNはKerberosにのみ必要となります。 詳細については、サービス原則名を設定する(SetSPN)を参照してください

AgilePoint Serverサービスインスタンス

  • インスタンスを作成する
  • インスタンスを削除する
  • AgilePoint Serverを構成する
  • インスタンスを開始/停止する
  • これらの特権はAgilePointシステム管理者アカウントのためのものです。
  • システム管理者役割とシステム管理者アカウントを混同してはいけません。 システム管理者役割は、AgilePoint NX Portal内での管理者アクセス権しか持ちません。システム管理者アカウントは、通常AgilePoint Serviceアカウントに接続されているサーバー側の管理者となります。

AgilePoint NX Portalテナント

  • これらの特権はAgilePointシステム管理者アカウントのためのものです。
  • システム管理者役割とシステム管理者アカウントを混同してはいけません。 システム管理者役割は、AgilePoint NX Portal内での管理者アクセス権しか持ちません。システム管理者アカウントは、通常AgilePoint Serviceアカウントに接続されているサーバー側の管理者となります。

Database

  • db_owner特権

インストールの間、AgilePointは、データベース上で要求される表を作成するために、SQL Serverにおけるdb_owner特権を要求します。 セキュリティ上の目的から、AgilePoint Server構成終了後は、 テーブル作成特権を禁止するために、db_owner役割からAgilePoint Serverサービスアカウントを削除することができます。 代わりにこのユーザーをdb_datareaderやdb_datawriter役割のメンバーシップに追加することができます。 将来データベーススキーマをアップデートする(例えばアップグレードのために)際には、このアカウントを再びdb_owner役割に追加しなおす必要があることに注意してください。

SharePoint

  • 以下のグループのメンバー:
    • SharePoint Farm管理者 (sharePoint Farmにのみ適応)
    • サイトコレクション管理者

AgilePointでは、このユーザーをSharePointサイトコレクション管理者グループに追加することは、最低の権限しか与えられていないアカウントベストプラクティスに従っていないと認識されます。 このベストプラクティスに従っていると確かめたい場合は、必ずこのアカウントが少なくとも、リストやドキュメントライブラリ、フォームライブラリがそこでAgilePointプロセスと関連付けられているような、SharePointサイトのそれぞれに対する投稿を持つようにしてください。

大抵の場合、このアカウントを[Site Collection Name] Members SharePoint Groupに加えるだけで十分です。 しかし以下のことをする必要があります:

  • グループがSharePointに対する投稿権を持つことを確かめる。
  • サブサイトにアクセスするインパーソネータアカウントを妨げる恐れがあるので、サブサイト上で継承が切断されないことを確かめる? それは、その上位サイトで継承を切断する、サブサイトのそれぞれのメンバー役割に追加しなければならないでしょう。

Data Services Machine

  • ローカル管理者
  • サービスログオン
  • このマシンはAgilePointサーバーマシンと同じである場合があります。