ロールを管理する
- 印刷する
ロールを管理する
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
ロールとは、iDoperation PAM Cloudのポータル上で行使可能な権限のセットを登録したものです。
ユーザに権限を付与する場合、権限のセットをロールとして登録し、所有グループと権限対象をペアにして割り当てます。
例えば、ターゲット登録・変更・削除の権限をセットしたロールを登録し、ユーザグループA(所有グループ)とターゲットグループB(権限対象)をペアにして割り当てます。
この場合、ユーザグループAに所属するユーザは、ターゲットグループB配下にターゲットを登録したり、ターゲットグループB配下のターゲットを変更・削除したりする事が可能となります。
ロール画面の概要
メニューの「ロール」をクリックすると、「ロール」画面が表示されます。画面の構成は以下です。
- 左ペイン:ロールの一覧が表示されます。
- 右ペイン:ロール一覧で選択したロールの詳細が表示されます。
ロール画面でできること
ロール管理
『ロールの管理』では、ロールの追加、変更、削除、詳細の確認ができます。
ロール割り当て
『ロールの割り当て管理』では、ロールをグループに割り当てる設定の確認、追加、削除ができます。
ロールによる権限の割り当てについて
ロールは、所有グループと権限対象をペアにして割り当てます。
ロールによる権限の割り当て例は以下です。
ロールの割り当て例
| 所有者グループ (誰が) | 権限対象 (何に対して) | ロール (どのような権限を持つか) |
| ユーザグループ1 | システム | ワークフローの操作権限をセットしたロール |
| ターゲットグループA | ターゲットの更新権限をセットしたロール | |
| ターゲットグループB | ターゲットの参照権限をセットしたロール | |
| ユーザグループ2 | ユーザの参照権限をセットしたロール | |
| ユーザグループ2 | ターゲットグループC | ターゲットの参照権限をセットしたロール |
ロールの和
ユーザが複数のユーザグループに所属する場合、ユーザの所有する権限は所属ユーザグループに割り当てられた権限の和となります。
ロールの継承・オーバーライド
ロールは、グループ階層の親(上位階層)から子(下位階層)に向かって継承されます。
子に割り当てられたロールは、親から継承されたものをオーバーライドします。
以下の設定例を使用して、ロールの継承・オーバーライドについて説明します。
- ロールA:ターゲットの参照ができる。
- ロールB:ターゲットの更新ができる。
- ユーザグループ1の下位階層にユーザグループ2が属している。
- ターゲットグループ1の下位階層にターゲットグループ2が属している。
例:所有者グループ側の継承
- ユーザグループ1は、ターゲットグループ1でロールAを付与されている。
- ユーザグループ2は、ターゲットグループ1でロールを付与されていない。
この場合、ユーザグループ2は、ユーザグループ1のロールを継承します。
これより、ユーザグループ1とユーザグループ2に所属するユーザは、ターゲットグループ1のターゲットを参照する事が可能です。
例:所有者グループ側のオーバーライド
- ユーザグループ1は、ターゲットグループ1でロールAを付与されている。
- ユーザグループ2は、ターゲットグループ1でロールBを付与されている。
この場合、子に割り当てられたロールBが、親に割り当てられているロールAをオーバーライドします。
これより、ユーザグループ1に所属するユーザは、ターゲットグループ1のターゲットを参照する事が可能、ユーザグループ2に所属するユーザは、ターゲットグループ1のターゲットを更新する事が可能です。
例:権限対象側の継承
- ユーザグループ1は、ターゲットグループ1でロールAを付与されている。
- ユーザグループ1は、ターゲットグループ2でロールを付与されていない。
この場合、ターゲットグループ2は、ターゲットグループ1のロールを継承します。
これより、ユーザグループ1に所属するユーザは、ターゲットグループ1とターゲットグループ2のターゲットを参照する事が可能です。
例:権限対象側のオーバーライド
- ユーザグループ1は、ターゲットグループ1でロールAを付与されている。
- ユーザグループ1は、ターゲットグループ2でロールBを付与されている。
この場合、子に割り当てられたロールBが、親に割り当てられているロールAをオーバーライドします。
これより、ユーザグループ1に所属するユーザは、ターゲットグループ1のターゲットを参照する事が可能、ターゲットグループ2のターゲットを更新する事が可能です。
非推奨例:所有グループ側の継承と権限対象側の継承がクロスする
- ユーザグループ1は、ターゲットグループ1でロールAを付与されている。
- ユーザグループ1は、ターゲットグループ2でロールBを付与されている。
- ユーザグループ2は、ターゲットグループ1でロールAを付与されている。
この場合は権限対象側の継承が優先されるため、ユーザグループ2は親のユーザグループ1のロールを継承し、ターゲットグループ2に対してロールB(ターゲットの更新)を持ちます。ロールは必要な階層にのみ付与し、使用するロールの数を最小限にする事で、管理が容易になります。このようなロールの付与は権限構造がわかりづらく管理が複雑になるため、避けてください。
ロールの種類
ロールには以下の3つの種類があります。
各ロールの詳細については『ロールの種類ごとの権限一覧』を参照してください。
| ロールの種類 | 主な権限 | 説明 |
| システム | ワークフロー、オートログイン、レポート、システム設定などの管理操作権限 | ユーザにシステムの操作権限を付与したい場合に、ユーザグループにこのロールを割り当てます。 権限対象がシステムのため、権限対象を選択する必要はありません。 任意のユーザグループに対して、複数のシステムロールを割り当てる事が可能です。複数割り当てられている場合、所有する権限は、割り当てられている権限の和となります。 |
| ターゲット | ターゲットの参照、登録、変更、削除権限 | ユーザにターゲットの操作権限を付与したい場合に、所属するユーザグループにこのロールを割り当てます。 権限対象とするターゲットグループごとに異なるロールを割り当てる事が可能です。 |
| ユーザ | ユーザの参照、登録、変更、削除権限 | ユーザに他のユーザグループに所属するユーザの操作権限を付与したい場合に、所属するユーザグループにこのロールを割り当てます。 権限対象とするユーザグループごとに異なるロールを割り当てる事が可能です。 |
初期登録されているロール
標準的な権限をプリセットしたロールが、初期設定として登録されています。
| ロールの種類 | ロール名 | 説明 |
| システム | Workflow Management | 申請書の管理と、ワークフロー管理、ワークフロー設定の参照に関する権限を持ちます。 |
| システム | Usage Inspection Settings | 利用点検設定に関するすべての権限を持ちます。 |
| システム | Usage Inspection | 利用点検とレポート参照、即時出力に関する権限を持ちます。 |
| システム | System Management | システム管理のすべての権限を持ちます。 |
| ターゲット | Server Management | ターゲット管理に関するすべての権限を持ちます。 |
| ユーザ | User Management | ユーザ管理に関するすべての権限を持ちます。 |
ロールの種類ごとの権限一覧
ロールの種類ごとに操作可能な権限は以下の通りです。
システムの権限一覧
「すべての権限」配下のツリーの階層 | 権限で出来る事 | 既定のロール | |||||||
Workflow Management | Usage Inspection Settings | Usage Inspection | System Management | ||||||
申請・承認 | すべての申請書の参照 | 申請書一覧の参照、およびダウンロード | ○ | ○ | ○ | - | |||
強制完了 | 申請書の強制完了 | ○ | - | - | - | ||||
削除 | 申請書の削除 | ○ | - | - | - | ||||
利用点検・レポート | レポート | 出力レポート一覧 | 参照 | レポート一覧、およびレポート内容の参照(参照可能範囲は、出力設定の閲覧グループが利用者の所属グループであるもの) | - | ○ | ○ | - | |
削除 | レポートの削除 | - | ○ | - | - | ||||
出力設定 | 参照 | 出力設定一覧、および詳細情報の参照(参照可能範囲は、閲覧可能グループが利用者の所属グループであるもの) | - | ○ | ○ | - | |||
登録 | 出力設定の登録 | - | ○ | - | - | ||||
変更 | 出力設定の変更 | - | ○ | - | - | ||||
出力スケジュ | 出力スケジュール・レポートの設定変更 | - | ○ | - | - | ||||
削除 | 出力設定の削除(削除対象の出力設定で出力したレポートは削除されない) | - | ○ | - | - | ||||
即時実行 | レポート出力の即時実行(即時実行可能範囲は、閲覧可能グループが利用者の所属グループであるもの) | - | ○ | ○ | - | ||||
出力対象設定 | 参照 | 出力対象設定一覧、および詳細情報の参照 | - | ○ | ○ | - | |||
登録 | 出力対象設定の登録 | - | ○ | - | - | ||||
変更 | 出力対象設定の変更 | - | ○ | - | - | ||||
削除 | 出力対象設定の削除(削除対象の出力対象設定で出力したレポートは削除されない) | - | ○ | - | - | ||||
点検設定 | 参照 | 点検設定の参照 | - | ○ | ○ | - | |||
変更 | 点検設定の変更 | - | ○ | - | - | ||||
ログ収集状況 | ログ収集・点検状況の参照、ダウンロード | - | ○ | ○ | - | ||||
システム管理 | ポリシー | 参照 | ポリシー一覧、および詳細情報の参照 | - | - | - | ○ | ||
登録 | カスタムポリシーの登録 | - | - | - | ○ | ||||
変更 | カスタムポリシーの変更 | - | - | - | ○ | ||||
削除 | カスタムポリシーの削除 | - | - | - | ○ | ||||
アクセス権限設定 | 登録 | アクセス権限設定の登録 | - | - | - | ○ | |||
削除 | アクセス権限設定の削除 | - | - | - | ○ | ||||
ワークフロー | 参照 | ワークフロー一覧、および詳細情報の参照 | ○ | - | - | - | |||
登録 | ワークフローの登録 | ○ | - | - | - | ||||
変更 | ワークフローの変更 | ○ | - | - | - | ||||
複製 | ワークフローの複製 | ○ | - | - | - | ||||
削除 | ワークフローの削除 | ○ | - | - | - | ||||
使用可否変更 | ワークフローの使用可否の変更 | ○ | - | - | - | ||||
ワークフロー設定 | 参照 | ワークフロー設定の参照 | ○ | - | - | ○ | |||
変更 | ワークフロー設定の変更 | - | - | - | ○ | ||||
アプリ | 参照 | アプリ一覧、および詳細情報の参照 | - | - | - | ○ | |||
登録 | アプリの登録 | - | - | - | ○ | ||||
変更 | アプリの変更 | - | - | - | ○ | ||||
削除 | アプリの削除 | - | - | - | ○ | ||||
運用ツール | スケジュール | スケジュールテンプレート | 参照 | スケジュールテンプレートの参照 | - | - | - | ○ | |
登録 | スケジュールテンプレートの登録 | - | - | - | ○ | ||||
変更 | スケジュールテンプレートの変更 | - | - | - | ○ | ||||
削除 | スケジュールテンプレートの削除 | - | - | - | ○ | ||||
一括操作 | 実行 | 一括操作の実行(CSVレコードごとに実施権限チェックも必要) | - | - | - | ○ | |||
スケジュール | 参照 | 一括操作スケジュールの参照 | - | - | - | ○ | |||
登録 | 一括操作スケジュールの登録 | - | - | - | ○ | ||||
変更 | 一括操作スケジュールの変更 | - | - | - | ○ | ||||
削除 | 一括操作スケジュールの削除 | - | - | - | ○ | ||||
開始 | 一括操作スケジュールの開始 | - | - | - | ○ | ||||
停止 | 一括操作スケジュールの終了 | - | - | - | ○ | ||||
即時実行 | 一括操作スケジュールの即時実行(CSVレコードごとに実施権限チェックも必要) | - | - | - | ○ | ||||
システム設定 | 共通設定 | 参照 | iDoperation Cloudの共通設定の参照 | - | - | - | ○ | ||
変更 | iDoperation Cloudの共通設定の変更 | - | - | - | ○ | ||||
iDoperationサーバ | iDoperation サーバの詳細情報の参照 | - | - | - | ○ | ||||
ライセンス | ライセンスの参照 | - | - | - | ○ | ||||
パスワードポリシー | 参照 | パスワードポリシーの参照 | - | - | - | ○ | |||
変更 | パスワードポリシーの変更 | - | - | - | ○ | ||||
追加項目 | ユーザ追加項目 | 参照 | ユーザ追加項目の参照 | - | - | - | ○ | ||
変更 | ユーザ追加項目の変更 | - | - | - | ○ | ||||
アカウント追加項目 | 参照 | アカウント追加項目の参照 | - | - | - | ○ | |||
変更 | アカウント追加項目の変更 | - | - | - | ○ | ||||
ワークフロー追加項目 | 参照 | ワークフロー追加項目の参照 | ○ | - | - | ○ | |||
| 変更 | ワークフロー追加項目の変更 | - | - | - | ○ | ||||
| API設定 | 参照 | API設定の参照 | - | - | - | ○ | |||
| 登録 | API設定の登録 | - | - | - | ○ | ||||
| 変更 | API設定の変更 | - | - | - | ○ | ||||
| 削除 | API設定の削除 | - | - | - | ○ | ||||
ターゲットの権限一覧
「すべての権限」配下のツリーの階層 | 権限で出来る事 | 既定のロール | ||
Server Management | ||||
ターゲットグループ | 参照 | ターゲットグループ配下のターゲットグループ/ターゲット一覧の参照 | ○ | |
登録 | ターゲットグループ配下へサブターゲットグループの登録 | ○ | ||
変更 | ターゲットグループの詳細情報の変更 | ○ | ||
削除 | ターゲットグループの削除 | ○ | ||
ターゲット | 参照 | ターゲット一覧のダウンロード | ○ | |
登録 | ターゲットの登録 | ○ | ||
変更 | ターゲットの詳細情報の変更 所属グループの移動。この場合、変更先ターゲットグループのターゲット変更権限も必要 ターゲットの詳細情報の参照 | ○ | ||
削除 | ターゲットの削除 | ○ | ||
アカウント | 参照 | アカウントの詳細情報の参照 | ○ | |
登録 | アカウントの登録 | ○ | ||
変更 | アカウントの詳細情報の変更(パスワード変更を同時に実行する場合、パスワード変更権限も必要) | ○ | ||
削除 | アカウントの削除 | ○ | ||
パスワード参照 | アカウントのパスワード参照 | ○ | ||
パスワード変更 | アカウントのパスワード変更 | ○ | ||
スケジュール | パスワード一括変更 | 参照 | パスワード一括変更スケジュールの参照 | ○ |
登録 | パスワード一括変更スケジュールの登録 | ○ | ||
変更 | パスワード一括変更スケジュールの変更 | ○ | ||
削除 | パスワード一括変更スケジュールの削除 | ○ | ||
開始 | パスワード一括変更スケジュールの開始 | ○ | ||
停止 | パスワード一括変更スケジュールの停止 | ○ | ||
即時実行 | パスワード一括変更スケジュールの即時実行 | ○ | ||
アカウント点検 | 参照 | アカウント点検スケジュールの参照 | ○ | |
登録 | アカウント点検スケジュールの登録 | ○ | ||
変更 | アカウント点検スケジュールの登録 | ○ | ||
削除 | アカウント点検スケジュールの削除 | ○ | ||
開始 | アカウント点検スケジュールの開始 | ○ | ||
停止 | アカウント点検スケジュールの終了 | ○ | ||
| 即時実行 | アカウント点検スケジュールの即時実行 | ○ | ||
| セッション | 参照 | RAGセッション一覧の参照 | ○ | |
| 切断 | RAGセッションの切断 | ○ | ||
| 閲覧 (共有) | RAGセッションの閲覧(共有) | ○ | ||
| 閲覧 (録画) | RAGセッションの閲覧(録画) | ○ | ||
利用点検・レポート | ログ収集状況 | ログ収集状況の参照 | - | |
ユーザの権限一覧
「すべての権限」配下のツリーの階層 | 権限で出来る事 | 既定のロール | |
User Management | |||
ユーザグループ | 参照 | ユーザグループ配下のユーザグループ/ユーザ一覧の参照 | ○ |
登録 | ユーザグループ配下へサブユーザグループの登録 | ○ | |
変更 | ユーザグループの詳細情報の変更 | ○ | |
削除 | ユーザグループの削除 | ○ | |
ユーザ | 参照 | ユーザ一覧のダウンロード | ○ |
登録 | ユーザの登録 | ○ | |
変更 | ユーザの詳細情報の変更(パスワード変更を同時に実行する場合、パスワード変更権限も必要) | ○ | |
削除 | ユーザの削除 | ○ | |
パスワード変更 | ユーザのパスワード変更 | ○ | |