6.7. Ansible Automation Platform のアップグレード後の手順

コンポーネントレベルの管理者権限は保持されます: Automation Controller と Automation Hub の管理者は、アップグレード後もそれぞれのサービスに対する既存の管理者権限を保持します。たとえば、Automation Controller の管理者は、Automation Controller リソースに対する完全な管理権限を引き続き保持します。

プラットフォームゲートウェイ管理者へのエスカレーションは、アップグレード後に手動で設定する必要があります。 アップグレードプロセス中、個々のサービスの管理者権限は、プラットフォーム管理者権限に自動的に変換されません。プラットフォーム管理者は、アップグレードおよび移行の後でプラットフォームゲートウェイ管理者へのエスカレーションを許可する必要があります。各サービス管理者は、アクセスが変更されるまで、アクセスの元のスコープを保持します。

プラットフォーム管理者は、Ansible Automation Platform Administrator チェックボックスを選択すると、ユーザーの権限昇格を実行できるようになります。

以前のサービスアカウントには接頭辞が付けられます: 2.4 で複数のサービスにアカウントを持つユーザーは、2.5 の個別ユーザーとして移行され、移行元のサービスを識別するための接頭辞が付けられます。たとえば、Automation Hub アカウントには hub_<username> という接頭辞が付きます。Automation Controller ユーザー名に接頭辞は含まれません。

Automation Controller ユーザーアカウントが優先されます: 1 つのユーザーが 2.4 で複数のサービスにアカウントを持っている場合、移行時に Automation Controller アカウントが優先されるため、名前は変更されません。

コンポーネントレベルのロールは、ユーザーの移行が完了するまで保持されます。 ユーザーが既存のサービスアカウントを使用してログインし、アカウントリンクプロセスを実行しない場合は、その特定のサービスアカウントのロールのみが使用可能になります。ユーザーがアカウントリンクプロセスを実行すると、移行プロセスが完了します。その時点で、すべてのサービスのすべてのロールが新しいプラットフォームゲートウェイのユーザーアカウントに移行されます。

Ansible Automation Platform 2.5 では、ユーザー、チーム、組織が一元的な場所からプラットフォームのサービスと機能にアクセスできます。

Ansible Automation Platform 2.5 に初めてログインすると、既存のサービスが検索され、ユーザーが入力した認証情報を持つユーザーアカウントが特定されます。既存のアカウントと一致すると、そのアカウントは登録され、プラットフォームによって一元管理されるようになります。システム内のそれ以降のコンポーネントアカウントは、孤立してプラットフォームへのログインに使用できなくなります。

この問題を解決するには、アカウントリンク手順を使用して、既存のコンポーネントアカウントから認証し、プラットフォームによって引き続き認識されるようにします。アカウントをリンクすると、既存のコンポーネントアカウントが同じユーザープロファイルに関連付けられます。

以下の手順に従って、従来のアカウントを手動でリンクすることもできます。

アカウントを認証できなかったというエラーメッセージが表示された場合は、プラットフォーム管理者に問い合わせてください。

ユーザーアカウントを移行したら、Access Management メニューからアカウントを管理できます。ロールベースのアクセス制御によるアクセスの管理 を参照してください。

SSO 設定は 2.5 へのアップグレード中に自動的に移行されません。 レガシー認証設定は、アップグレードプロセス中に引き継がれます。これにより、アップグレード後にプラットフォームへのシームレスな初期アクセスが可能になります。一方、SSO 設定は、新しい Ansible Automation Platform 2.5 認証設定に手動で移行する必要があります。レガシー設定は、既存の認証機能を保持し、移行プロセスを容易にするための参照先として機能します。移行が完了した後は、レガシー認証設定を直接変更したり使用したりしないでください。

UI で SSO の移行がサポートされています。 2.5 の UI では、レガシー SSO アカウントを移行できます。この移行を実行するには、新しい認証方法を設定するときに、Auto migrate users from リストからレガシーオーセンティケーターを選択します。このレガシーオーセンティケーターから、新しいプラットフォームゲートウェイ認証設定にユーザーを自動的に移行します。

SSO の移行は、ユーザーがログインしてアカウントのリンクを開始する前に行う必要があります。 2.5 で SSO を設定した後、ユーザーがログインする 前に、Auto migrate users to 設定を有効にする必要があります。

自動移行機能を設定すると、プラットフォームゲートウェイで SSO を使用してログインできるようになり、レガシー SSO オーセンティケーターからの一致するアカウントが自動的にリンクされます。

LDAP 設定は 2.5 へのアップグレード中に自動的に移行されません。 レガシー LDAP 認証設定は、アップグレードプロセス中に引き継がれます。これにより、アップグレード後にプラットフォームへのシームレスな初期アクセスが可能になります。一方、LDAP 設定は、新しい Ansible Automation Platform 2.5 の LDAP 設定に手動で移行する必要があります。レガシー設定は、既存の認証機能を保持し、移行プロセスを容易にするための参照先として機能します。移行が完了した後は、レガシー認証設定を直接変更したり使用したりしないでください。

UID 競合のリスク: LDAP とレガシーパスワードオーセンティケーターは、どちらもユーザー名を UID として使用します。これにより、ユーザー間または別々の人が所有する同じ名前のユーザー間で UID の競合が発生する可能性があります。UID の競合が原因で安全に自動移行できないユーザーアカウントは、適切に処理されるように手動で移行する必要があります。このようなユーザーは、自動移行を設定する前に、API /api/gateway/v1/authenticator_users/ を介して手動で移行できます。

アップグレード前にプラットフォームにユーザーアカウントがない場合は、レガシー LDAP 認証を使用してログインしないでください。代わりに、アカウントを リンクせずに、LDAP に直接移行する必要があります 。

ユーザーは、“I have a <component> account” を選択し、認証情報 (ユーザー名とパスワード) を入力することで、従来のアカウントを使用してログインできます。ログインが成功した場合、アカウントを別のコンポーネント (Automation Hub や Automation Controller など) のアカウントにリンクするように求められる場合があります。Automation Hub と Automation Controller の両方のログイン認証情報が同じ場合は、そのユーザーのアカウントリンクが自動的に実行されます。

アカウントのリンクが成功すると、両方のコンポーネントのユーザーアカウントが gateway:legacy external password オーセンティケーターに統合されます。ユーザーアカウントが gateway:legacy external password オーセンティケーターに自動的に統合されない場合は、アカウントをリンクせずに LDAP に直接自動移行する必要があります。

アカウントのリンクの詳細は、アカウントのリンク を参照してください。

Automation Hub アカウントにリンクする方法がなく、ユーザーがアカウントをリンクできない場合は、すべてのレガシーパスワードオーセンティケーターで自動移行機能をすぐに設定して、新しいゲートウェイ LDAP オーセンティケーターをターゲットにする必要があります。

その後、ユーザーのログイン時に一致する UID が見つかった場合、プラットフォームゲートウェイが自動的にユーザーを LDAP オーセンティケーターに移行します。

自動移行機能を設定すると、プラットフォームゲートウェイで LDAP を使用してログインできるようになり、2.4 のレガシー LDAP オーセンティケーターからの一致するアカウントが自動的にリンクされます。