メインコンテンツまでスキップ

ロール設定と認可設定

ここでは、各ユーザの権限を管理するために、テナント管理者によるロールの設定(新規ロールの作成、既存ロールの利用)およびそれに付随する認可設定を行います。ロールは「ユーザ(組織)の役割」を表し、認可は「どのロールに、どのリソース権限を付与するか」を制御します。

ロール設定の判断基準

ロールは、さまざまな権限管理に利用されます。新規ロールを作成するか、既存ロールを利用するかの判断基準について、具体例をもとに説明します。

(1) メニューの閲覧制御:既存ロールの利用

たとえば、管理者ユーザを対象に、ポータル上で管理者向けメニューを表示するケースを考えます。この場合、管理者ユーザに対し、既存の「メニュー管理者」ロールを利用します。あらかじめ設定されている認可の内容を確認し、問題がなければ対象のユーザにロールを割り当てます。

(2) ワークフローの申請・承認可否:既存ロールの使い分け

たとえば、一般ユーザは申請のみ、経理担当者ユーザは承認のみができるように制御するケースを考えます。この場合、一般ユーザには既存の「IM-Workflow ユーザ」ロールを、経理担当者ユーザには既存の「IM-Workflow 管理者」ロールを利用します。あらかじめ設定されている認可の内容を確認し、問題がなければ対象のユーザにそれぞれロールを割り当てます。

(3) APIやWebサービスの利用制限:新規ロールの作成

たとえば、業務アプリケーションの開発時に、開発者ユーザのみにAPIの利用を許可するケースを考えます。この場合、開発に必要な複数の既存ロールを個別にユーザへ割り当てることも可能ですが、管理が煩雑になりやすく、運用負荷が増大します。そのため、開発者向けのロールを新規で作成し、必要な権限(ポリシー)を集約してユーザに割り当てることで、運用を効率化しつつ、権限管理の明確化によるセキュリティ向上が期待できます。

まずは、ロール設定の判定基準をもとに、新規ロールの作成または既存ロールの利用を検討します。ロールを設定した後、それに付随する認可設定を行います。対象となるユーザにロールを割り当てた上で、最後に動作確認を実施します。ここでは、基本操作を踏まえた上で、ロールの作成例について説明します。

基本操作

ここでは、ロール設定と認可設定までの一連の流れについて説明します。新規ロールを作成する場合と既存ロールを利用する場合で、一部の操作は異なりますが、基本的な設定手順は共通です。

ロールを新規作成する(新規のみ)

新規ロールを作成する場合は、基本情報を入力し、ロールを作成します。

  1. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  2. テナント管理」メニューを表示し、[ロール]をクリックします。
    └ 「ロール一覧」画面が表示されます。
  3. 新規登録]をクリックします。
    └ 「ロール登録」画面が表示されます。
  1. ロール情報を入力します。
    └ 下記の表を参考に、必須項目を入力してください。
  2. 登録]をクリックします。
    └ 「ロール登録確認」ダイアログで[決定]をクリックします。
    └ 「ロール一覧」画面に戻ります。
設定項目設定できる内容必須
ロールIDロールを一意に識別するためのキー
ロール名ロールを一意で識別するための名称(英語表記)
カテゴリ機能分類
※ ロールの利用機能を管理する分類を、既存から選択または新規に入力
表示名画面に表示される名称
※ システムの言語(ロケール)で設定されている言語は必須、それ以外は任意
サブロールロールに追加するサブロール
※ サブロールは、ロールの包含(親子関係)を定義する仕組み(少数構成向け)
備考ロールに関する説明
コラム

サブロールは、「権限の複製」ではなく「参照(包含)」の仕組みです。サブロールとして設定した既存ロールのポリシーがコピーされるわけではなく、権限判定時に包括関係を参照して許可が与えられます。そのため、一部のアプリケーションでは、サブロールが参照されない、または限定的にしか参照されない場合があります。利用する機能によって動作が異なる可能性があるため、事前にサブロールの対応状況を確認する必要があります。

サブロールを利用することで、複数の既存ロールを組み合わせた新しいロールを作成できます。これにより、必要な権限をまとめて管理できるため、ロール設定を効率化できます。たとえば、「Accel Studio 管理者」ロールには、ローコード開発に必要な8個のロールがサブロールとして設定されています。

一方で、サブロールを多用すると、権限の継承関係が複雑になり、期待した権限判定にならない場合があります。そのため、利用時には対象アプリケーションでの動作確認に加え、再展開ジョブの実行状況も確認してください。

認可設定にロールを追加する(新規のみ)

新規ロールを作成する場合は、作成したロールを認可設定(ポリシー)画面の「対象者」に追加します。

  1. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  2. テナント管理」メニューを表示し、[認可]をクリックします。
    └ 「認可設定(リソースの種類名)」画面が表示されます。
  1. 権限設定を開始する]をクリックします。
    └ 権限設定が編集モードに切り替わります。
  2. 条件の新規作成]をクリックします。
    └ 「対象者の条件設定」ダイアログが表示されます。

  1. ロール検索]をクリックします。
    └ 「ロール検索」画面が表示されます。
  2. ]をクリックし、ロールカテゴリを選択します。
    └ 検索キーワードに直接ロール名を入力して検索することもできます。
  3. 検索]をクリックします。
    └ 下側のボックス内に検索結果が表示されます。
  4. 該当するロール名を選択します。
  1. ]をクリックします。
    └ 右側のボックス内にロール名が表示されます。
  2. 決定]をクリックします。
    └ 「ロール検索」画面が閉じます。
    └ 「対象者の条件設定」ダイアログの「対象者一覧」に選択したロールが表示されます。
  3. 必要に応じて「条件の名称」に名称を入力します。
  4. OK]をクリックします。
    └ 「対象者の条件設定」ダイアログが閉じます。

  1. 権限設定を終了する]をクリックします。
    └ 権限設定が閲覧モードに切り替わります。
    └ サブジェクトのロール一覧に条件が追加されたことが確認できます。

ロールに権限を付与する(新規・既存)

新規ロールを作成する場合は、認可設定の対象者に追加したロールに対し、必要となる権限を付与します。既存ロールを利用する場合は、対象のロールが付与されている権限を確認します。

  1. リソースの種類」にある[]をクリックします。
    └ 設定したいリソースの種類を選択します。
  2. 権限設定を開始する]をクリックします。
    └ 権限設定が編集モードに切り替わります。
  1. 設定したい「ロール」欄の権限を変更します。
    (許可):権限が付与されている状態です。
    (禁止):権限がはく奪されている状態です。
  2. 権限設定を終了する]をクリックします。
    └ 権限設定が閲覧モードに切り替わります。
認可の種類は、intra-martを運用する上で「システム利用」「処理実行」「マスタ参照」に分けられます。詳細は「認可設定の種類と仕様」もあわせて参照してください。

対象ユーザにロールを割り当てる(新規・既存)

対象となるユーザに、作成したロールを割り当てます。

参考

なお、実際の操作では、まずテストユーザを作成し、問題がないことを事前に確認した上で、対象ユーザへ割り当てることを推奨します。ユーザの作成手順については、「マスタデータの登録 > 「ユーザ」マスタを登録する」を参照してください。

  1. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  2. 共通マスタ」メニューを表示し、[ユーザ]をクリックします。
    └ 「ユーザ検索」画面が表示されます。
  3. キーワード」にロールを割り当てたいユーザ名を入力します。
  1. 検索]をクリックします。
    └ 下側のボックス内に検索結果が表示されます。
  2. ]をクリックします。
    └ 「ユーザ詳細(ユーザ名)」画面が表示されます。

  1. ロール]タブをクリックします。
    └ 「ロール」の設定画面に切り替わります。
  2. 追加]をクリックします。
    └ 「ロール検索」ダイアログが表示されます。
  3. ]をクリックし、ロールカテゴリを選択します。
    └ 検索キーワードに直接ロール名を入力して検索することもできます。
  4. 検索]をクリックします。
    └ 下側のボックス内に検索結果が表示されます。
  1. 該当するロール名を選択します。
  2. ]をクリックします。
    └ 右側のボックス内にロール名が表示されます。
  3. 決定]をクリックします。
    └ 「ロール検索」ダイアログが閉じます。

  1. ロールの有効期間を設定する場合は、該当するロール名を選択します。
  2. 期間修正]をクリックします。
    └ 「カレンダー」ダイアログが表示されます。
  3. 開始日と終了日を設定します。
  4. 決定]をクリックします。
    └ 「カレンダー」ダイアログが閉じます。
  1. 更新]をクリックします。
    └ ユーザにロールが割り当てられます。
  2. 閉じる]をクリックします。
    └ 「ユーザ詳細(ユーザ名)」画面が閉じます。

権限付与後の動作確認を行う(新規・既存)

権限付与後は、対象ユーザでログインし、権限内容が反映されていることを確認します。また、必要に応じて不要な管理権限を削除し、権限の見直しを行うことを推奨します。

  1. 該当ユーザの「ユーザコード」と「パスワード」を入力し、[ログイン]をクリックします。
  2. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  1. 権限内容が反映されていることを確認します。
    └ 以下の点を確認してください。
      ・ 想定した権限の範囲内で操作できること
      ・ アプリケーションが起動できること
<参考>確認する認可ポリシーが多い場合

確認する認可ポリシーが多い場合は、エクスポート機能を利用すると便利です。出力したXMLファイルを参照することで、まとめて確認できます。

  1. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  2. テナント管理」メニューを表示し、[認可]をクリックします。
    └ 「認可設定(リソースの種類名)」画面が表示されます。
  3. 確認したいロールを選択します。
  1. エクスポート]をクリックします。
    └ 「エクスポート」ダイアログが表示されます。
  2. エクスポートしたい情報の「出力する」にチェックを入れます。
    └ 必要に応じてファイル名を変更してください。
  3. エクスポート]をクリックします。
    └ 「エクスポート」実行ダイアログで[決定]をクリックします。
    └ パブリックストレージの直下にエクスポートされます。
コラム

エクスポート可能な情報および初期のファイルパス名は、以下のとおりです。

  • リソースグループ設定のファイルパス:リソースグループ情報の認可設定を出力します。(exported-authz-resource-group.xml
  • リソース設定のファイルパス:リソース情報の認可設定を出力します。(exported-authz-resource.xml
  • 対象者条件設定のファイルパス:対象者条件情報の認可設定を出力します。(exported-authz-subject-group.xml
  • 権限設定のファイルパス:権限設定の認可設定を出力します。(exported-authz-policy.xml

  1. ]をクリックします。
    └ 「サイトマップ」画面が表示されます。
  2. テナント管理」メニューを表示し、[ファイル操作]をクリックします。
    └ 「ファイル操作」画面が表示されます。
  3. 一番上の階層のフォルダを選択します。
    └ 選択したフォルダ配下の下層のフォルダが展開されます。
  1. ダウンロードしたいxmlファイルを選択します。
    └ 右側に詳細が表示されます。
  2. ダウンロード]をクリックします。
    └ お使いのPCの「ダウンロード」フォルダに保存されます。

ロールの設定例(用途別)

ここでは、開発者向けロールの新規作成と、業務担当者向けロールの利用について、それぞれの設定の流れとポイントを説明します。

  • 開発者向けロールの新規作成:開発者ユーザに対して、新しくロールを作成します。
  • 業務担当者向けロールの利用:一般ユーザおよび経理担当者ユーザに対して、既存のロールを使い分けます。
メモ

本ガイドにおける「業務担当者」とは、一般ユーザや経理担当者ユーザなど、業務を行うユーザの総称として使用しています。

開発者向けロールの新規作成

業務アプリケーションの開発を行う場合は、開発者ユーザが必要とするリソースと権限をまとめた「ローコード開発者」ロールを作成します。たとえば、アプリケーション開発に必要なAPIの実行権限や、各種マスタの参照権限などをまとめて付与します。

メモ

ユーザへのロール付与は、IM-LogicDesignerやAPIを利用して、プログラムから自動的に実行することも可能ですが、本ガイドではテナント管理画面からの操作方法を説明します。

開発者向け権限を整理する

まず、開発者ユーザにとって「必要な操作(許可する操作)」と「禁止する操作」を整理し、ロール作成に向けた準備を行います。不要な権限を付与しないために、「禁止する操作」を明確にしておくことが重要です。これは、セキュリティにおける最小権限の原則に基づく考え方です。

開発者ユーザに必要な操作(許可する操作)
  • 開発用メニューの閲覧
  • 各開発アプリケーションの利用
  • 開発用データベースの利用
  • ユーザ検索
開発者ユーザに禁止する操作
  • 本番環境へのデプロイ
  • テナント管理
  • ユーザ管理
  • システム管理権限を必要とする操作など

開発者ユーザに必要な操作とあわせて、利用するアプリケーションも整理します。

開発者ユーザが利用するアプリケーション
  • Accel Studio:統合的なローコードアプリケーション開発・管理
  • IM-LogicDesigner:ビジネスロジックの作成
  • IM-BloomMaker:複雑な画面の作成
  • IM-Repository:用語およびそのメタデータの管理
  • IM-Workflow:システム共通基盤型のワークフロー管理システム
  • Low-codeユーティリティ:ローコード製品共通の機能群

開発者向けロールを設定する

「ローコード開発者」ロールを新規作成し、開発に必要なツールや機能の権限設定を行います。

  1. ロールを新規作成します。
    └ ロール情報では、以下の例を参考に入力します。
  • ロールID:lowcode_developer
  • ロール名:lowcode_developer
  • カテゴリ:sample
  • 表示名:ローコード開発者
参考

ロールの作成については、上記「基本操作 > ロールを新規作成する(新規のみ)」を参照してください。

  1. 作成したロールを認可設定の「対象者」に追加します。
    └ 認可設定の「ロール」に「ローコード開発者」が表示されます。
参考

認可設定の追加については、上記「基本操作 > 認可設定にロールを追加する(新規のみ)」を参照してください。

  1. 作成したロールに権限を付与します。
    └ 開発者に必要な操作やアプリケーションを設定します。

たとえば、開発用のアプリケーションを利用できるようにする場合は、「リソースの種類」で「画面・処理」を選択し、リソース一覧から利用したいアプリケーションに関連する認可を (許可)に設定します。

その他にも、サイトマップに表示するための「メニュー設定」や、アプリケーション画面への遷移や処理呼び出しに必要な「ルーティング定義」や「REST API」などの認可設定を行います。

参考

ロールの権限付与については、上記「基本操作 > ロールに権限を付与する(新規・既存)」を参照してください。

その他の操作

リソースを絞り込む場合は、[ ]をクリックしてリソース名を入力し、[検索]をクリックします。

  1. テストユーザを作成し、作成したロールを割り当てます。
  • ユーザコード:test_user(「基本」タブ)
  • ユーザ名:テストユーザ(「プロファイル」タブ)
  • ライセンス:チェックを入れる(「アカウント」タブ)
  • ロール:「ローコード開発者」(「ロール」タブ)
参考

ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。

  1. テストユーザでログインし、動作確認を行います。
  • 各リソースの定義を作成できるか
  • 各リソースを編集できるか
  • 定義したリソースを配布できるか
参考

動作確認については、上記「基本操作 > 権限付与後の動作確認を行う(新規・既存)」を参照してください。

  1. 対象ユーザに作成したロールを割り当てます。
参考

ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。

業務担当者向けロールの利用

ワークフローを利用するロールを用意する場合は、一般ユーザを対象とした「IM-Workflow ユーザ」ロールと経理担当者ユーザを対象とした「IM-Workflow 管理者」ロールを利用します。それぞれのロールでは、「IM-Workflow ユーザ」ロールにはワークフローの申請権限が付与されているか、「IM-Workflow 管理者」ロールにはワークフローの承認権限が付与されているかを確認します。

業務担当者向け権限を整理する

一般ユーザにとって「必要な操作(許可する操作)」や、利用するアプリケーションを整理します。

一般ユーザに必要な操作(許可する操作)
  • 基本ログインおよび一般操作
  • ワークフローの申請
  • 取引先一覧や会計データの参照
  • 証憑・請求書の登録
一般ユーザが利用するアプリケーション
  • IM-Workflow:システム共通基盤型のワークフロー管理システム
  • intra-mart Accel Documents:文書管理システム

経理担当者ユーザにとって「必要な操作(許可する操作)」や、利用するアプリケーションを整理します。

経理担当者ユーザに必要な操作(許可する操作)
  • 基本ログインおよび一般操作
  • ワークフローの承認および案件参照
  • 取引先一覧や会計データの参照、既存のクエリ・ビューの利用
  • 証憑・請求書の閲覧、ダウンロード、登録
経理担当者ユーザが利用するアプリケーション
  • IM-Workflow:システム共通基盤型のワークフロー管理システム
  • ViewCreator:表やグラフの作成
  • intra-mart Accel Documents:文書管理システム

業務担当者向けロールを設定する

一般ユーザの設定

一般ユーザ向けとして、既存の「IM-Workflow ユーザ」ロールを利用します。「IM-Workflow ユーザ」ロールでは、ワークフローの申請や案件一覧の表示などの操作が許可されています。

  1. 「IM-Workflow ユーザ」ロールに権限を付与します。
    └ 一般ユーザに必要な操作やアプリケーションを確認します。

たとえば、ワークフローの申請に関する一連の操作を確認したい場合、「リソースの種類」で「画面・処理」を選択し、リソース一覧から「ワークフロー」の配下にある申請・確認などに関連する認可が (許可)に設定されていることを確認します。

経理担当者ユーザの設定

経理担当者ユーザ向けとして、既存の「IM-Workflow 管理者」ロールを利用します。「IM-Workflow 管理者」ロールでは、ワークフローの管理や運用に関する操作が許可されています。

  1. 「IM-Workflow 管理者」ロールに権限を付与します。
    └ 経理担当者に必要な操作やアプリケーションを確認します。

たとえば、ワークフローの承認に関する一連の操作を確認したい場合、「リソースの種類」で「画面・処理」を選択し、リソース一覧から「ワークフロー」の配下にある案件操作に関連する認可が (許可)に設定されていることを確認します。

参考

ロールの権限付与については、上記「基本操作 > ロールに権限を付与する(新規・既存)」を参照してください。

ロールの割り当てと動作確認

一般ユーザおよび経理担当者ユーザで、それぞれの立場から動作を確認します。

  1. テストユーザを作成し、作成したロールを割り当てます。
  • ユーザコード:test_user
  • ユーザ名:テストユーザ
  • ロール:
    • 「IM-Workflow ユーザ」
    • 「IM-Workflow 管理者」

ロールの影響を切り分けるため、「IM-Workflow ユーザ」と「IM-Workflow 管理者」は同時に設定せず、個別に動作確認を行ってください。

参考

ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。

  1. テストユーザでログインし、動作確認を行います。
  • ワークフローの申請ができるか
  • ワークフローの承認ができるか
  • データの参照・ダウンロードができるか
参考

動作確認については、上記「基本操作 > 権限付与後の動作確認を行う(新規・既存)」を参照してください。

  1. 対象ユーザに作成したロールを割り当てます。
参考

ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。