目次 x
      グループ設計
        • 印刷する
        目次

        グループ設計

          • 印刷する
          記事の要約

          iDoperationに登録するユーザやターゲットは、グループに所属させて管理します。
          ワークフローの設定やロールの設定はグループに対して設定します。
          そのため、ユーザやターゲットの役割や、システム単位で分けてグループを作成する必要があります。

          iDoperationで作成するグループは以下の3つがあり、どちらのグループも入れ子構造で作成する事が出来ます。

          ユーザグループ
          ユーザを所属させるグループです。「ユーザ」画面から登録・管理します。
          ユーザグループはワークフローの利用グループ、ロールの付与対象、レポートの点検用グループとして使用します。

          ターゲットグループ
          ターゲットを所属させるグループです。「ターゲット」画面から登録・管理します。
          ターゲットグループはワークフローに利用対象のターゲットグループとして使用します。

          申請専用グループ
          申請専用グループは、ワークフローの申請対象とするターゲットを定義するための項目になります。「ターゲット」画面から登録・管理します。

          • 申請専用グループを定義する場合は、所属グループと申請専用グループのどちらか一方のグループが、ワークフロー管理の「申請対象>ターゲットグループ」に含まれると申請対象となります。
          • 申請専用グループを定義しない場合は、所属グループが、ワークフロー管理の「申請対象>ターゲットグループ」に含まれると申請対象となります。

          また、申請専用グループのターゲットは、ターゲットのツリー内には表示されません。そのターゲットを参照する場合は、ツリー内でグループを選択し、一覧で参照してください。申請専用グループのターゲットはアイコンの色がグレーで表示されます。

          グループの用途は大きく分けてワークフローに関連する場合とそれ以外に分かれます。

          それぞれについて説明します。

          ワークフロー関連のグループ設計

          『システム設計』-『ワークフロー設計』で設計したワークフローで実際に設定するグループ構成を検討します。『ワークフロー設計』の際にグループ構成についても検討済みの場合は改めて実施する必要はありません。未実施の場合はグループ構成について検討・決定します。

          導入時にグループ構成を設計する場合は、iDoperationが以下の仕様である事に気を付ける必要があります。

          • 各グループ名は一意である必要がある事
          • ワークフローに設定したグループの対象範囲はそのグループに直接所属しているリソースのみである事。
            ※設定したグループのサブグループ内のリソースは対象とならない点に注意ください。これは「申請専用グループ」で指定するターゲットも同様となります。
          • ターゲットは1つのターゲットグループにしか所属出来ない事
            ※申請対象となるターゲットを複数のグループに設定したい場合は、「申請専用グループ」で設定ください。

          各グループ名は一意である必要がある事

          複数のワークフローをシステムごとに使い分ける場合を想定します。
          システムごとに申請者や承認者が異なる場合、その役割に応じた数のグループを用意する必要がありますが、その場合に片方のシステム用として「ベンダA」や「ベンダB」というグループ名を付けてしまうと、他のシステム用として「ベンダA」や「ベンダB」というグループを作成出来ません。
          このような事態を回避するには、各グループ名の先頭にシステム単位の連番を入れる事や、対応するシステム名を付ける事を推奨します。

          悪い例(設定する事は出来ません)

          グループ設計①

          良い例

          グループ設計②

          ワークフローに設定したグループの対象範囲はそのグループに直接所属しているリソースのみである事

          iDoperationのグループは入れ子に作成する事が出来ますが、ワークフローに設定する場合はその対象範囲に注意が必要です。

          例として以下のようなユーザグループ構成をとった場合で説明します。

          グループ設計③

          ワークフローの「利用申請グループ」に「会計システム」を設定した場合、「ベンダA(会計システム)」グループにはその設定は継承されず、所属するユーザはワークフローの利用申請を行う事は出来ません。
          このような事態を回避するには、ワークフローに設定するグループは必ずリソースが直接所属しているグループを設定します。ワークフローに設定するグループは複数指定が可能であるため、各ワークフローで設定が必要な最小単位でグループ分けをする事を推奨します。
          ※ここでは例としてユーザグループを挙げましたが、ターゲットグループ、申請専用グループも同様に注意が必要です。

          悪い例:「利用申請グループ」に「会計システム」を設定した場合

          グループ設計④

          良い例:「利用申請グループ」に「会計システム」と「ベンダA(会計システム)」を設定した場合

          グループ設計⑤

          ターゲットは1つのターゲットグループにしか所属出来ない事

          ターゲットはユーザとは異なり、所属出来るターゲットグループが1つしか設定出来ません。このため、複数のシステムから使用されるようなターゲット(ファイルサーバ、メールサーバなど)は所属するグループに注意する必要があります。
          以下のように各システムでサーバをグループ分けし、それにあわせたワークフローを設定し使い分ける場合を考えます。

          グループ設計⑥

          ここに新しくファイルサーバを追加する場合、前述した通り「会計システム」と「勤怠システム」のどちらにもファイルサーバを所属させる事は出来ません。
          このような事態を回避するには、複数のシステムから使用されるようなターゲットは申請専用グループ(複数選択可能)に所属させます。その上で、ワークフローの利用グループとして追加選択します。

          悪い例(設定する事は出来ません)

          グループ設計⑦

          良い例

          グループ設計⑧

          ドメインアカウントでログインするターゲットに必要な事

          Active Directory等のディレクトリサーバのドメインアカウントを使用して、ターゲットにログインする場合は、そのターゲットの登録項目の「認証先ドメイン」に対象のディレクトリサーバを設定します。ディレクトリサーバは、このターゲットの登録の前にターゲットとして登録しておく必要があります。
          これにより、ワークフローの申請対象グループにディレクトリサーバのターゲット自体が所属していない場合でもそのドメインアカウントを申請して利用することができるようになります。

          グループ設計⑨

          補足:Active Directoryについての注意点

          ドメインアカウントを貸出す場合、ワークフローの申請対象グループに、そのドメインのActive Directoryサーバを所属させることもできます。
          この場合、Active Directoryサーバ自身にログインするアカウントの貸出も可能にできます。もし、Active Directoryサーバ自身へのログインをさせたくない場合は、そのワークフローで「Active Directoryローカル ログインの許可」にチェックを入れないでください。

          ワークフロー関連以外のグループ設計

          ワークフロー関連以外のグループが必要な場合は設定するグループ構成を検討し、決定します。
          ワークフロー関連以外のグループが必要となる場合は以下が考えられます。

          • 特定のグループのみを管理するユーザを用意したい場合
          • レポートの点検を行う専用ユーザを用意したい場合
          • ロールを作成/付与し、ロールで設定した操作のみを実施するユーザを用意したい場合
          What's Next
          © 2024 NTT TechnoCross Corporation