ロールとアクセス制御

アカウント認証と LDAP 認証 (SAML 認証) を用いてログインすると、ログインしたユーザーに対してロールが1つだけ割り当てられます。

ロールは次の機能をもちます。

• UCIDM API に対するアクセス制御
• ID 連携管理画面やセルフメンテナンス機能の Web UI の制御

ロールには2つの種別があります。

• システムロール
  • system-admin
  • system-user
  • ldap-admin
  • ldap-user
• カスタムロール

システムロール

UCIDM 組み込みのロールになります。システム管理者がカスタマイズすることはできません。

システムロールは次になります。

system-admin

UCIDM 全般のシステム管理権限をもつロールです。

• アカウント認証で使う
• すべての操作に対するアクセス権限をもつ

system-user

UCIDM 全般のシステム管理権限をもつロールです。

• アカウント認証で使う
• すべての操作に対する参照権限をもつ (更新はできない)

ldap-admin

UCIDM が接続する内部ディレクトリサービス (LDAP サーバー) に対する管理権限をもつロールです。

• アカウント認証で使う
• LDAP サーバーに対する、すべての操作に対するアクセス権限をもつ

ldap-user

UCIDM が接続する内部ディレクトリサービス (LDAP サーバー) に登録されているエントリー情報を用いてログインしたユーザーの操作権限をもつロールです。一般ユーザー向けのデフォルトのシステムロールになります。

• LDAP 認証 (SAML 認証) で使う
• 自身の情報のみを操作するアクセス権限をもつ

カスタムロール

システム管理者が任意の名前で作成できるロールになります。カスタムロールを使うときには次の制約があります。

• ロール名に system- と ldap- という接頭辞は使えない
• アクセス制御はシステムロールの設定を引き継ぐ
• システムロールとカスタムロールを併用できない

カスタムロールは LDAP サーバーに登録されているエントリー情報を用いて設定できます。画面などの Web UI 制御を行うための設定を切り替えたりできます。主な用途は次にあげます。

• ログインするユーザーの特性に応じた画面を表示する
• エントリー情報を更新するときのスクリプトでロールごとに処理を変える