Skip to main content

 

 

 

 

Template:OutSystems/Documentation_KB/Breadcrumb_New_Layout

 

 

Template:OutSystems/OSLanguageSwitcher

 

 

 

OutSystems

ITユーザーの権限モデルを理解する

OutSystemsではロールベースの権限モデルを使用して、ITユーザーの権限の付与や取り消しに関するポリシーを管理します。つまり、操作を実行する権限ロールで構成した後、そのロールをユーザーに割り当てます。

権限レベル

ロール

OutSystemsのロールは、ユーザーが環境やアプリケーションに対して実行できる操作を定義する一連の権限です。

OutSystemsには以下の2つのビルトインロールがあり、簡素なセキュリティポリシーを実装することができます。

  • Developer: このロールはデフォルトでは、Development環境でのデプロイ、Quality Assuranceでのアプリケーション起動、およびProductionでアプリケーション表示が可能です。Developerロールの権限は状況に応じて変更できます。

  • Administrator: すべての環境とアプリケーションを完全に制御できます。インフラのすべての環境へのアプリケーションのデプロイ、およびITユーザー、セキュリティ、および環境の管理が可能です。Administratorロールの権限を変更することはできません。

これら2つのビルトインロールだけでは十分なセキュリティポリシーを設定することができない場合は、追加のロールを作成してより細かいポリシーを定義することができます。

権限

各ロールは、そのロールに割り当てられたITユーザーが実行できる操作を決定する一連の権限によって定義されます。

環境に対する権限レベル
各権限レベルは、下位レベルの権限を累積的に含みます(最も低い「No Access to Environment(環境へのアクセス権限なし)」を除きます)。
環境に対する固有の権限
特定の環境に対してオン/オフにすることができます。
インフラ全体レベルの権限
インフラの環境やITユーザーなどを管理できるユーザーを制御します。

各権限の詳細については、下記のリファレンスをご覧ください。

ITユーザーへのロールの割り当て

ITユーザーやITチームに対する必要なセキュリティポリシーを実現するため、権限レベルの異なる複数のロールを組み合わせ、特定の方法でそれらのロールをユーザーに割り当てる必要がある場合があります。

ITユーザーが開発インフラ内の環境やアプリケーションに対して持つ一連の権限は、ユーザーに割り当てられた複数のロールによって決定されます。

  • ユーザーのデフォルトロール。
  • ユーザーが属するチームのユーザーに割り当てられるロール。
  • 特定のアプリケーションのユーザーに割り当てられるロール。

Default Role(デフォルトロール):

ITユーザーを作成するとき、ユーザーのデフォルトロールを定義する必要があります。このロールは、ユーザーが環境と環境内のすべてのアプリケーションに対して持つ基本権限を定義します。

デフォルトでセキュリティの原則に従うため、ユーザーのデフォルトロールで付与するアプリケーションに対する基本権限は最小限にする必要があります。そのため、ユーザーが作業を行うために必要な権限はすべて、チームや直接特定のアプリケーションに対して明示的に定義できるようにします。

デフォルトロール

チームのユーザーに対して割り当てられるロール

ITユーザーをチームに追加するとき、そのチームに属するアプリケーションを取り扱う際にユーザーに適用されるロールを定義する必要があります。

チームのユーザーに割り当てられたロールは、ユーザーのデフォルトロールよりも優先されます。一般的には、チームに属するアプリケーションにのみ適用される追加権限を明示的に付与する場合に使用します。

これにより、アプリケーションごとに個別に権限を付与することなく、チームが管理するすべてのアプリケーションについて権限を付与することができます。

特定のアプリケーションのユーザーに対して割り当てられるロール

特定のアプリケーションの1人のユーザーに対して直接ロールを割り当てることもできます。こうすることで、チームを使用せずに特定のアプリケーションのユーザーに対して権限を付与したり取り消したりするほうが都合がよい、例外的な状況に柔軟に対応できます。

特定のアプリケーションのユーザーに対して直接割り当てられたロールは、ユーザーのデフォルトロールより優先され、チームで割り当てられたロールよりも優先されます。

OutSystemsの権限のリファレンス

このセクションでは、ロールによってユーザーにある特定の権限が付与されている場合にそのユーザーが実行できる操作について説明します。これらの操作は、ユーザーへのロールの割り当て方法によって異なります。

環境に対する権限レベル

最も低い「No Access(アクセス権限なし)」を除き、各権限レベルは下位レベルの権限を累積的に含みます。

Full Control(フルコントロール)
割り当て方法: デフォルトロール 日付形式などの環境設定と、外部データベースのカタログや接続を管理することができます。また、ユーザーはこの環境のフロントエンドサーバー、ゾーン、メールおよび証明書の設定、OutSystemsのライセンスを管理し、インフラに加えられた変更の監査情報を閲覧することもできます。
割り当て方法: チーム ユーザーには、チームのアプリケーションに対するChange and Deploy(変更とデプロイ)権限が設定されます。これはアプリケーションに対して適用される最も高い権限です。
割り当て方法: アプリケーション ユーザーには、アプリケーションに対するChange and Deploy権限が設定されます。これはアプリケーションに対して適用される最も高い権限です。

Change and Deploy Applications(アプリケーションの変更とデプロイ)
割り当て方法: デフォルトロール Service Studio、LifeTime、Service Centerで環境のアプリケーションをすべて表示することができ、これらの変更とデプロイも行うことができます。また、LifeTimeとService Centerで環境のアプリケーションすべての設定(サイトプロパティなど)を変更することができます。
割り当て方法: チーム Service Studio、LifeTime、Service Centerでチームのアプリケーションを表示することができ、これらの変更とデプロイも行うことができます。また、LifeTimeとService Centerでチームのアプリケーションの設定(サイトプロパティなど)を変更することができます。
割り当て方法: アプリケーション Service Studio、LifeTime、Service Centerでアプリケーションを表示することができ、これらの変更とデプロイも行うことができます。また、LifeTimeとService Centerでアプリケーションの設定(サイトプロパティなど)を変更することができます。

Open and Debug Applications(アプリケーションの起動とデバッグ)
割り当て方法: デフォルトロール Service Studioで環境のアプリケーションのモジュールすべての起動およびデバッグを行うことができます。
割り当て方法: チーム Service Studioでチームのアプリケーションのモジュールの起動およびデバッグを行うことができます。
割り当て方法: アプリケーション Service Studioでアプリケーションのモジュールの起動およびデバッグを行うことができます。

Monitor and Add Dependencies(監視と依存関係の追加)
割り当て方法: デフォルトロール ユーザーは、自分がChange and Deploy権限を持つアプリケーションから、すべての環境のアプリケーションの公開要素への依存関係を追加することができます。また、環境のアプリケーション環境のパフォーマンスをすべて監視することができます。
割り当て方法: チーム ユーザーは、自分がChange and Deploy権限を持つアプリケーションから、チームのアプリケーションの公開要素への依存関係を追加することができます。また、チームのアプリケーションを監視することができます。
割り当て方法: アプリケーション ユーザーは、自分がChange and Deploy権限を持つアプリケーションから、このアプリケーションの公開要素への依存関係を追加することができます。また、アプリケーションを監視することができます。

List Applications(アプリケーションの表示)
割り当て方法: デフォルトロール LifeTimeとService Centerで環境のアプリケーションをすべてリスト表示することができます。ただし、Service Studioでは表示できません。
割り当て方法: チーム LifeTimeとService Centerでチームのアプリケーションをリスト表示することができます。ただし、Service Studioでは表示できません。
割り当て方法: アプリケーション LifeTimeとService Centerでアプリケーションをリスト表示することができます。ただし、Service Studioでは表示できません。

Access(アクセス権限あり)
割り当て方法: デフォルトロール 環境にログインすることはできますが、LifeTime、Service Center、Service Studioで環境のアプリケーションをリスト表示することはできません。
割り当て方法: チーム チームのNo Access権限レベルと同じ動作です。LifeTime、Service Center、Service Studioでチームのアプリケーションをリスト表示することはできません。
割り当て方法: アプリケーション アプリケーションのNo Access権限レベルと同じ動作です。LifeTime、Service Center、Service Studioでアプリケーションをリスト表示することはできません。

No Access(アクセス権限なし)
割り当て方法: デフォルトロール 環境にログインすることはできません。デフォルトロールでは、この権限レベルのユーザーにアプリケーション固有の権限を付与することはできません。
割り当て方法: チーム LifeTime、Service Center、Service Studioでチームのアプリケーションをリスト表示することはできませんが、環境にログインすることはできます。
割り当て方法: アプリケーション LifeTime、Service Center、Service Studioでアプリケーションをリスト表示することはできませんが、環境にログインすることはできます。

環境に対する固有の権限

Create Applications(アプリケーションの作成)
割り当て方法: デフォルトロール Service StudioとService Centerで(アップロードおよびパブリッシュを行って)環境に新しいアプリケーションを作成することができます。また、LifeTimeで任意のチームに新しいアプリケーションを作成することができます。
割り当て方法: チーム LifeTimeでチームに新しいアプリケーションを作成することができます。
割り当て方法: アプリケーション 適用されません。

Add System Dependencies(システムの依存関係の追加)
割り当て方法: デフォルトロール ユーザーは、自分がChange and Deploy権限を持つアプリケーションで、システムモジュールの公開要素への新しい依存関係を追加することができます。
割り当て方法: チーム 適用されません。
割り当て方法: アプリケーション 適用されません。

インフラ全体レベルの権限

Manage Infrastructure and Users(インフラとユーザーの管理)
割り当て方法: デフォルトロール インフラ環境の追加、編集、削除、切り替えと、早期アクセス機能のオン/オフを行うことができます。また、ITユーザー、ロール、チームの追加、編集、削除を行うことができます。この権限をオンに設定すると、「Manage Teams and Application Roles(チームとアプリケーションロールの管理)」権限もオンに設定されます。
割り当て方法: チーム 適用されません。
割り当て方法: アプリケーション 適用されません。

Manage Teams and Application Roles(チームとアプリケーションロールの管理)
割り当て方法: デフォルトロール すべての環境のチームのITユーザーの追加および削除と、すべての環境のアプリケーションに対するITユーザーのロールの付与および取り消しを行うことができます(ユーザーのロールには、付与するロールより高い環境に対する権限レベルが必要です)。また、すべての環境のチームの編集を行うことや、監査ログにアクセスすることができます。
割り当て方法: チーム チームのITユーザーの追加および削除と、チームのアプリケーションに対するITユーザーのロールの付与および取り消しを行うことができます(ユーザーのロールには、付与するロールの権限レベルより高い環境に対する権限レベルが必要です)。また、チームの編集を行うことや、チームの監査ログにアクセスすることができます。
割り当て方法: アプリケーション アプリケーションに対するITユーザーのロールの付与および取り消しを行うことができます(ユーザーのロールには、付与するロールの権限レベルより高い環境に対する権限レベルが必要です)。また、アプリケーションの監査ログにアクセスすることができます。
  • Was this article helpful?