2.3.3 設定するアクセス権限を検討する

登録するJP1ユーザーの検討が終了したら,そのJP1ユーザーに,「どのようなグループ(JP1資源グループ)に対して,どのようなアクセス権限(JP1権限レベル)を許可するのか」ということを検討してください。

<この項の構成>
(1) 定義するJP1資源グループの検討
(2) 設定するJP1権限レベルの検討
(3) ユニット所有者権限

(1) 定義するJP1資源グループの検討

ジョブネットワーク要素(ユニット)は,幾つかのグループに分けて保存し,管理します。このグループをJP1資源グループと呼びます。JP1資源グループには,任意の名称を定義できます。例えば資材部,人事部などの部署ごとに,「purchasingdep」や「personneldep」というような,部署を意味する用語を定義できます。

なお,JP1資源グループは,必ずどれかのJP1ユーザーにJP1資源グループを定義するように検討してください。JP1資源グループを定義しなかった場合は,アクセス制御の対象になりません。そのため,どのJP1ユーザーからもユニットを参照できたり,変更できたりするので,JP1ユーザーにJP1資源グループを定義しないことは,JP1/AJS2を運用していく上でお勧めしません。

また,一つのJP1ユーザーには,複数のJP1資源グループを定義することもできます。例えば,一人のJP1ユーザーについて,総務部のJP1資源グループでは業務を実行・編集できるユーザーとして,また,営業部のJP1資源グループでは業務の参照だけできるユーザーとして定義しておくことができます。

(2) 設定するJP1権限レベルの検討

JP1/AJS2で定義した業務に対して,どのような操作ができるかを表したものをJP1権限レベルと呼びます。

JP1権限レベルは,JP1資源グループに対して設定するものです。JP1資源グループの指定があってはじめてJP1権限レベルの設定が有効になります。例えば,ジョブネット定義・実行時のアクセス権限の場合,あるJP1資源グループに対してはJP1_AJS_Adminのアクセス権限を持ち,別のJP1資源グループに対してはJP1_AJS_Managerのアクセス権限を持つ,というようにJP1資源グループごとに異なるアクセス権限を持たせることができます。このため,JP1資源グループの指定がない場合,または異なるJP1資源グループの指定をした場合は,JP1権限レベルが有効にならないことに注意してください。

JP1権限レベルには次の2種類があります。

それぞれの権限レベル名と操作できる内容を以降に示します。これらの内容を参照して,設定するJP1権限レベルを検討してください。

(a) ジョブネット定義・実行時のアクセス権限

ジョブネット定義・実行時のアクセス権限には,次の5種類があります。

ジョブネット定義・実行時のJP1権限レベル名と詳細な操作内容を次の表に示します。

表2-11 ジョブネット定義・実行時のJP1権限レベル名と操作できる内容

操作内容JP1_AJS_
Admin
JP1_AJS_
Manager
JP1_AJS_
Editor
JP1_AJS_
Operator
JP1_AJS_
Guest
他ユーザーが所有権を持つユニットに対して,所有者,JP1資源グループ名,またはジョブの実行ユーザー種別を変更する※1
ジョブネットワーク要素を定義する
ジョブネットに定義したジョブネットワーク要素の定義内容を変更する※2※2
ジョブネットの定義内容を変更する
ジョブネットワーク要素を複写・移動したり,名称を変更したりする※3
ジョブネットワーク要素を削除する※4
ジョブネットワーク要素名を標準出力ファイルに出力する
ジョブネットワーク要素の定義内容を標準出力ファイルに出力する
ジョブネットワーク要素を退避する
ジョブネットワーク要素を回復する
ジョブグループにカレンダー情報を定義する
特定期間について,ジョブネットの実行スケジュールを定義する
定義済みのジョブネットを実行登録する
ジョブネットの実行登録を解除する
ジョブネットやジョブの実行履歴,現在の状態,次回実行予定などを標準出力ファイルに出力する
ジョブネットに定義されたスケジュールを一時的に変更する
ジョブの状態を一時的に変更する
ジョブの状態を変更する
ジョブネットの実行を中断する
ジョブネットを再実行する
ジョブやジョブネットの実行を強制終了させる
ジョブネットワーク要素をエクスポートする
ジョブネットワーク要素をインポートする
(凡例)
○:操作できる。
-:操作できない。
注※1
ユニットの所有者であれば,JP1_AJS_Admin権限が与えられていなくてもこの操作を実行できます。ただし,ユニットの所有者であっても,そのユニットに設定されているJP1資源グループに対して参照権限が与えられていない場合,JP1/AJS2 - ViewからJP1資源グループ名,所有者,およびジョブの実行ユーザー種別を変更することができません。JP1/AJS2 - ViewからJP1資源グループ名,所有者,およびジョブの実行ユーザー種別を変更したい場合は,「ajschange -g JP1資源グループ名 ユニット名」コマンドを実行して,JP1資源グループ名を参照する権限が与えられているJP1資源グループに変更してください。
ajschangeコマンドの詳細については,マニュアル「JP1/Automatic Job Management System 2 コマンドリファレンス 1. コマンド ajschange」を参照してください。
また,ユニットに所有者が設定されていない場合,すべてのユーザーが,JP1資源グループ名,所有者,またはジョブの実行ユーザー種別を変更することができます。なお,ユニットの実行ユーザー種別が所有ユーザーに設定されている場合,次の(a),(b)のユーザー以外のユーザーが,ユニット所有者を別のJP1ユーザーに変更すると,ユニットの実行ユーザー種別が登録ユーザーになります。ユニットの実行ユーザー種別に登録ユーザーが設定されると,ジョブの実行ユーザー種別は,ジョブネットを実行登録したユーザーとして扱われます。これは,(a),(b)のユーザー以外のユーザーによって,任意のユーザー権限でジョブが実行されることを防ぐことを目的としています。
(a):Administrators権限またはスーパーユーザー権限が与えられているユーザー
(b):ユニットに設定されているJP1資源グループに対してJP1_AJS_Admin権限が与えられているJP1ユーザー
注※2
ユニットの実行ユーザー種別が所有ユーザーになっている場合,JP1_AJS_Admin権限以外のJP1ユーザーは,自分が所有ユーザーになっているユニットでなければ変更の操作が実行できません。これは,JP1_AJS_Admin権限が与えられていない一般ユーザーが,任意のジョブを実行することを防ぐことを目的としています。なお,ユニットの実行ユーザー種別が登録ユーザーになっている場合は,自分に操作が許可されているJP1権限レベルを持つようにするだけで,変更の操作が実行できます。
注※3
複写・移動したり,名称を変更したりするユニットの親ユニットが操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを移動する場合,ユニット/AAA/BBBに設定されているJP1資源グループに対し,該当の権限が必要になります。なお,複写・移動したり,名称を変更したりするユニットに対しては,次のような権限が必要です。
複写の場合は,複写元ユニット(配下のユニットも含む)に設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。
移動の場合は,移動するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
名称の変更の場合は,名称を変更するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
注※4
削除するユニットの親ユニットも操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを削除する場合,ユニット/AAA/BBB/CCC(配下のユニットも含む)に設定されているJP1資源グループおよびユニット/AAA/BBBに設定されているJP1資源グループに対し,該当の権限が必要になります。

ユニットを操作するJP1ユーザーには,操作対象となるユニットに設定されているJP1資源グループに対して該当の操作権限が必要です。また,上位ユニットに設定されているJP1資源グループに対しては,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。

なお,ユニット操作を行うJP1ユーザーにマッピングされているOSユーザーがAdministrators権限を持つユーザー,またはスーパーユーザーである場合は,JP1権限レベルに関係なく,すべての操作を実行できます。また,Administrators権限を持つユーザー,またはスーパーユーザーで,ジョブネットワーク要素を操作するコマンドを実行した場合も,環境変数JP1_USERNAMEを設定したJP1ユーザーの権限に関係なく,すべての操作を実行できます。

ユニットにJP1資源グループが設定されていない場合は,そのユニットに対して,すべてのユーザーがJP1/AJS2のすべての操作を実行できます。

注意
  • マネージャージョブグループ,マネージャージョブネットでは,参照先のJP1/AJS2 - Managerのアクセス権限が適用されます。
  • JP1/AJS2 - Viewが接続している間,JP1/AJS2 - Manager上で,アクセス権限の情報をキャッシュに保持しています。このため,アクセス権限の変更が,接続中のJP1/AJS2 - Viewに反映されないことがあります。アクセス権限を変更する場合には,接続中のJP1/AJS2 - Viewをログアウトし,アクセス権限を変更後,再度ログインしてください。

(b) ジョブの実行・操作時のアクセス権限

ジョブの実行・操作時のアクセス権限には,次の3種類があります。

ジョブの実行・操作時のアクセス権限の設定では,資源グループ「JP1_Queue」に対して,これらの権限レベルを持たせるように設定します。「JP1_Queue」は,大文字・小文字を間違えないように入力してください。

ジョブの実行・操作時のJP1権限レベル名と詳細な操作内容を次の表に示します。

表2-12 ジョブの実行・操作時のJP1権限レベル名と詳細な操作内容

操作内容JP1_JPQ_
Admin
JP1_JPQ_
Operator
JP1_JPQ_
User
サブミットジョブを登録する
ジョブの実行をキャンセル,または強制終了する
ジョブの実行を保留,または保留解除する
ジョブを移動する
ジョブ情報を出力する
終了ジョブ情報を出力する
データベースから終了ジョブ情報を削除する
キューを開く
キューを閉じる
キューを追加する
キューを削除する
キュー情報を出力する
キューの定義を変更する
キューをエージェントに接続する
キューとエージェントの接続を解除する
ジョブ実行多重度を変更する
エージェントを追加する
エージェントを削除する
エージェントホスト情報を出力する
排他実行リソースを追加する
排他実行リソースを削除する
排他実行リソース情報を出力する
(凡例)
○:操作できる。
△:操作できるが,ほかのユーザーが実行したジョブは操作できない。
-:操作できない。
注意事項
ジョブの実行・操作時は,処理要求先マネージャーのアクセス権限の定義が適用されます。

(3) ユニット所有者権限

ジョブやジョブネットを定義したとき,定義したユーザーはそのジョブやジョブネットに対して所有者権限を持ちます。所有者権限を持つと,JP1権限レベルに関係なく,JP1資源グループ名,所有者,およびジョブの実行ユーザー種別を変更できるようになります。そのため,あらかじめ次に示す内容について注意してください。

注意事項
  • ユニットに所有者が設定されていない場合,すべてのユーザーから,JP1資源グループ名,所有者,またはジョブの実行ユーザー種別を変更することができます。
  • ユニットの実行ユーザー種別が所有ユーザーに設定されている場合,次の(a),(b)のユーザー以外のユーザーが,ユニット所有者を別のJP1ユーザーに変更すると,ユニットの実行ユーザー種別が登録ユーザーになります。ユニットの実行ユーザー種別に登録ユーザーが設定されると,ジョブの実行ユーザー種別は,ジョブネットを実行登録したユーザーとして扱われます。これは,(a),(b)のユーザー以外のユーザーによって,任意のユーザー権限でジョブが実行されることを防ぐことを目的としています。
    (a):Administrators権限またはスーパーユーザー権限が与えられているユーザー
    (b):ユニットに設定されているJP1資源グループに対してJP1_AJS_Admin権限が与えられているJP1ユーザー
  • ジョブの実行ユーザー種別をジョブ所有者にしている場合,次に示すユーザー以外でジョブの定義内容を変更すると,権限エラーとなります。
    ・ジョブの所有者
    ・Administrators権限またはスーパーユーザー権限が与えられているOSユーザーにマッピングされているJP1ユーザー
    ・JP1_AJS_Admin権限が与えられている一般ユーザー
  • ユニットの所有者であっても,そのユニットに設定されているJP1資源グループに対して参照権限が与えられていない場合,JP1/AJS2 - ViewからJP1資源グループ名,所有者,およびジョブの実行ユーザー種別を変更することができません。JP1/AJS2 - ViewからJP1資源グループ名,所有者,およびジョブの実行ユーザー種別を変更したい場合は,「ajschange -g JP1資源グループ名 ユニット名」コマンドを実行して,JP1資源グループ名を参照する権限が与えられているJP1資源グループに変更してください。