ロール設定と認可設定
ここでは、各ユーザの権限を管理するために、テナント管理者によるロールの設定(新規ロールの作成、既存ロールの利用)およびそれに付随する認可設定を行います。ロールは「ユーザ(組織)の役割」を表し、認可は「どのロールに、どのリソース権限を付与するか」を制御します。
ロール設定の判断基準
ロールは、さまざまな権限管理に利用されます。新規ロールを作成するか、既存ロールを利用するかの判断基準について、具体例をもとに説明します。
(1) メニューの閲覧制御:既存ロールの利用
たとえば、管理者ユーザを対象に、ポータル上で管理者向けメニューを表示するケースを考えます。この場合、管理者ユーザに対し、既存の「メニュー管理者」ロールを利用します。あらかじめ設定されている認可の内容を確認し、問題がなければ対象のユーザにロールを割り当てます。
(2) ワークフローの申請・承認可否:既存ロールの使い分け
たとえば、一般ユーザは申請のみ、経理担当者ユーザは承認のみができるように制御するケースを考えます。この場合、一般ユーザには既存の「IM-Workflow ユーザ」ロールを、経理担当者ユーザには既存の「IM-Workflow 管理者」ロールを利用します。あらかじめ設定されている認可の内容を確認し、問題がなければ対象のユーザにそれぞれロールを割り当てます。
(3) APIやWebサービスの利用制限:新規ロールの作成
たとえば、業務アプリケーションの開発時に、開発者ユーザのみにAPIの利用を許可するケースを考えます。この場合、開発に必要な複数の既存ロールを個別にユーザへ割り当てることも可能ですが、管理が煩雑になりやすく、運用負荷が増大します。そのため、開発者向けのロールを新規で作成し、必要な権限(ポリシー)を集約してユーザに割り当てることで、運用を効率化しつつ、権限管理の明確化によるセキュリティ向上が期待できます。
まずは、ロール設定の判定基準をもとに、新規ロールの作成または既存ロールの利用を検討します。ロールを設定した後、それに付随する認可設定を行います。対象となるユーザにロールを割り当てた上で、最後に動作確認を実施します。ここでは、基本操作を踏まえた上で、ロールの作成例について説明します。
基本操作
ここでは、ロール設定と認可設定までの一連の流れについて説明します。新規ロールを作成する場合と既存ロールを利用する場合で、一部の操作は異なりますが、基本的な設定手順は共通です。
ロールを新規作成する(新規のみ)
新規ロールを作成する場合は、基本情報を入力し、ロールを作成します。

- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。 - 「テナント管理」メニューを表示し、[ロール]をクリックします。
└ 「ロール一覧」画面が表示されます。 - [新規登録]をクリックします。
└ 「ロール登録」画面が表示されます。
- ロール情報を入力します。
└ 下記の表を参考に、必須項目を入力してください。 - [登録]をクリックします。
└ 「ロール登録確認」ダイアログで[決定]をクリックします。
└ 「ロール一覧」画面に戻ります。
| 設定項目 | 設定できる内容 | 必須 |
|---|---|---|
| ロールID | ロールを一意に識別するためのキー | ✅ |
| ロール名 | ロールを一意で識別するための名称(英語表記) | ✅ |
| カテゴリ | 機能分類 ※ ロールの利用機能を管理する分類を、既存から選択または新規に入力 | - |
| 表示名 | 画面に表示される名称 ※ システムの言語(ロケール)で設定されている言語は必須、それ以外は任意 | ✅ |
| サブロール | ロールに追加するサブロール ※ サブロールは、ロールの包含(親子関係)を定義する仕組み(少数構成向け) | - |
| 備考 | ロールに関する説明 | - |
サブロールは、「権限の複製」ではなく「参照(包含)」の仕組みです。サブロールとして設定した既存ロールのポリシーがコピーされるわけではなく、権限判定時に包括関係を参照して許可が与えられます。そのため、一部のアプリケーションでは、サブロールが参照されない、または限定的にしか参照されない場合があります。利用する機能によって動作が異なる可能性があるため、事前にサブロールの対応状況を確認する必要があります。
サブロールを利用することで、複数の既存ロールを組み合わせた新しいロールを作成できます。これにより、必要な権限をまとめて管理できるため、ロール設定を効率化できます。たとえば、「Accel Studio 管理者」ロールには、ローコード開発に必要な8個のロールがサブロールとして設定されています。
一方で、サブロールを多用すると、権限の継承関係が複雑になり、期待した権限判定にならない場合があります。そのため、利用時には対象アプリケーションでの動作確認に加え、再展開ジョブの実行状況も確認してください。

認可設定にロールを追加する(新規のみ)
新規ロールを作成する場合は、作成したロールを認可設定(ポリシー)画面の「対象者」に追加します。

- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。 - 「テナント管理」メニューを表示し、[認可]をクリックします。
└ 「認可設定(リソースの種類名)」画面が表示されます。
- [権限設定を開始する]をクリックします。
└ 権限設定が編集モードに切り替わります。 - [条件の新規作成]をクリックします。
└ 「対象者の条件設定」ダイアログが表示されます。

- [ロール検索]をクリックします。
└ 「ロール検索」画面が表示されます。 - [
]をクリックし、ロールカテゴリを選択します。
└ 検索キーワードに直接ロール名を入力して検索することもできます。 - [検索]をクリックします。
└ 下側のボックス内に検索結果が表示されます。 - 該当するロール名を選択します。
- [
]をクリックします。
└ 右側のボックス内にロール名が表示されます。 - [決定]をクリックします。
└ 「ロール検索」画面が閉じます。
└ 「対象者の条件設定」ダイアログの「対象者一覧」に選択したロールが表示されます。 - 必要に応じて「条件の名称」に名称を入力します。
- [OK]をクリックします。
└ 「対象者の条件設定」ダイアログが閉じます。

- [権限設定を終了する]をクリックします。
└ 権限設定が閲覧モードに切り替わります。
└ サブジェクトのロール一覧に条件が追加されたことが確認できます。
ロールに権限を付与する(新規・既存)
新規ロールを作成する場合は、認可設定の対象者に追加したロールに対し、必要となる権限を付与します。既存ロールを利用する場合は、対象のロールが付与されている権限を確認します。

- 「リソースの種類」にある[
]をクリックします。
└ 設定したいリソースの種類を選択します。 - [権限設定を開始する]をクリックします。
└ 権限設定が編集モードに切り替わります。
- 設定したい「ロール」欄の権限を変更します。
└(許可):権限が付与されている状態です。
└(禁止):権限がはく奪されている状態です。
- [権限設定を終了する]をクリックします。
└ 権限設定が閲覧モードに切り替わります。
対象ユーザにロールを割り当てる(新規・既存)
対象となるユーザに、作成したロールを割り当てます。
なお、実際の操作では、まずテストユーザを作成し、問題がないことを事前に確認した上で、対象ユーザへ割り当てることを推奨します。ユーザの作成手順については、「マスタデータの登録 > 「ユーザ」マスタを登録する」を参照してください。

- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。 - 「共通マスタ」メニューを表示し、[ユーザ]をクリックします。
└ 「ユーザ検索」画面が表示されます。 - 「キーワード」にロールを割り当てたいユーザ名を入力します。
- [検索]をクリックします。
└ 下側のボックス内に検索結果が表示されます。 - [
]をクリックします。
└ 「ユーザ詳細(ユーザ名)」画面が表示されます。

- [ロール]タブをクリックします。
└ 「ロール」の設定画面に切り替わります。 - [追加]をクリックします。
└ 「ロール検索」ダイアログが表示されます。 - [
]をクリックし、ロールカテゴリを選択します。
└ 検索キーワードに直接ロール名を入力して検索することもできます。 - [検索]をクリックします。
└ 下側のボックス内に検索結果が表示されます。
- 該当するロール名を選択します。
- [
]をクリックします。
└ 右側のボックス内にロール名が表示されます。 - [決定]をクリックします。
└ 「ロール検索」ダイアログが閉じます。

- ロールの有効期間を設定する場合は、該当するロール名を選択します。
- [期間修正]をクリックします。
└ 「カレンダー」ダイアログが表示されます。 - 開始日と終了日を設定します。
- [決定]をクリックします。
└ 「カレンダー」ダイアログが閉じます。
- [更新]をクリックします。
└ ユーザにロールが割り当てられます。 - [閉じる]をクリックします。
└ 「ユーザ詳細(ユーザ名)」画面が閉じます。
権限付与後の動作確認を行う(新規・既存)
権限付与後は、対象ユーザでログインし、権限内容が反映されていることを確認します。また、必要に応じて不要な管理権限を削除し、権限の見直しを行うことを推奨します。

- 該当ユーザの「ユーザコード」と「パスワード」を入力し、[ログイン]をクリックします。
- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。
- 権限内容が反映されていることを確認します。
└ 以下の点を確認してください。
・ 想定した権限の範囲内で操作できること
・ アプリケーションが起動できること
<参考>確認する認可ポリシーが多い場合
確認する認可ポリシーが多い場合は、エクスポート機能を利用すると便利です。出力したXMLファイルを参照することで、まとめて確認できます。

- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。 - 「テナント管理」メニューを表示し、[認可]をクリックします。
└ 「認可設定(リソースの種類名)」画面が表示されます。 - 確認したいロールを選択します。
- [エクスポート]をクリックします。
└ 「エクスポート」ダイアログが表示されます。 - エクスポートしたい情報の「出力する」にチェックを入れます。
└ 必要に応じてファイル名を変更してください。 - [エクスポート]をクリックします。
└ 「エクスポート」実行ダイアログで[決定]をクリックします。
└ パブリックストレージの直下にエクスポートされます。
エクスポート可能な情報および初期のファイルパス名は、以下のとおりです。
- リソースグループ設定のファイルパス:リソースグループ情報の認可設定を出力します。(
exported-authz-resource-group.xml) - リソース設定のファイルパス:リソース情報の認可設定を出力します。(
exported-authz-resource.xml) - 対象者条件設定のファイルパス:対象者条件情報の認可設定を出力します。(
exported-authz-subject-group.xml) - 権限設定のファイルパス:権限設定の認可設定を出力します。(
exported-authz-policy.xml)

- [
]をクリックします。
└ 「サイトマップ」画面が表示されます。 - 「テナント管理」メニューを表示し、[ファイル操作]をクリックします。
└ 「ファイル操作」画面が表示されます。 - 一番上の階層のフォルダを選択します。
└ 選択したフォルダ配下の下層のフォルダが展開されます。
- ダウンロードしたいxmlファイルを選択します。
└ 右側に詳細が表示されます。 - [ダウンロード]をクリックします。
└ お使いのPCの「ダウンロード」フォルダに保存されます。
ロールの設定例(用途別)
ここでは、開発者向けロールの新規作成と、業務担当者向けロールの利用について、それぞれの設定の流れとポイントを説明します。
- 開発者向けロールの新規作成:開発者ユーザに対して、新しくロールを作成します。
- 業務担当者向けロールの利用:一般ユーザおよび経理担当者ユーザに対して、既存のロールを使い分けます。
本ガイドにおける「業務担当者」とは、一般ユーザや経理担当者ユーザなど、業務を行うユーザの総称として使用しています。
開発者向けロールの新規作成
業務アプリケーションの開発を行う場合は、開発者ユーザが必要とするリソースと権限をまとめた「ローコード開発者」ロールを作成します。たとえば、アプリケーション開発に必要なAPIの実行権限や、各種マスタの参照権限などをまとめて付与します。
ユーザへのロール付与は、IM-LogicDesignerやAPIを利用して、プログラムから自動的に実行することも可能ですが、本ガイドではテナント管理画面からの操作方法を説明します。
開発者向け権限を整理する
まず、開発者ユーザにとって「必要な操作(許可する操作)」と「禁止する操作」を整理し、ロール作成に向けた準備を行います。不要な権限を付与しないために、「禁止する操作」を明確にしておくことが重要です。これは、セキュリティにおける最小権限の原則に基づく考え方です。
開発者ユーザに必要な操作(許可する操作)
- 開発用メニューの閲覧
- 各開発アプリケーションの利用
- 開発用データベースの利用
- ユーザ検索
開発者ユーザに禁止する操作
- 本番環境へのデプロイ
- テナント管理
- ユーザ管理
- システム管理権限を必要とする操作など
開発者ユーザに必要な操作とあわせて、利用するアプリケーションも整理します。
開発者ユーザが利用するアプリケーション
- Accel Studio:統合的なローコードアプリケーション開発・管理
- IM-LogicDesigner:ビジネスロジックの作成
- IM-BloomMaker:複雑な画面の作成
- IM-Repository:用語およびそのメタデータの管理
- IM-Workflow:システム共通基盤型のワークフロー管理システム
- Low-codeユーティリティ:ローコード製品共通の機能群
開発者向けロールを設定する
「ローコード開発者」ロールを新規作成し、開発に必要なツールや機能の権限設定を行います。
- ロールを新規作成します。
└ ロール情報では、以下の例を参考に入力します。
- ロールID:lowcode_developer
- ロール名:lowcode_developer
- カテゴリ:sample
- 表示名:ローコード開発者
ロールの作成については、上記「基本操作 > ロールを新規作成する(新規のみ)」を参照してください。

- 作成したロールを認可設定の「対象者」に追加します。
└ 認可設定の「ロール」に「ローコード開発者」が表示されます。
認可設定の追加については、上記「基本操作 > 認可設定にロールを追加する(新規のみ)」を参照してください。

- 作成したロールに権限を付与します。
└ 開発者に必要な操作やアプリケーションを設定します。
たとえば、開発用のアプリケーションを利用できるようにする場合は、「リソースの種類」で「画面・処理」を選択し、リソース一覧から利用したいアプリケーションに関連する認可を (許可)に設定します。
その他にも、サイトマップに表示するための「メニュー設定」や、アプリケーション画面への遷移や処理呼び出しに必要な「ルーティング定義」や「REST API」などの認可設定を行います。

ロールの権限付与については、上記「基本操作 > ロールに権限を付与する(新規・既存)」を参照してください。
リソースを絞り込む場合は、[ ]をクリックしてリソース名を入力し、[検索]をクリックします。
- テストユーザを作成し、作成したロールを割り当てます。
- ユーザコード:test_user(「基本」タブ)
- ユーザ名:テストユーザ(「プロファイル」タブ)
- ライセンス:チェックを入れる(「アカウント」タブ)
- ロール:「ローコード開発者」(「ロール」タブ)
ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。

- テストユーザでログインし、動作確認を行います。
- ✓各リソースの定義を作成できるか
- ✓各リソースを編集できるか
- ✓定義したリソースを配布できるか
動作確認については、上記「基本操作 > 権限付与後の動作確認を行う(新規・既存)」を参照してください。

- 対象ユーザに作成したロールを割り当てます。
ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。
業務担当者向けロールの利用
ワークフローを利用するロールを用意する場合は、一般ユーザを対象とした「IM-Workflow ユーザ」ロールと経理担当者ユーザを対象とした「IM-Workflow 管理者」ロールを利用します。それぞれのロールでは、「IM-Workflow ユーザ」ロールにはワークフローの申請権限が付与されているか、「IM-Workflow 管理者」ロールにはワークフローの承認権限が付与されているかを確認します。
業務担当者向け権限を整理する
一般ユーザにとって「必要な操作(許可する操作)」や、利用するアプリケーションを整理します。
一般ユーザに必要な操作(許可する操作)
- 基本ログインおよび一般操作
- ワークフローの申請
- 取引先一覧や会計データの参照
- 証憑・請求書の登録
一般ユーザが利用するアプリケーション
- IM-Workflow:システム共通基盤型のワークフロー管理システム
- intra-mart Accel Documents:文書管理システム
経理担当者ユーザにとって「必要な操作(許可する操作)」や、利用するアプリケーションを整理します。
経理担当者ユーザに必要な操作(許可する操作)
- 基本ログインおよび一般操作
- ワークフローの承認および案件参照
- 取引先一覧や会計データの参照、既存のクエリ・ビューの利用
- 証憑・請求書の閲覧、ダウンロード、登録
経理担当者ユーザが利用するアプリケーション
- IM-Workflow:システム共通基盤型のワークフロー管理システム
- ViewCreator:表やグラフの作成
- intra-mart Accel Documents:文書管理システム
業務担当者向けロールを設定する
一般ユーザの設定
一般ユーザ向けとして、既存の「IM-Workflow ユーザ」ロールを利用します。「IM-Workflow ユーザ」ロールでは、ワークフローの申請や案件一覧の表示などの操作が許可されています。
- 「IM-Workflow ユーザ」ロールに権限を付与します。
└ 一般ユーザに必要な操作やアプリケーションを確認します。
たとえば、ワークフローの申請に関する一連の操作を確認したい場合、「リソースの種類」で「画面・処理」を選択し、リソース一覧から「ワークフロー」の配下にある申請・確認などに関連する認可が (許可)に設定されていることを確認します。

経理担当者ユーザの設定
経理担当者ユーザ向けとして、既存の「IM-Workflow 管理者」ロールを利用します。「IM-Workflow 管理者」ロールでは、ワークフローの管理や運用に関する操作が許可されています。
- 「IM-Workflow 管理者」ロールに権限を付与します。
└ 経理担当者に必要な操作やアプリケーションを確認します。
たとえば、ワークフローの承認に関する一連の操作を確認したい場合、「リソースの種類」で「画面・処理」を選択し、リソース一覧から「ワークフロー」の配下にある案件操作に関連する認可が (許可)に設定されていることを確認します。

ロールの権限付与については、上記「基本操作 > ロールに権限を付与する(新規・既存)」を参照してください。
ロールの割り当てと動作確認
一般ユーザおよび経理担当者ユーザで、それぞれの立場から動作を確認します。
- テストユーザを作成し、作成したロールを割り当てます。
- ユーザコード:test_user
- ユーザ名:テストユーザ
- ロール:
- 「IM-Workflow ユーザ」
- 「IM-Workflow 管理者」
ロールの影響を切り分けるため、「IM-Workflow ユーザ」と「IM-Workflow 管理者」は同時に設定せず、個別に動作確認を行ってください。

ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。
- テストユーザでログインし、動作確認を行います。
- ✓ワークフローの申請ができるか
- ✓ワークフローの承認ができるか
- ✓データの参照・ダウンロードができるか
動作確認については、上記「基本操作 > 権限付与後の動作確認を行う(新規・既存)」を参照してください。

- 対象ユーザに作成したロールを割り当てます。
ロールの割り当てについては、上記「基本操作 > 対象ユーザにロールを割り当てる(新規・既存)」を参照してください。