intra-mart管理者の種類と役割
intra-mart標準で想定されている管理者は、まずシステムに社員や会社、組織などの情報を登録し、利用者がスムーズに業務を開始できる環境を整備するという重要な役割を担います。
管理者の種類
intra-martにおける「管理者」とは、大きく分けて以下の3種類に分類されます。
- システム管理者:システム全体の管理を担当
- テナント管理者:テナント単位での管理を担当
- 機能別管理者:アプリケーションや機能ごとの管理を担当
各管理者の役割と業務内容
各管理者の役割、作成できる人数、および主な業務内容については、以下のとおりです。
システム管理者
システム管理者は、intra-mart全体の管理を担当します。初期導入時には、テナント環境のセットアップやライセンス登録などを行います。運用時には、アップデートやパッチの適用、モジュールの変更、各種サーバの設定変更やトラブルシューティング、システム用OAuthプロバイダなどの外部連携を管理します。
作成できる人数
システム管理者は、テナント環境のセットアップ時に1名のみ作成できます。
主な業務内容
システム管理者の権限範囲は全テナント・全機能に及び、設定変更、インストールやバージョン管理、データベース操作、システムログ確認など、テナントに関わるすべての運用作業を行うことができます。主な業務は、ライセンス管理や環境の接続設定・管理など、システム全体に関わる設定です。なお、小規模なシステムでは、システム管理者がテナント管理者を兼任するケースもあります。
システム管理者の操作について、詳細は、「システム管理者操作ガイド」を参照してください。
テナント管理者
テナント管理者は、割り当てられたテナント内の管理を担当します。主な業務は、ユーザアカウントや権限の設定、メニュー管理、テナント内のデータ管理など、テナント運用に関わる各種設定です。これらの作業は、管理メニューを利用して効率的に運用することが可能です。
テナントとは
intra-martでは、テナント単位で各種制御を行います。「テナント」とは、クラウドサービスやアプリケーション基盤などで、1つのシステム上に複数の独立した利用者(グループや組織)が共存できる仕組みおよび管理単位を指します。1つのintra-mart環境で1つのテナントを運用するだけでなく、複数のテナントを運用することも可能です。また、各テナント内ではユーザや組織などの各種設定を独立して管理できます。
参考1つのテナントで運用する方法をシングルテナント運用、複数のテナントで運用する方法をマルチテナント運用と呼びます。マルチテナント運用では、バーチャルテナント機能を利用して、複数のテナントを構築します。詳細は「intra-martの歩き方 - テナントの運用方法を考える」を参照してください。
コラム複数のテナントを構築すると、運用上さまざまなメリットがあります。主なポイントは以下のとおりです。
- 各テナントは利用者ごとに独立したデータ・設定・管理権限を持つことができ、他のテナントと分離した運用が可能です。
- たとえば、複数の会社や(または部署、サービス利用組織など)を、1台のサーバまたは1つのサービス環境で管理する場合、それぞれを「テナント」として設定することで柔軟な運用が実現できます。
- マルチテナント運用では、各テナントの管理者は割り当てられたテナント内の設定のみ操作でき、他のテナントには干渉できません。
このように、テナントを分けることで管理が明確になり、安全で柔軟な運用が実現します。
作成できる人数
テナント管理者は、テナント環境のセットアップ時に1名作成します。この時点では複数名作成することはできませんが、必要に応じて後から追加することも可能です。なお、「テナント管理者」は特別なユーザではなく、「テナント管理者」ロールを持ったユーザを指します。そのため、テナント管理者を複数名作成する場合は、まず管理者を1名作成した後、別ユーザに「テナント管理者」ロールを付与したり、新規ユーザを追加したりすることで対応できます。
「テナント管理者」ロールとは、テナント全体を操作できる最高位のロールです。このロールを持つユーザは、テナント内でintra-martの標準的なすべての権限が付与された状態になります。
主な業務内容
テナント管理者の権限範囲は、割り当てられたテナント内に限定されます。つまり、担当のテナント内ですべての操作権限が与えられているとも言えます。主な業務は、ユーザアカウントや権限の設定、メニュー管理など、テナント運用に必要な各種管理作業です。
テナント管理者の操作について、詳細は「テナント管理者操作ガイド」を参照してください。
操作時の意図しない事故を防ぐため、「テナント管理者」ロールは開発段階までの利用を推奨します。運用開始後は、「業務内容に応じて必要な認可のみを付与した管理者」をそれぞれ用意することで、不必要な機能へのアクセスや事故の防止につながります。ただし、運用後も「すべての認可が付与された管理者(=何でもできる管理者)」が必要な場合は、他のロール設定とは分けて、テナント管理者を別途設定することを検討してください。
機能別管理者
機能別管理者は、特定のアプリケーションや機能単位の管理を担当します。テナント管理者のように広範な権限を必要としない場合や、セキュリティの観点から権限を制限したい場合には、用途ごとに権限を持つ管理者ロールを利用します。
作成できる人数
機能別の管理者ロールには、作成できる人数の制限はありません。intra-martでは、各製品のモジュールごとに標準の管理者ロールが用意されており、必要に応じて複数のユーザにロールを付与することができます。また、これらのロールは単独で利用できるほか、複数のロールを組み合わせることで、実際の運用に適した権限を持つ管理者を独自に作成することも可能です。
intra-martのロールとは、「このユーザはどの機能を利用できるか」「どの操作を実行できるか」といった権限をひとまとまりの役割として定義したものです。詳細は、「intra-martにおけるセキュリティ対策 > ロールとは」を参照してください。
主な業務内容
機能別管理者は、割り当てられたツール・機能の範囲内で、各種設定や運用管理を担当します。
管理者ロールの種類
以下は、よく利用されるツールや機能における標準的な管理者ロールの一例です。
| 管理者ロール名 | ツール・機能 | 主な業務内容 |
|---|---|---|
| 認可管理者 | 共通(セキュリティ) | 各種リソース(メニュー・画面・操作・APIなど)に対する認可設定の作成・変更・削除や、ユーザやロール単位でのアクセス許可・拒否の設定を行います。システム全体のアクセス権限を制御できる強い権限のため、付与および運用には十分注意してください。 |
| ロール管理者 | ロールの新規作成・編集・削除や、ロールへの各種アクセス権限(機能権限・画面権限など)の割り当てを行います。 | |
| メニュー管理者 | 共通(UI) | メニュー管理画面へのアクセスおよび各種設定を行います。 |
| ジョブスケジューラ管理者 | 共通(運用) | ジョブスケジューラ機能(定期的なバッチ処理や自動実行処理)の設定・運用・監視を行います。 |
| アカウント管理者 | 共通(ユーザ管理) | ユーザアカウント(ID)およびユーザ情報の作成・編集・削除などの管理を行います。 |
| IM共通マスタ管理者 | IM共通マスタ | IM共通マスタのすべての管理機能にアクセスできる最上位の管理者ロールです。ユーザ・組織・会社・役職など、システム全体で利用される人事情報を一元管理します。 |
| IM共通マスタ運用管理者 | 「IM共通マスタ管理者」とは異なり、管理対象として紐づけられた会社や組織に限定して編集・管理を行うロールです。運用範囲が限定されます。 | |
| IM-Workflow管理者 | IM-Workflow | ワークフロー関連の各種マスタワークフロー定義の管理(登録・編集・削除)や、ワークフローシステムの運用状況(案件一覧・管理状況)のモニタリングなど、IM-Workflow機能全般の設定管理を行います。 |
| ViewCreator管理者 | ViewCreator | クエリやデータ参照画面の管理(作成・編集・削除・変更)、認可設定、システム設定など、ViewCreator機能全体の設定管理を行います。 |
| LogicDesigner管理者 | IM-LogicDesigner | ロジックフローの管理(作成、編集、削除、公開・非公開)、認可設定、外部連携設定など、IM-LogicDesigner機能の開発・運用・設定管理を行います。 |
上記以外の管理者ロールについて確認したい場合は、「ファーストステップガイド - 8.1. ロール一覧」を参照してください。
設定方法
機能別管理者を設定する方法には、以下の2通りがあります。
標準の管理者ロールを使用する場合
上記「管理者ロールの種類」で紹介したツール・機能別の標準の管理者ロールは、intra-martのセットアップ時に自動的に登録されます。これらの管理者ロールにはあらかじめ必要な権限が設定されているため、ユーザにロールを付与するだけで、各機能の管理操作を行うことが可能です。
新規で管理者ロールを作成する場合
新規に作成した管理者ロールには、初期状態では権限が設定されていません。そのため、ロールをユーザに付与した上で、ロールに対して必要な権限を設定することで、アクセス制御を行います。
管理者ロールの設定方法については、「初期設定 > ロールの設定」で詳しく説明しています。あわせて参照してください。
複数の管理者ロールを組み合わせることで、業務要件や運用ルールに合わせた管理者を作成できます。たとえば、標準の「IM-Workflow管理者」ロールと「LogicDesigner管理者」ロールを組み合わせることで、「業務管理者」や「総合管理者」といった、用途に応じた管理者を定義することが可能です。ただし、ロールの組み合わせによっては、会社や組織に対する権限が不足し、利用時にユーザや組織の検索結果が表示されない場合があります。その場合は、管理対象となる会社の権限もあわせて付与してください。
<権限付与の例>
下記の例では、「サンプル会社」に対して「IM共通マスタ運用管理者」ロールに参照・編集権限が付与されていません(会社の参照・編集(行)とロール(列)が交差するセルが 
(禁止)と表示)。この状態では、「IM共通マスタ運用管理者」ロールは「サンプル会社」のユーザや組織に関する操作を行うことができません。そのため、「IM共通マスタ運用管理者」ロールに参照・編集の権限を付与する必要があります。
権限設定の手順については、「初期設定 - 権限・認可設定」を参照してください。