【Hinemos】オペレータ、開発者ユーザを作成する
投稿日: / 更新日:
■はじめに
Hinemosを運用する中で、特定の役割ごとにHinemosで利用できる機能の権限を制御したいと考えたことはないでしょうか。
組織内でHinemosを利用するユーザが増えてきた際に発生する課題になってくるかと思います。
Hinemosでは、アカウント機能を利用して、ロールごとに機能の利用可否、設定の可視・不可視を制御できる機能がございます。
アカウント機能の詳細については、以下の記事をご覧ください。
今回、この記事では、アカウント機能のシステム権限を利用して、
ユーザの所属するロールごとに機能単位でアクセス制御をしてみようと思います。
ALL_USERSロールの権限回りが少し注意が必要になりますので、ご参考にしていただければと思います。
1.今回の設計
今回、以下のロール、ユーザを作成し、それぞれに権限を付与していきます。
●ロール
・オペレータロール(ジョブの実行、監視、ジョブの結果を見る)
・開発者ロール(設定の変更等を行う)
●ユーザ
・オペレータユーザ01
・開発者ユーザ01
●ロールに付与するシステム権限
・ALL_USERSロール
ALL_USERSは全てのHinemosのユーザが自動的に所属するロールです。
ユーザは、所属するロールのシステム権限をすべて与えられます。
今回ユーザは、それぞれの役割事のロールにも所属さ迫るので、ALL_USERSのシステム権限は最低限に設定します。
ロールには、必須のシステム権限である「リポジトリ‐参照」を付与する必要がありますので、
今回は「リポジトリ-参照」の権限のみ付与します。
・オペレータロール
オペレータロールは、ジョブの実行、監視・ジョブの結果確認業務を想定した権限を付与します。
・開発者ロール
開発者ロールには、オペレータの権限に加えて、監視・ジョブ設定の変更等を行えるように権限を付与します。
2.実際の設定
ロールとユーザの管理、アクセス権の管理を行う場合は、 Hinemos管理者用(ADMINISTRATORS)ロールに所属しているユーザで操作する必要があります。
今回はデフォルトのhinemosユーザでログインして、設定していきます。
●ロール
・オペレータロール
・開発ロール
●ユーザ
・オペレータユーザ01
・開発者ユーザ01
以下のようにそれぞれのロールにユーザを所属させます。
また、適宜パスワードを設定します。
●システム権限
・ALL_USERSロール
すべてのユーザが所属するロールになりますので、最低限必須設定である以下の権限を与えます。
・リポジトリ-参照
・オペレータロール
オペレータ用のロールには、必須の「リポジトリ-参照」に加えて、業務に必要な以下の権限を与えていきます。
- リポジトリ-参照
- カレンダ-参照
- ジョブ-参照、実行
- 監視結果-参照
- 収集蓄積-参照
- レポーティング-実行
- フィルタ設定-作成、参照、削除
・開発者ロール
オペレータに付与した権限に加えて、設定の変更等を行う必要があるため、業務に必要な以下の権限を付与します。
- カレンダ-作成、参照、変更
- ジョブ-作成、参照、変更、実行、承認
- メンテナンス-作成、参照、変更
- リポジトリ-作成、参照、変更、実行
- レポーティング-作成、参照、変更、実行
- 収集管理-参照
- 収集蓄積-作成、参照、変更
- 監視結果-参照、変更、実行
- 監視設定-作成、参照、変更
- 通知-作成、参照、変更
3.動作確認
オペレータユーザと開発者ユーザでそれぞれ、権限あり、なしの機能の動作確認をしていきます。
●オペレータユーザ01
まず、ログインできるか確認していきます。
ログイン確認できました。
参照権限のある監視結果(履歴)を開くと、参照できています。
参照権限のない監視設定を開くと、アクセス権がありませんというエラーが出て、表示されません。
●開発者ユーザ01
開発者ユーザもログインしていきます。
ログイン確認できました。
作成権限のある監視設定を作成してみると、問題なく作成できました。
参照権限のないアカウント機能を開くと、
自身のユーザは見えていますが、それ以外は「アクセス権限がありません」というエラーで参照できません
無事、両アカウントで付与した権限通りに動作することを確認できました。
■おわりに
今回は、アカウント機能を利用して、実際に役割ごとのロールに機能ごとのシステム権限を付与してみました。
Hinemosを運用する上で、組織内のユーザが増えてきた際に、必ず発生する設計になってくるかと思います。
簡単にはなりますが、こちらを参考に権限管理設計を実施いただけますと幸いです。
