メインコンテンツまでスキップ

権限・認可設定

管理者は利用者がシステムを利用できるよう、認可設定を行う必要があります。「誰が」「何を」「どうする」といった組み合わせでアクセス権限を設定し、機能ごとに利用範囲を制御します。
「認可」は用途ごとに設計方針が異なり、同じ「権限」でも評価される場所(ログイン前後、画面側、データ(API)側)によって挙動が変わります。

認可設定を行う上で重要なのが、前の節で設定した「ロール」ですが、ロールは作成しただけでは権限は割り当てられません。ロールをユーザに付与し、ロールに対して権限設定をすることで、アクセス制御が実現できます。
intra-martにおけるセキュリティ対策 > intra-martの権限管理を知る」で確認した内容を元に、設定していきましょう。

認可の種類

「認可」は、運用上の種類として3つに分類できます。
どのような種類があるか、実際の画面と共に確認していきましょう。

intra-martを利用するための認可

システムへのログイン、ポータル表示、基本メニューや共通機能などの、プラットフォームの利用可否を制御します。
ログイン後にどのメニューが表示されるか、どのポータル/ポートレットを見られるか、特定のグループポータルにアクセスできるか、など「UI上で項目が見える/入れるか」などを決める、画面への入口レベルの認可です。

  • 主なリソース種類/設定箇所:

    • 「メニュー設定」:メニューグループとメニューアイテム(メニュー表示そのもの)
    • 「ポータル」「ポートレット」:グループポータルの表示用アクセス権、ポートレットの表示用モード
    • 「画面・処理」:メニューのURLに対応する画面リソース(メニューと同一URLなら画面リソースでも制御可能)

「サイトマップ > テナント管理 > 認可」から、リソース種類(「メニュー設定」「ポートレット設定」「画面・処理」など)のプルダウンを選択して、設定したいサブジェクトを認可します。

たとえば、「人事メニューを人事部のみ表示する」場合は、メニューグループ/アイテムの認可を「人事ロール」にだけ許可します。
「グループポータルを編集できる人をポータル管理者だけにする」場合には、ポートレット編集モードの編集権限を限定する設定を行います。

また、メニューを非表示にしても、該当リソースに対する許可があれば直接URL入力で画面遷移できる(=メニュー表示制御とアクセス制御は別となる)ことに注意が必要です。直接アクセスを防ぐには当該リソースへの認可設定が必要です。

なお、ログイン画面自体は「認証前の画面」なので、認可で「ログイン画面への遷移自体」を制御することはできません。

リソースの選択プルダウンメニュー

intra-mart内で処理を実行する認可

具体的な画面の表示、各種処理を制御します。
データの登録・更新・削除、ジョブの実行、ワークフロー定義/実行、各種処理(Webサービス関数やREST API実行)などの、アプリケーションの各操作や処理実行の可否を制御する認可設定です。

  • 主なリソース種類/設定箇所:

    • 「画面・処理」:個々の画面や処理に対応するリソースURI)
    • 「Webサービス/Web-services」リソースグループ:Webサービスの親グループと関数ごとのリソース
    • 各モジュール固有の処理リソース:ViewCreator のルーティングやIM-FileExchange の管理操作など

各アプリケーション/コンポーネントが提供する認可リソース(im-xxx のようなリソース名)に対して権限を付与します。場合によってはアプリケーション内スクリプトやフロー定義側でもチェックが必要です。
具体例としては、案件の「承認」「差戻し」「参照」「履歴表示」などの操作や、API(HTTPサービス)の実行、IM-LogicDesigner のルーティング実行権限などです。

注意

処理を実行する認可において、以下の点に注意してください。

  • 多くの機能(例:IM-Workflowの共通機能)は、画面単位ではなく「処理単位」での認可設定が必要となる場合があります。
  • リソースが細かく存在するため、どの操作にどのリソースが紐づくかを把握した上でロールを設計してください。
  • 一部の画面(ポートレットなど)ではルーティングテーブルでの直接アクセス制御が必要になる場合があります。
  • ジョブやスクリプトでAPIを呼ぶ場合は、そのAPIに紐づく認可リソースも確認してください。

アプリケーションの認可設定画面

intra-martのマスタを参照する認可

IM-共通マスタ(ユーザ情報、会社・組織情報、パブリックグループ、設定マスタ、カスタムマスタなど)や、各アプリケーションごとのマスタ(取引先マスタ など)への参照・編集権限を制御します。
マスタごとに用意された管理画面のアクセス制御や、IM-Authzのリソース(管理画面の画面・処理)に対するポリシーで制御します。 また、API経由でマスタを参照・編集する処理に対しても認可を設定します(サービスリソース など)。

  • 主なリソース種類/設定箇所:

    • モジュールごとのマスタ設定画面に対応するリソース:IM-共通マスタの会社一覧リソース、プロファイル参照範囲設定 など
    • TableMaintenance のテーブルアクセス権設定:メンテ画面単位のアクセス制御 など

「サイトマップ > テナント管理 > 認可」から、リソース種類(「会社一覧」「プロファイル参照範囲設定」「テーブルのアクセス権設定」など)のプルダウンを選択して、設定したいサブジェクトを認可します。

たとえば、「一般ユーザは他部署の社員の個人情報を見られないようにする」場合は、「プロファイルの参照範囲設定」で制限します。
「特定のマスタは総務課に所属するユーザのみ編集可」としたい場合は、そのマスタのメンテ画面/リソースに、「総務」ロールへの編集権限を設定します。

注意

マスタを参照する認可において、以下の点に注意してください。

  • マスタの参照制御は、単なるメニュー表示制御とは別に、データ単位(行レベル)での参照範囲設定が可能な場合があります。(例:プロファイル参照範囲)
  • マスタ権限の変更は、業務に多大な影響を与えるため、慎重にテストしてください。

「会社一覧」を選択した認可設定画面

認可の親子関係

認可設定のリソースグループには、親子関係が存在します。IM-BloomMakerの「画面・処理」に関する認可設定を例に見てみましょう。
親である「IM-BloomMaker」にチェックを入れると、配下の「IM-BloomMaker 共通定数」から「IM-BloomMaker テンプレート管理」までの項目にも薄い色でチェックが入ります。

通常は親のみにチェックを入れてリソースグループごと認可するケースがほとんどですが、全体の認可を設定するのではなく、下図のように部分的に選択して付与することも可能です。 あまり幅広い権限を持たせたくない場合などに有効です。

参考

グループポータル・ポートレットの作成と権限設定
「ポータル」とは、ユーザがアクセスするホーム画面にあらかじめ用意したページ(ポートレット)を、いくつかのサブウィンドウとして表示する機能です。ポートレットを表示する画面をポータル画面と呼びます。
ポータルには「グループポータル」と「ユーザポータル」の2種類が用意されています。「グループポータル」は管理者が作成して対象ユーザに設定するもの、「ユーザポータル」はユーザ自身が作成して利用するものです。 グループポータルにアクセス権を設定する事で、例えば「部長用ポータル」「営業部用ポータル」など、特定のユーザ用の画面が作成可能です。

詳細は、「ポータル管理者操作ガイド - 5. テナント管理 」を参照してください。