ユーザー管理とロール
Version 24.2.9039
Version 24.2.9039
ユーザー管理とロール
初めてCData Arc を起動するときは、ユーザー名とパスワードを設定して最初のアプリケーションユーザーを作成するように求められます。最初のユーザーは、以下に定義するようにデフォルトでAdmin ロールになります。
ユーザー
追加でユーザーを作成および管理するには、設定ページのユーザータブに移動します。このタブにはすべてのユーザーのテーブルがあり、ロール、管理API アクセストークン、フェデレーションId(シングルサインオン用)などの情報が含まれます。
Admin ロールのメンバーは、このタブでユーザーを作成、削除、および編集できます。Admin は、他のユーザーを管理する権限を持つ唯一のロールです。
シングルサインオン
Arc は、OpenID 規格を実装したID プロバイダーによるシングルサインオン(SSO)をサポートします。Azure AD に特有のガイダンスを含むシングルサインオンの詳細については、シングルサインオンを参照してください。
管理API アクセス
各ユーザーには、管理API へのアクセスに使用できる認証トークンが付与されます。管理API に対する認証について詳しくは、管理API 認証を参照してください。
管理API を使用してユーザーが実行できる具体的なアクションは、同じユーザーがUI を使用して実行できるアクションを反映しています。例えば、UI でコネクタを削除できないユーザーは管理API でもコネクタを削除できません。管理API を通じてアクションを実行するには、API を呼び出す際にAdmin ユーザーの認証トークンを使用します。
パスワードのリセット
管理者がArc からロックアウトされた場合、各エディションの組み込みWeb サーバーは、管理者のパスワードをリセットしてアプリケーションへのアクセスを回復する機能を提供します。例えば、クロスプラットフォーム版の場合は以下です:
java -jar arc.jar -ResetPassword -User <user> -Password <password> -AppDirectory <appDirectory>
.NET 版の場合は以下です:
CData.Arc.exe -ResetPassword -User <user> -Password <password> -AppDirectory <appDirectory>
ユーザーロール
ロールタブには、アプリケーションで定義されているすべてのロールの一覧、関連するワークスペース、および各ロールを担うことが可能なすべてのユーザーへのリンクが表示されます。ロールを使用すると、特定のワークスペースで特定のアクションのみを実行するようにユーザーを制限できます。ユーザーに割り当てられたロールは、以下を含むがこれらに限定されない、Arc に表示されるすべての内容に影響します。
Arc のすべてのインストールには、次の3つの組み込みロールが含まれています。
これらは、編集や削除ができないグローバルなロールです。これらはすべてのワークスペースに適用されます。ただし、各ユーザーの権限を制限するカスタムロールを定義することができます。カスタムロールはポリシーで構成されており、ユーザーがArc で表示または実行できる内容を最も細かく制御できます。個々のユーザーには最大10個のロールを割り当てることができ、各ロールには最大10個のポリシーを含めることができます。またカスタムロールは、ユーザーがどのワークスペースを表示したり対話したりできるかを識別します。
次のセクションでは、各組み込みロールについて、および新しいポリシーとロールを定義する方法について説明し、ポリシーの例をいくつか示します。独自のポリシーとロールを作成する際には、比較表をご利用ください。
Admin ロール
Admin ロールはアプリケーションを完全に制御できます。Admin は、新規フローの作成、既存のフローの削除、プロファイル設定の変更などのコンソールでサポートされるすべての操作を実行できます。
また、Admin のみが監査ログを閲覧できます。監査ログには、アプリケーションでユーザーが行ったすべての変更が記録されます。
Standard ロール
Standard ロールのメンバーは、コネクタおよびフローを作成、編集、削除できます。しかし、プロファイルページで公開されているような、アプリケーション全体の設定を変更することはできません。
Standard ユーザーは、新しいファイルをフローにアップロードしたり、コネクタで使用するパブリック証明書をアップロードしたりできます。プロファイルに設定されているプライベート証明書をアップロードすることはできません。
Support ロール
Support ロールは読み取り専用のロールです。このロールのメンバーは、新しいフローの作成や削除、アプリケーション設定の変更はできません。Support ユーザーは、 Send オペレーションを使用して既存のフローを通じてファイルを送信できますが、新しいファイルをアップロードすることはできません(つまり、コネクタのインプットタブにすでに存在するファイルのみを処理できます)。
カスタムロール
カスタムロールを使用すると、各ユーザーがArc で表示または実行できる内容をより詳細に制御できます。カスタムロールは、そのロールのメンバーが持つ正確な権限を指定するポリシーを作成することによって定義されます。またカスタムロールは、ユーザーがどのワークスペースを表示したり対話したりできるかを識別します。個々のユーザーには最大10個のロールを割り当てることができ、各ロールには最大10個のポリシーを含めることができます。
ロールとポリシーの作成
- カスタムロールを作成するには、設定ページに移動し、ロールタブに移動します。
- 追加をクリックします。ロールにわかりやすい名前と説明を入力し、次へをクリックします。
-
割り当てたいポリシーのワークスペースおよびコネクタ権限の横にあるチェックボックスをON にし、ワークスペースを選択リンクをクリックして、ポリシーを1つ以上のワークスペースに割り当てます。次の画像は、完成したポリシー 1セクションを示しています。
- 別のポリシーを追加するには、ポリシーを追加をクリックし、前述の手順を繰り返します。
-
終了したら、ロールを保存をクリックします。次の画像は、2つのポリシーを持つロールを示しています。
ユーザーとロールの関連付け
- ユーザーをロールに関連付けるには、関連ユーザータブをクリックします。
- ユーザーを追加をクリックし、このロールを担うユーザーを選択します。
- 終了したら、ロールを保存をクリックします。
-
ロールタブを使用して、関連するワークスペースやユーザーを含む各ロールのサマリ情報を表示します。
ロールおよびポリシーの例
会社にEDI 開発者のグループがあるシナリオを想像してください。この会社には複数の取引パートナーがあります。この例では、2つの取引パートナーと2名の開発者を想定します。
取引パートナーのフローは、PartnerA およびPartnerB の2つの別々のワークスペースに分割されます。各EDI 開発者(DevA およびDevB)は、主に対応するワークスペース(DevA = PartnerA)で作業しますが、必要に応じてPartnerB のワークスペースでもファイルを表示または送信できる必要があります。これを管理するには、次の画像に示すように、DevA ユーザーを作成し、DevA 用のカスタムロールを作成して、そのロールに2つのポリシーを割り当てます。
- ポリシー1 は、DevA にPartnerA ワークスペースへの完全なアクセス権を与えます。
- ポリシー2 は、DevA にPartnerB ワークスペースへの限定的なアクセス権を与えます。ファイルの表示と送信を許可しますが、コネクタの作成や削除、フローや設定の編集は許可しません。
ユーザーロール比較表
このテーブルでは、すべての種類のロールで利用できる機能について説明します。
アクション | Admin | Standard | Support | カスタム |
---|---|---|---|---|
フローの編集 | ✔ | ✔ | ✔ | |
設定の更新 | ✔ | ✔ | ✔ | |
コネクタの削除 | ✔ | ✔ | ✔ | |
コネクタの作成 | ✔ | ✔ | ✔ | |
ファイルのアップロード | ✔ | ✔ | ✔ | |
ファイルの送信(コネクタのインプットタブで) | ✔ | ✔ | ✔ | ✔ |
ファイルの受信(コネクタのアウトプットタブで) | ✔ | ✔ | ✔ | ✔ |
ファイルの削除(コネクタのインプットタブで) | ✔ | ✔ | ✔ | |
トランザクションの削除 | ✔ | ✔ | ✔ | |
再キュー(コネクタのインプットタブで) | ✔ | ✔ | ✔ | ✔ |
コネクタとフローの表示 | ✔ | ✔ | ✔ | ✔ 1 |
アプリケーションログとトランザクションログの表示 | ✔ | ✔ | ✔ | ✔ 1 |
プライベート証明書ファイルのプロファイルへのアップロード | ✔ | |||
プロファイル設定の変更 | ✔ | |||
監査ログの表示 | ✔ | |||
ユーザーの追加と管理 | ✔ |