テナントの管理

サブテナントの管理

Things Cloudのエンタープライズテナント(親テナント)を使用すると、サブテナントを作成および管理できるテナント機能を利用できます。

必要条件

アプリケーションアクセス:

ユーザーは、エンタープライズテナント(親テナント)の管理アプリケーションへのアクセス権を持つ必要があります。

ロールと権限:

ユーザーは「テナント管理」権限タイプに対して、少なくとも 1 つの権限を持つ必要があります。

  • すべてのテナントを表示する: 読み取り権限
  • テナントを作成する: 作成権限
  • テナントの編集(サブスクリプション含む)と停止/有効化ができる:更新権限
  • テナントを作成し、更新権限により許可されたアクティビティを実行する:管理者権限
重要
複数のテナントを提供することと、単一のテナント内で複数のユーザーに異なる権限を提供することには大きな違いがあります。テナントは物理的に分離されたデータスペースであり、個別のURL、独自のユーザー、個別のアプリケーション管理を持ち、デフォルトとしてデータを共有しません。また、同じテナント内にいるユーザーは、デフォルトで、同じURLと同じデータスペースを共有します。例えば、ユーザーが別々の顧客であり、競合他社である可能性があるため厳密に分離する必要がある場合、個別テナントとして設定することを強くお勧めします。ロールベースのアクセスアプローチとマルチテナントのアプローチの詳細については、RBAC VS マルチテナントを参照してください。

サブテナントの表示

テナント メニューの サブテナント をクリックすると、アカウントで利用可能なすべてのサブテナントが表示されます。

テナント ページには、各サブテナントに関する次の情報が表示されます。

  • サブテナント名(顧客の会社名など)
  • IDとドメイン
  • 連絡先名(任意)
  • テナントが作成された日付
  • テナントのステータスは、アクティブ(緑色のチェックマークアイコンで表示 )または削除受付(課金対象外)(赤い十字アイコンで表示 )のいずれかです。
備考
マネジメントテナントでは、親テナントの情報が記載された列もあります。親テナントとは、一覧に表示されているサブテナントを作成した元のテナントのことです。

サブテナントの作成

  1. トップメニューバーの右にある テナントの作成 をクリックします。

    サブテナントの作成

  2. 次のプロパティを指定します。

    フィールド 説明 必須
    ドメイン/ URL 「acme」のように、任意のサブドメインを入力します。テナントのURLは je1.thingscloud.ntt.com 上の「acme.je1.thingscloud.ntt.com」になります。使用できるサブドメインレベルは1つだけです。
    例えば、「acme.je1.thingscloud.ntt.com」のみ je1.thingscloud.ntt.com で使用できます。「mycustomer.acme.je1.thingscloud.ntt.com」は使用できません。これはTLS標準では許可されていません。テナントドメインには、小文字、数字、またはハイフン ( - ) を使用でき、文字で始まる必要があります。ハイフン ( - ) は途中でのみ使用できます。最小は2文字です。     		はい
    名前 テナントの名前(会社名など) はい
    管理者の E メールアドレス ユーザーがパスワードをリセットできるようにするには、有効なメールアドレスを指定する必要があります。 はい
    管理者のユーザー名 このテナントの管理者のユーザー名 はい
    連絡先名 連絡先名 いいえ
    連絡先電話番号 連絡先の電話番号 はい
    パスワードリセットのリンクを E メールで送信 デフォルトで選択されています。このオプションの選択を解除する場合は、パスワードを入力し、パスワードを確認する必要があります(パスワードの強度についての詳細は、パスワードの変更を参照してください)。 いいえ
    テナントポリシー ドロップダウンリストから、テナントに適用するテナントポリシーを選択できます。 いいえ

  3. 保存 をクリックして設定を適用します。

サブテナントが作成されると、自動生成されたIDが取得されます。このIDは変更できません。また、最初の管理ユーザー(管理者のユーザー名)が自動的に作成されます。この管理者は、他のユーザーを作成し、権限を設定できます。ロックアウトを防ぐため、最初のユーザーは削除することができません。

マネジメントテナント から、他のテナントがサブテナントを作成できるようにすることができます。この設定を必要に応じて構成する方法については、運用チームにお問い合わせください。

サブテナントのプロパティの表示または編集

目的のサブテナントをクリックするか、サブテナントエントリの右側にある編集アイコン をクリックします。

プロパティタブでは、IDドメイン/ URL、および管理者のユーザー名 以外の、すべてのフィールドを編集できます。フィールドの詳細については、サブテナントの作成 を参照してください。

テナントのパスワードを変更するには、パスワードの変更 をクリックし、次のフィールドに新しいパスワードを入力して、保存 をクリックします。

サポートユーザーのアクセス情報

プロパティ タブの右側には、サブテナントのサポートユーザーのリクエスト/アクセスに関する情報が表示されます。

サポートユーザーアクセス情報

ここには次の情報が表示されます。

フィールド 説明
ステータス 「有効」または「無効」のいずれかです。
「有効」は次を示します。
  ・ サポートユーザーアクセスがマネジメントテナントでグローバルに有効化されている。
  ・ 1人以上のサブテナントユーザーがサポートユーザーのアクセスを有効化している。
「無効」は次を示します。
  ・ サポートユーザーのアクセスがマネジメントテナントでグローバルに無効化されている。
  ・ 現在、サブテナントユーザーはアクティブなサポートユーザーアクセスを持っていません(各サポートユーザーリクエストは期限切れになっているか、またはアクティブに無効化されています)。
アクティブなリクエスト数 サブテナントで現在アクティブなリクエスト数。サポートユーザーのアクセスがマネジメントテナントでグローバルに有効化されていない場合のみ表示されます。小さな赤い点に数値が表示されます。
有効期限 テナントのサポート ユーザー アクセスが期限切れになる日付を指定します。日付が指定されていない場合、有効期限は「制限なし」に設定されます。

サブテナントの削除受付

テナントを削除受付すると、このテナントへのアクセスは、デバイス、ユーザー、または他のアプリケーションからのアクセスに関係なく、すべてブロックされます。さらに、すべてのマイクロサービスがデプロイ解除され、テナントが再有効化されると、すべてのマイクロサービスが再デプロイされます。

デバイス関連のデータはデータ保持ルールの対象となり、徐々に削除されていきます。それ以外のテナントのデータは Operational Store に残り、後で 削除取り消し をクリックすることで利用できるようになります。

削除受付されたテナントの課金に関する詳細については、ライフサイクル を参照してください。

重要
すべての Things Cloud パブリッククラウド インスタンスの削除受付されたテナントは、6か月後に自動的に削除されます。

  1. 該当するサブテナントエントリの右側にあるメニューアイコン をクリックし、削除受付 をクリックします。

    テナントの削除受付

  2. 表示されるダイアログボックスで、削除受付 をクリックしてパスワードを入力し、削除受付の完了を確認します。

備考
  • 削除受付されるテナント管理者の構成設定でメールアドレスが指定されている場合、削除受付の一環として、そのテナント管理者にメールが送信されます。
  • サービスプロバイダーの場合、このメールを抑制できます。

サブテナントの削除

重要

サブテナントの削除は元に戻せません。セキュリティ上の理由から、マネジメントテナント でのみ使用できます。マネジメントテナント 以外のテナントから、テナントを削除することはできません。詳細については、運用チームにお問い合わせください。

エンタープライズテナント(親テナント) の管理者は、アクティブなサブテナントを削除受付することしかできず、削除することはできません。

該当するサブテナントエントリの右側にあるメニューアイコン をクリックし、削除 をクリックして、テナントを最終的に削除し、そのテナントのすべてのデータを削除します。

登録済みアプリケーション

概要

Things Cloud には、テナントがさまざまなアプリケーションへアクセス・管理できるアプリケーションマーケットプレイスがあります。

マネジメントテナント や エンタープライズテナント(親テナント) は、サブテナントのアプリケーションアクセスを制御できます。テナントの アプリケーション タブでは、以下が可能です:

Things Cloud エコシステムの一部としてのアプリケーションに関する一般情報は、エコシステムの管理 を参照してください。

備考
テナントは独自の カスタムアプリケーション を作成・デプロイすることもでき、それらをサブテナント向けに提供できます。

登録済みアプリケーションの表示

テナントの アプリケーション タブでは、登録済みアプリケーションの一覧表示、アプリケーションのテナントへの登録、またはテナントからのアプリケーション削除が可能です。デフォルトで、標準 Things Cloud アプリケーション がテナントに登録されています。

テナントには複数の 利用可能なアプリケーション が表示されますが、アプリケーションの機能を利用するには、そのアプリケーションをテナントに登録する必要があります。登録済みアプリケーションの一覧は 登録済みアプリケーション に表示されます。

サブスクライブテナント
備考
また、Things Cloud REST API を利用して 特定テナント情報 を取得することで、そのテナントに登録されているアプリケーションの一覧を取得することもできます。登録済みアプリケーションは applications フラグメントにリストされます。

アプリケーションの詳細表示

利用可能なアプリケーション リスト内のアプリケーションエントリを展開すると、以下の詳細が表示されます:

  • Availability - MARKET、SHARED、PRIVATE のいずれか
  • Type - HOSTED、MICROSERVICE、EXTERNAL のいずれか
  • Owner - アプリケーション所有テナント

アプリケーションの登録

右側の 利用可能なアプリケーション の下にあるアプリケーションにカーソルを合わせ、目的のアプリケーションで 登録 をクリックします。

アプリケーションの登録解除

左側の 登録済みアプリケーション の下にあるアプリケーションの上にカーソルを合わせ、登録解除 をクリックします。

マイクロサービスのステータス監視

Things Cloud によってマイクロサービスとしてホストされているすべてのアプリケーションは、名前の横に表示される記号でそのステータスを確認できます。次のいずれかの状態となります:

  • マイクロサービスが起動されて実行中です
  • マイクロサービスに問題があります
  • マイクロサービスが停止しています

各エントリを展開すると、ステータスの詳細を表示できます。

アプリケーションの詳細

以下の情報が提供されます:

  • Active:アクティブなマイクロサービス インスタンスの数
  • Unhealthy:非アクティブなマイクロサービス インスタンスの数
  • Desired:必要なマイクロサービス インスタンスの数
  • Name:マイクロサービス インスタンス名
  • Restarts:マイクロサービス インスタンスの再起動回数
備考
少なくとも 1 回の再起動があった場合、マイクロサービス インスタンス名と再起動の回数に関する情報が表示されます。

詳細は該当するマイクロサービスの ステータス タブに提供されています。 マイクロサービスの監視 を参照してください。

カスタムプロパティ

カスタムプロパティ タブでは、プロパティライブラリで定義されているテナントのカスタムプロパティの値を表示および編集することができます。これらのプロパティは、使用状況の統計 ページの列としても表示されます。

制限の設定

制限(Limits) タブでは、テナントのリソース制限を表示および編集できるほか、さらに「外部参照」を割り当てたり、Gainsight製品エクスペリエンスの追跡を有効/無効にすることができます。

サブテナント リクエスト頻度の制限

プラットフォーム管理者は、次のカスタムプロパティより、各サブテナントのリクエスト頻度を制限できます。

  • HTTPキューを制限: テナントに対する HTTP リクエストキューの制限
  • HTTPリクエストを制限: テナントに対する 1 秒当たりの HTTP リクエストの制限
  • ストリームキューを制限: テナントに対する MQTT リクエストキューの制限
  • ストリームリクエストを制限: テナントに対する 1 秒当たりの MQTT リクエストの制限

リクエスト調整メカニズムは、両方の HTTP プロパティ(HTTPキューを制限HTTPリクエストを制限)が構成されている場合にのみ有効になります。いずれかの値が省略された場合、もう一方は無視され、スロットリングは無効のままになります。

重要
リクエスト頻度の制限は、総当たり攻撃のログイン試行、API の悪用、リクエスト フラッディングなどの脅威に対して効果的な対策となり、悪意のある、または不要なトラフィックの数を減らすことができます。これは、DoS(サービス拒否)攻撃から保護し、正当なリクエストのための利用可能な帯域幅の節約に役立ちます。

特定のテナントについて、CEPキューとデータブローカー キューのバッファサイズをカスタマイズすることもできます。これは、マネジメントテナント から実行できます。この設定を必要に合わせて構成する方法については、運用チームにお問い合わせください。

サブテナントのデバイス数を制限

プラットフォーム管理者は デバイスの数を制限 というカスタムプロパティから、同時に登録されるルートデバイスまたはすべてのデバイス(子デバイスを含む)の数を制限できます。

同時に登録されているデバイスの最大数、ルートデバイス、およびストレージ使用量の最大値は、使用状況の統計 ページに表示されます。

製品エクスペリエンスの追跡

親テナントで、Gainsight 製品エクスペリエンスの追跡を有効にする チェックボックスをオンにして、特定の子テナントの Gainsight PX 製品体験ソフトウェアによる製品エクスペリエンスの追跡を有効/無効にできます。

テナントレベルでは、ブランディング ページで Cookie バナーをオフにすることで、Gainsight による製品エクスペリエンスの追跡を無効にすることができます。詳細については、ブランディングを参照してください。

テナントの追跡を有効にすると、ユーザーは自動的に追跡されます。ただし、この追跡の性質はユーザーの同意によって異なります。追跡を受け入れると、追跡目的で個人識別用情報(PII)の使用が許可されます。拒否した場合、データはプライバシー保護のために匿名化されますが、追跡では個人識別用情報なしで使用状況データが引き続き取得されます。詳細については、プラットフォームへのアクセスとログインを参照してください。

テナントポリシー

テナントポリシーとは、テナントオプションとデータ保持ルールのセットです。テナントオプションとデータ保持ルールは、テナントの作成時に指定できます。

特定のオプションとルールのセットを使用してテナントポリシーを作成すると、同じ設定で複数のテナントを作成する場合に時間を節約できます。

備考
オプションとルールはテナント内へコピーされます。ポリシーを編集しても、すでに作成されたテナントに対して影響はなく、変更は反映されません。
重要
テナントポリシーで指定されたテナントオプションは 暗号化されていません。 ここでテナントオプションを指定したり、「資格情報」で上書きしたりしないでください。プラットフォームは、これらのオプションがテナントの作成後に表示されるデータで暗号化されることを想定しているためです。

テナントポリシーの表示

テナント メニューの テナントポリシー をクリックすると、利用可能なテナントポリシーがすべて表示されます。

テナントポリシーごとに、名前、テナントオプションの説明、オプションとデータ保持ルールの数が、リストまたはグリッドで表示されます。

テナントポリシーの作成

  1. トップメニューバーの ポリシーの追加 をクリックします。
  2. 表示されるダイアログボックスでテナントポリシーの「名前」と「説明」を入力します。
    Add new policy
  3. 少なくとも 1 つのデータ保存ルールを追加します。保存ルールの作成の詳細については、データ保持ルール を参照してください。
  4. 必要に応じて、テナントオプションを追加します。
  5. 保存 をクリックします。

テナントポリシーが、テナントポリシー一覧に追加されます。

重要
データ保持ルールとオプションを定義するときに、サブテナントがこれらのルールまたはオプションの定義を変更できるようにするチェックボックスを選択できます。デフォルトでは、このチェックボックスは有効になっていません。サブテナントの作成後にこのチェックボックスを選択しない場合、ルールとオプションを編集するには、マネジメントテナントから更新を実行する必要があることに注意してください。

テナントポリシーの編集

該当するポリシーをクリックするか、ポリシーの右側にあるメニューアイコンをクリックして、編集 をクリックします。

表示されるダイアログボックスで編集を行い、保存 をクリックして設定を保存します。

ポリシーからデータ保持ルールまたはテナントオプションを削除するには、その上にカーソルを合わせ、削除アイコンをクリックします。

テナントポリシーの複製

複製するテナントポリシーのメニューアイコンをクリックし、複製 をクリックします。

テナントポリシーの削除

削除するテナントポリシーのメニューアイコンをクリックし、削除をクリックします。

デフォルトのサブスクリプション

Things Cloud プラットフォームでは、テナント作成時にテナントに登録するアプリケーションとマイクロサービスを設定できます。新しいテナントを作成すると、指定したアプリケーションとマイクロサービスが自動的に登録されます。

さらに、システムのアップグレード時にテナントに登録するアプリケーションとマイクロサービスを指定できます。このリストは、テナント作成時のデフォルトのサブスクリプションとは異なる場合があります。例えば、特定のデフォルトのアプリケーションが作成後にテナントから登録解除されている場合、これらのアプリケーションを再度登録したくない、または別のアプリケーションを登録したい場合があります。

デフォルトのサブスクリプションを表示する

デフォルトのサブスクリプション ページで、2 つの個別のアプリケーション リストを構成できます。これらは、デフォルトで次にサブスクライブされます。

  • 作成時のすべての新しいテナント
  • プラットフォームのアップグレード時のすべての既存テナント
備考
これらのデフォルトリストは、テナントポリシーなどを介して追加のテナントオプションを設定することで、特定のサブテナントに対して上書きできます。詳細については、デフォルトのサブスクリプションを上書きする または Things Cloud OpenAPI仕様の Tenant API を参照してください。

左側には、登録可能なアプリケーション(Web アプリケーションとマイクロサービスの両方)の一覧が表示されます。この一覧は、次のもので構成されます。

  • すべての独自アプリケーション
  • 独自アプリケーションとは異なる名前のすべての登録されたアプリケーション
備考
どのアプリケーションが所有され、どのアプリケーションが登録されているかを区別できるように、所有者のテナント ID が表示されます。

右側には、テナント作成時に登録済みおよびプラットフォームアップグレード時に登録済みの列があります。

最初に、リストにはテナント階層から継承されたデフォルトのサブスクリプションが表示されます。

デフォルトのサブスクリプション - テナント階層からの継承

デフォルトのサブスクリプションを構成する

対応するトグルを切り替えることで、両方のリストを上書きできます。これにより、使用可能なすべてのアプリケーションが表示されます(最初は、選択されていないアプリケーションは非表示になります)が、選択内容は同じままです。

次に、デフォルトで登録する追加のアプリケーションを選択するか、登録したくないアプリケーションの選択を解除して、リストを必要に応じて調整します。

テナント作成時やプラットフォーム アップグレード時にサブスクリプションを実行しない場合、すべての選択を解除することもできます。

デフォルトのサブスクリプション - テナント階層からのオーバーライド設定

テナント階層から継承した設定に戻す場合は、対応するトグルを再度切り替えるだけです。

ページの下部にある 保存 をクリックして設定を保存します。

備考
既存のアプリケーションと一致しない古いエントリは、保存時に削除されます。リストの 1 つで選択したアプリケーションが削除された場合、テナントの作成時やプラットフォームのアップグレード時には、そのアプリケーションは警告なしに無視されます。その後、同じ名前の別のアプリケーションが作成された場合(ただし、このページの設定が再度保存されて古いエントリが削除される前)、以前のアプリケーションではなく新しいアプリケーションが登録されます。

デフォルトのサブスクリプションを上書きする

次のオプションを使用してテナントポリシーを設定することにより、サブテナントでのデフォルトのサブスクリプションを上書きできます。

  • 作成時に新しいテナントに登録されるデフォルトの Web アプリケーションを定義する:
    • カテゴリ: configuration
    • キー: default.tenant.applications
    • 値: アプリケーション名のカンマ区切りリスト(例: administration、devicemanagement、cockpit、feature-microservice-hosting、feature-cep-custom-rules)
  • 作成時に新しいテナントに登録されるデフォルトのマイクロサービスを定義する:
    • カテゴリ: configuration
    • キー: default.tenant.microservices
    • 値: マイクロサービス名のカンマ区切りリスト(例: device-simulator、report-agent、sms-gateway)
  • プラットフォームのアップグレード時に既存のテナントに登録される異なる Web アプリケーションのリストを使用する:
    • カテゴリ: configuration
    • キー: on-update.tenant.applications.enabled
    • 値: true/false(false または未設定の場合、default.tenant.applications と同じリストが使用されます)
  • プラットフォームのアップグレード時に既存のテナントに登録されるデフォルトの Web アプリケーションを定義する:
    • カテゴリ: configuration
    • キー: on-update.tenant.applications
    • 値: アプリケーション名のカンマ区切りリスト(例:administration、devicemanagement、cockpit、feature-microservice-hosting、feature-cep-custom-rules)
  • プラットフォームのアップグレード時に既存のテナントに登録される異なるマイクロサービスのリストを使用する:
    • カテゴリ: configuration
    • キー: on-update.tenant.microservices.enabled
    • 値: true/false(false または未設定の場合、default.tenant.microservices と同じリストが使用されます)
  • プラットフォームのアップグレード時に既存のテナントに登録されるデフォルトのマイクロサービスを定義する:
    • カテゴリ: configuration
    • キー: on-update.tenant.microservices
    • 値: マイクロサービス名のカンマ区切りリスト(例:device-simulator、report-agent、sms-gateway)