6.4 設定するアクセス権限の検討

登録するJP1ユーザーの検討が終了したら,そのJP1ユーザーに,「どのようなグループ(JP1資源グループ)に対して,どのようなアクセス権限(JP1権限レベル)を許可するのか」ということを検討してください。

<この節の構成>
(1) 定義するJP1資源グループの検討
(2) 設定するJP1権限レベルの検討
(3) ユニットの所有者権限
(4) ユニットの新規作成,コピー,またはリリース登録時のアクセス権限
(5) ジョブの実行ユーザー
(6) ジョブの定義変更とアクセス権限

(1) 定義するJP1資源グループの検討

JP1/AJS3のユニットのアクセス権限は,幾つかのグループに分けて管理します。このグループをJP1資源グループと呼びます。JP1資源グループには,任意の名称を定義できます。例えば,資材部や人事部などの部署ごとに,「purchasingdep」や「personneldep」というような,部署を意味する名称を定義できます。

各JP1資源グループには,それぞれアクセス権限を設定できます。JP1資源グループに対するアクセス権限は,JP1ユーザーに対して関連づけます。JP1ユーザーは,関連づけられたJP1資源グループのユニットに対して,設定されたアクセス権限の範囲内だけで操作できるようになります。

どのJP1資源グループにも所属していないユニットは,アクセス制御の対象になりません。そのため,すべてのJP1ユーザーが参照したり,変更したりできてしまいます。また,どのJP1ユーザーにも関連づけられていないJP1資源グループは,どのJP1ユーザーからもアクセスできなくなってしまいます。JP1/AJS3を運用していく上で,すべてのJP1ユーザーがすべてのユニットに対して適切なアクセス権限を保持できるように,次のこと検討しておくことを推奨します。

また,一人のJP1ユーザーに対して複数のJP1資源グループを関連づけることもできます。例えば,一人のJP1ユーザーに,総務部のJP1資源グループと営業部のJP1資源グループを関連づけられます。これによって,一人のJP1ユーザーに対する総務部と営業部のJP1資源グループのアクセス権限を,別々に制御できます。

(2) 設定するJP1権限レベルの検討

JP1資源グループに対して,どのような操作ができるかを表したものをJP1権限レベルと呼びます。

JP1権限レベルは,JP1ユーザーに関連づけられているJP1資源グループごとに設定します。例えば,一人のJP1ユーザーに総務部のJP1資源グループと営業部のJP1資源グループが関連づけられている場合,総務部のJP1資源グループにはユニットを実行・編集できるJP1権限レベルを,営業部のJP1資源グループにはユニットを参照できるJP1権限レベルを設定できます。この場合,このJP1ユーザーは,総務部のJP1資源グループのユニットを実行・編集できる権限と,営業部のJP1資源グループのユニットを参照できる権限を持ちます。

JP1権限レベルには次の3種類があります。

それぞれのJP1権限レベル名と操作できる内容を以降に示します。これらの内容を参照して,設定するJP1権限レベルを検討してください。

(a) ジョブネット定義・実行時のアクセス権限

ジョブネット定義・実行時のアクセス権限には,次の5種類があります。

ジョブネット定義・実行時のJP1権限レベル名と詳細な操作内容を次の表に示します。

表6-3 ジョブネット定義・実行時のJP1権限レベル名と操作できる内容

操作内容JP1_AJS_
Admin
JP1_AJS_
Manager
JP1_AJS_
Editor
JP1_AJS_
Operator
JP1_AJS_
Guest
所有者権限※1を持たないユニットの所有者,JP1資源グループ名,またはジョブの実行ユーザー種別を変更する
ユニットを定義する
ジョブネット配下のユニットの定義内容を変更する※2※2
ジョブネットの定義内容を変更する
ユニットをコピー・移動したり,名称を変更したりする※3
ユニットを削除する※4
ユニット名を標準出力ファイルに出力する
ユニットの定義内容を標準出力ファイルに出力する
ユニットを退避する
ユニットを回復する
ジョブグループにカレンダー情報を定義する
特定期間について,ジョブネットの実行スケジュールを定義する
定義済みのジョブネットを実行登録する
ジョブネットの実行登録を解除する
ジョブネットをリリース登録する※5※5
ジョブネットのリリースを中止する※5※5
ジョブネットのリリース情報を参照する
ジョブネットやジョブの実行履歴,現在の状態,次回実行予定などを標準出力ファイルに出力する
ジョブネットに定義されたスケジュールを一時的に変更する
ジョブの状態を一時的に変更する
ジョブの状態を変更する
ジョブネットの実行を中断する
ジョブネットを再実行する
ジョブやジョブネットの実行を強制終了させる
ユニットをエクスポートする
ユニットをインポートする
ジョブネットの実行登録状態をエクスポートする
ジョブネットの実行登録状態をインポートする
(凡例)
○:操作できる。
-:操作できない。
注※1
ユニットに所有者が設定されていない場合は,すべてのユーザーがJP1資源グループ名,所有者,および実行ユーザー種別を変更できます。
ユニットの所有者権限については,「(3) ユニットの所有者権限」を参照してください。
注※2
ジョブの詳細定義を変更する場合,ジョブの実行ユーザー種別によって変更できる項目が異なります。詳細については,「(6) ジョブの定義変更とアクセス権限」を参照してください。
注※3
コピー・移動したり,名称を変更したりするユニットの上位ユニットが操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを移動する場合,ユニット/AAA/BBBに設定されているJP1資源グループに対し,該当する権限が必要です。コピー・移動したり,名称を変更したりするユニットに対しては,次のような権限が必要です。
コピーの場合は,コピー元ユニット(配下のユニットも含む)に設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。
移動の場合は,移動するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
名称の変更の場合は,名称を変更するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
注※4
削除するユニットの上位ユニットも操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを削除する場合,ユニット/AAA/BBB/CCC(配下のユニットも含む)に設定されているJP1資源グループおよびユニット/AAA/BBBに設定されているJP1資源グループに対し,該当する権限が必要です。
注※5
JP1_AJS_EditorおよびJP1_AJS_Operatorの両方の権限が必要です。
これは,リリース登録およびリリース中止の操作によって,ジョブネットの定義変更と,定義変更されたジョブネットの実行登録が行われるためです。

ユニットを操作するJP1ユーザーには,操作対象となるユニットに設定されているJP1資源グループに対して該当の操作権限が必要です。また,上位ユニットに設定されているJP1資源グループに対しては,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。

ユニットを操作するJP1ユーザーにマッピングされているOSユーザーがAdministrators権限またはスーパーユーザー権限を持つユーザーである場合は,JP1権限レベルに関係なく,すべての操作を実行できます。また,Administrators権限またはスーパーユーザー権限を持つユーザーで,ユニットを操作するコマンドを実行した場合も,環境変数JP1_USERNAMEを設定したJP1ユーザーの権限に関係なく,すべての操作を実行できます。

ユニットにJP1資源グループが設定されていない場合は,そのユニットに対して,すべてのユーザーがJP1/AJS3のすべての操作を実行できます。

注意事項
  1. マネージャージョブグループ,マネージャージョブネットでは,参照先のJP1/AJS3 - Managerのアクセス権限が適用されます。
  2. JP1/AJS3 - Viewが接続している間,JP1/AJS3 - Manager上で,アクセス権限の情報をキャッシュに保持しています。このため,アクセス権限の変更が,接続中のJP1/AJS3 - Viewに反映されないことがあります。アクセス権限を変更する場合には,接続中のJP1/AJS3 - Viewをログアウトし,アクセス権限を変更後,再度ログインしてください。

(b) QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限

QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限には,次の3種類があります。

QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限の設定では,JP1資源グループ「JP1_Queue」に対して,これらのJP1権限レベルを持たせるように設定します。「JP1_Queue」は,大文字・小文字を間違えないように入力してください。

QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のJP1権限レベル名と詳細な操作内容を次の表に示します。

表6-4 QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のJP1権限レベル名と詳細な操作内容

操作内容JP1_JPQ_
Admin
JP1_JPQ_
Operator
JP1_JPQ_
User
サブミットジョブを登録する
ジョブの実行をキャンセル,または強制終了する
ジョブの実行を保留,または保留解除する
ジョブを移動する
ジョブ情報を出力する
終了ジョブ情報を出力する
データベースから終了ジョブ情報を削除する
キューを開く
キューを閉じる
キューを追加する
キューを削除する
キュー情報を出力する
キューの定義を変更する
キューをエージェントに接続する
キューとエージェントの接続を解除する
ジョブ実行多重度を変更する
エージェントを追加する
エージェントを削除する
エージェントホスト情報を出力する
排他実行リソースを追加する
排他実行リソースを削除する
排他実行リソース情報を出力する
(凡例)
○:操作できる。
△:操作できるが,ほかのユーザーが実行したジョブは操作できない。
-:操作できない。
注意事項
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時は,処理要求先マネージャーのアクセス権限の定義が適用されます。

(c) エージェント管理情報操作時のアクセス権限

エージェント管理情報操作時のアクセス権限には,次の3種類があります。

エージェント管理情報操作時のアクセス権限の設定では,JP1資源グループ「JP1_Queue」に対して,これらのJP1権限レベルを持たせるように設定します。「JP1_Queue」は,大文字・小文字を間違えないように入力してください。

エージェント管理情報操作時のJP1権限レベル名と詳細な操作内容を次に示します。

表6-5 エージェント管理情報操作時のJP1権限レベル名と詳細な操作内容

操作内容JP1_JPQ_
Admin
JP1_JPQ_
Operator
JP1_JPQ_
User
実行エージェントを追加する
実行エージェントグループを追加する
実行エージェントを削除する
実行エージェントグループを削除する
実行エージェントの実行ホストを変更する
実行エージェントのジョブ実行多重度を変更する
実行エージェントの説明文を変更する
実行エージェントグループの説明文を変更する
実行エージェントグループに接続する実行エージェントを追加する
実行エージェントグループに接続されている実行エージェントの優先順位を変更する
実行エージェントグループに接続されている実行エージェントを接続先から解除する
実行エージェントの受付配信制限の状態を変更する
実行エージェントグループの受付配信制限の状態を変更する
実行エージェントの状態を表示する
実行エージェントグループの状態を表示する
すべての実行エージェントと実行エージェントグループの状態を表示する
すべての実行エージェントと実行エージェントグループの名称を表示する
実行エージェントの定義を出力する
実行エージェントグループの定義を出力する
すべての実行エージェントと実行エージェントグループの定義を出力する
(凡例)
○:操作できる。
-:操作できない。
注※
Administrators権限またはスーパーユーザー権限を持つユーザーは,JP1権限レベルに関係なく操作できます。

(3) ユニットの所有者権限

ジョブやジョブネットを定義したユーザーは,そのジョブやジョブネットの所有者として設定され,所有者権限を持ちます。所有者権限を持つと,JP1権限レベルに関係なく,次の設定を変更できます。

ただし,所有者であっても,ユニットのJP1資源グループに対して参照権限が与えられていない場合は,JP1/AJS3 - Viewでユニットの詳細定義ダイアログボックスを表示できません。そのため,JP1/AJS3 - ViewからJP1資源グループ名,所有者,および実行ユーザー種別を変更できません。所有者のままこれらの設定を変更したい場合は,ajschangeコマンドを実行して,JP1資源グループを,所有者に参照権限が与えられているJP1資源グループに変更してください。ajschangeコマンドの詳細については,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス1 2. コマンド ajschange」を参照してください。

なお,ユニットに所有者が設定されていない場合は,すべてのユーザーがJP1資源グループ名,所有者,および実行ユーザー種別を変更できます。

(4) ユニットの新規作成,コピー,またはリリース登録時のアクセス権限

ユニットを新規作成,コピー,またはリリース登録すると,ユニットの所有者およびJP1資源グループは,デフォルトでは次のように設定されます。

ユニットをJP1/AJS3 - Viewで新規作成した場合
所有者:ユニットを作成したJP1ユーザー
JP1資源グループ:上位ユニットのJP1資源グループ
ユニットをajsdefineコマンドで新規作成した場合
所有者:ユニット定義ファイルで設定した所有者
JP1資源グループ:ユニット定義ファイルで設定したJP1資源グループ
ユニットをJP1/AJS3 - Viewまたはajscopyコマンドでコピーした場合
所有者:ユニットをコピーしたJP1ユーザー
JP1資源グループ:コピー元ユニットのJP1資源グループ
ユニットをJP1/AJS3 - Viewまたはajsreleaseコマンドでリリース登録した場合
所有者:リリース元ユニットの所有者
JP1資源グループ:リリース元ユニットのJP1資源グループ
JP1/AJS3 - Definition Assistantで一括または単独でエクスポートしてユニットを新規作成した場合
所有者:定義情報管理テンプレートで設定した所有者
JP1資源グループ:定義情報管理テンプレートで設定したJP1資源グループ

新規作成,コピー,またはリリース登録したユニットの所有者やJP1資源グループを,上位のユニットから継承するように設定することもできます。この機能を,上位ユニット属性継承機能といいます。この機能を使用することで,システム内のユニットの所有者を統一して運用したい場合に,新規作成,コピー,またはリリース登録したユニットの所有者,およびJP1資源グループを変更する必要がなくなります。

(a) 上位ユニット属性継承機能の概要

上位ユニット属性継承機能は,ジョブグループまたはジョブネットに対して設定します。上位ユニット属性継承機能を設定したジョブグループまたはジョブネット配下に,ユニットを新規作成したり,コピーして作成したり,またはリリース先としてリリース登録したりすると,作成したユニットは上位のユニットの所有者やJP1資源グループを継承します。なお,定義済みのユニットや,切り取って貼り付けたユニットの場合,所有者やJP1資源グループは変更されません。

上位ユニット属性継承機能の例を,次の図に示します。

図6-2 上位ユニット属性継承機能の例

[図データ]

上位ユニット属性継承機能を設定していない場合,ジョブ1をジョブネットBの配下にコピーすると,コピーして作成されたジョブ1の所有者はコピー操作をしたJP1ユーザーの「jp1userX」が,JP1資源グループはコピー元ユニットの「eigyou」が設定されます。

上位ユニット属性継承機能を設定している場合,ジョブ1をジョブネットBの配下にコピーすると,コピーして作成されたジョブ1の所有者およびJP1資源グループは,ジョブネットBの設定を継承します。

2階層以上のユニット構成で上位ユニット属性継承機能を設定している場合,新規作成したユニットおよびコピーして作成したユニットの所有者およびJP1資源グループは,作成したユニットの一つ上の階層のユニットの所有者およびJP1資源グループを継承します。

2階層以上のユニット構成で上位ユニット属性継承機能を設定している場合の例を,次の図に示します。

図6-3 2階層以上のユニット構成で上位ユニット属性継承機能を設定している場合の例

[図データ]

この例では,ジョブグループBに上位ユニット属性継承機能を設定しています。ジョブネットAの配下にあるジョブ1をジョブネットBの配下にコピーすると,コピーして作成したジョブ1の所有者およびJP1資源グループの設定は,作成したユニットの一つ上の階層のユニットであるジョブネットBの設定を継承します。ジョブグループBの設定は継承しません。

注意事項
  • 上位ユニット属性継承機能は,バージョン09-50以降のJP1/AJS3 - Managerで使用できます。ただし,バージョン09-50以降のJP1/AJS3 - Managerにバージョン09-10以前のJP1/AJS3 - Viewで接続している場合,コピーしたユニットは上位ユニットの設定を継承できますが,新規作成したユニットは上位ユニットの設定を継承できません。
  • ajsrestoreコマンドまたはJP1/AJS3 - Viewによるユニットの回復,およびajsimportコマンドによるユニットのインポートは,元の定義の復元を目的としています。そのため,復元先の上位ユニットに上位ユニット属性継承機能を設定していても,上位ユニット属性継承機能は有効になりません。
  • シナリオ管理グループやシナリオジョブの上位ユニットに上位ユニット属性継承機能を設定しても,上位ユニット属性継承機能は有効になりません。
  • ジョブネットをリリース登録する場合,リリース先の上位ユニットに上位ユニット属性継承機能を設定すると,上位ユニット属性継承機能の設定が優先されます。リリース元のユニットの所有者,およびJP1資源グループを優先する場合は,リリース先の上位ユニットに上位ユニット属性継承機能を設定しないか,リリース元とリリース先は同じユニット属性になるようユニット属性プロファイルを定義してください。

(b) 上位ユニット属性継承機能の設定

上位ユニット属性継承機能は,ユニット属性プロファイルで設定します。ユニット属性プロファイルには,上位ユニット属性継承機能を設定するユニットの完全名,および上位ユニット属性継承機能の設定方法を設定します。

ユニット属性プロファイルの設定方法については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド1 4.3.2 ユニット属性プロファイルの設定手順」(Windowsの場合)またはマニュアル「JP1/Automatic Job Management System 3 構築ガイド1 14.3.2 ユニット属性プロファイルの設定手順」(UNIXの場合)を参照してください。ユニット属性プロファイルの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド2 3.2.2 ユニット属性プロファイル」を参照してください。

(c) 上位ユニット属性継承機能の使用例

上位ユニット属性継承機能の使用例について説明します。

ここでは,次のような方針でジョブネットを定義することを想定します。

アクセス権限の定義方針
すべてのユニットのアクセス権(所有者およびJP1資源グループ)は,所有者「user1」,JP1資源グループ「keiri」に統一する。
ユニットの定義方針
  • マネージャーホストに複数のJP1ユーザーがJP1/AJS3 - Viewで接続し,それぞれのJP1ユーザーが担当業務のユニットを定義する。
  • テスト用のジョブグループ「テスト」でジョブネットAを作成し,配下にジョブ1とジョブ2を定義する。
  • ジョブネットAをジョブグループ「テスト」でテストしたあと,ジョブネットAを本番用のジョブグループ「本番」の配下にコピーし,運用を開始する。

なお,マネージャーホスト環境は構築済みであり,ジョブグループ「テスト」および「本番」は作成済みとします。また,ジョブグループ「本番」の所有者には「user1」を,JP1資源グループには「keiri」を設定します。

このようなジョブネットを,上位ユニット属性継承機能を使用して定義する例を,次の図に示します。

図6-6 上位ユニット属性継承機能の使用例

[図データ]

この例では,JP1ユーザーのjp1userA,jp1userB,およびjp1userCが,それぞれJP1/AJS3 - Viewでマネージャーホストに接続しています。AJSROOT1のユニット属性プロファイルには,上位ユニット属性継承機能を設定するユニットとして「/本番」を,上位ユニット属性継承機能の設定方法には「all」を指定します。

マネージャーホストのテスト用のジョブグループ「テスト」に,それぞれのJP1ユーザーが,ジョブネットA,ジョブ1,およびジョブ2を定義します。このとき,定義したユニットの所有者は,定義したJP1ユーザー名が設定されます。ジョブグループ「テスト」でジョブネットAをテストしたあと,ジョブネットAをジョブグループ「本番」にコピーします。コピーして作成したジョブネットAは,上位ユニットであるジョブグループ「本番」のアクセス権を継承します。同様に,コピーして作成したジョブ1およびジョブ2も,上位ユニットであるジョブネットAのアクセス権,つまりジョブグループ「本番」のアクセス権を継承します。そのため,ジョブグループ「本番」の配下にコピーしたすべてのユニットは,所有者およびJP1資源グループを統一して運用できます。

(5) ジョブの実行ユーザー

ジョブネットを実行したとき,配下に定義されているジョブを実行するJP1ユーザーのことを,ジョブの実行ユーザーといいます。

ジョブの実行ユーザーは,次の二つの種別から選択します。

登録ユーザー
ジョブネットを実行登録したJP1ユーザーがジョブを実行します。実行登録したJP1ユーザーにジョブの実行権限が与えられていれば,ジョブを実行できます。
所有ユーザー
ジョブの所有者に設定されているJP1ユーザーがジョブを実行します。実行登録したJP1ユーザーにジョブの実行権限が与えられていなくても,所有者に設定されているJP1ユーザーにジョブの実行権限が与えられていれば,ジョブを実行できます。

ORジョブ,判定ジョブ,およびイベントジョブは,JP1/AJS3を起動しているユーザーの権限で実行されます。そのため,ORジョブおよび判定ジョブでは実行ユーザー種別を指定できません。イベントジョブでは指定しても無効となります。

ジョブを実行する際,ジョブは実行先ホスト(エージェントホスト)に転送されて実行されます。そのため,ジョブの実行ユーザーは実行先ホストでOSユーザーとユーザーマッピングしておく必要があります。実行ユーザー種別で登録ユーザーを指定した場合は,ジョブネットを実行登録するJP1ユーザーをOSユーザーとマッピングします。所有ユーザーを指定した場合は,ジョブの所有者をOSユーザーとマッピングします。

ジョブの実行ユーザーを,ジョブに定義してある実行ユーザー種別とは関係なく,上位のユニットの所有者に設定してあるJP1ユーザーで固定してジョブを実行することもできます。実行ユーザーを上位ユニットの所有者に固定する機能を,実行ユーザー固定機能といいます。この機能を使用することで,ジョブネットを実行登録するユーザーに関係なく,すべてのジョブを一つのJP1ユーザーで実行できるようになります。

注意事項
実行ユーザー固定機能は,バージョン09-50以降のJP1/AJS3 - Managerで使用できます。

(a) 実行ユーザー固定機能の概要

実行ユーザー固定機能は,ジョブグループまたはジョブネットに対して設定します。実行ユーザー固定機能が設定されたジョブグループまたはジョブネット配下で実行するジョブは,詳細定義に定義されている実行ユーザー種別とは関係なく,実行ユーザー固定機能を設定したユニットの所有者に設定されているJP1ユーザーの権限で実行されます。

実行ユーザー固定機能の例を,次の図に示します。

図6-7 実行ユーザー固定機能の例

[図データ]

実行ユーザー固定機能を設定していない場合,JP1ユーザー「jp1userX」がジョブネットAを実行登録すると,ジョブ1の実行ユーザー種別は登録ユーザーであるため,実行ユーザーはジョブネットAの登録ユーザー「jp1userX」になります。

ジョブネットAに実行ユーザー固定機能を設定している場合,JP1ユーザー「jp1userX」がジョブネットAを実行登録すると,実行ユーザー種別とは関係なく,ジョブ1の実行ユーザーはジョブネットAの所有者である「jp1userA」になります。

注意事項
  • 実行ユーザー固定機能を設定している場合,ジョブの詳細定義で設定している実行ユーザーと,実際の実行ユーザーが異なります。そのため,詳細定義でジョブを実行できるようにアクセス権限を定義しても,実行ユーザー固定機能で設定される実行ユーザーにジョブの実行権限がないと,ジョブ実行時に権限エラーになるので注意してください。
  • 実行ユーザー固定機能を設定している場合,ジョブの定義情報は変更されません。ジョブ実行時には,ジョブの定義情報とは関係なく,実行ユーザー固定機能で設定されたJP1ユーザーでジョブが実行されます。

実行ユーザー固定機能は,次に示すジョブの上位ユニットに設定することで,実行ユーザーを固定できます。イベントジョブは実行ユーザーに依存しないため,対象外です。

2階層以上のユニット構成で実行ユーザー固定機能を設定している場合,ジョブの実行ユーザーとして固定されるJP1ユーザーは,実行ユーザー固定機能を設定しているユニットのうち,ジョブに最も近い階層のユニットの所有者になります。

2階層以上のユニット構成で実行ユーザー固定機能を設定している場合の例を,次の図に示します。

図6-8 2階層以上のユニット構成で実行ユーザー固定機能を設定している場合の例

[図データ]

例1では,ジョブグループAに実行ユーザー固定機能を設定しています。ジョブグループA配下のジョブネットAを実行登録すると,ジョブ1の実行ユーザーは,実行ユーザー固定機能を設定したジョブグループAの所有者jp1userAになります。

例2では,ジョブグループAおよびジョブネットAに実行ユーザー固定機能を設定しています。ジョブネットAを実行登録すると,ジョブ1の実行ユーザーは,実行ユーザー固定機能を設定したユニットのうち最も近い階層にあるジョブネットAの所有者jp1userBになります。

(b) 実行ユーザー固定機能の設定

実行ユーザー固定機能は,ユニット属性プロファイルで設定します。ユニット属性プロファイルには,実行ユーザー固定機能を設定するユニットの完全名,および実行ユーザー固定機能の設定方法を設定します。

ユニット属性プロファイルの設定方法については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド1 4.3.2 ユニット属性プロファイルの設定手順」(Windowsの場合)またはマニュアル「JP1/Automatic Job Management System 3 構築ガイド1 14.3.2 ユニット属性プロファイルの設定手順」(UNIXの場合)を参照してください。ユニット属性プロファイルの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド2 3.2.2 ユニット属性プロファイル」を参照してください。

(c) 実行ユーザー固定機能の使用例

実行ユーザー固定機能の使用例について説明します。

ここでは,次のようなジョブネットを実行することを想定します。

このようなジョブネットAを,実行ユーザー固定機能を使用して実行する例を次に示します。

図6-11 実行ユーザー固定機能の使用例

[図データ]

この例では,ジョブネットAに対して実行ユーザー固定機能を設定しています。実行ユーザー固定機能の設定方法はallです。ジョブネットAをjp1userA,jp1userB,またはjp1userCのだれかが実行登録すると,ジョブ1およびジョブ2は実行先のエージェントホストに転送されます。このとき,登録ユーザーがだれであっても,ジョブ1およびジョブ2の実行ユーザーは,ジョブネットAの所有者jp1userXに固定されます。そのため,ジョブの転送先のエージェントホストでジョブ1およびジョブ2を実行するには,jp1userXとOSユーザーosuser1のユーザーマッピングが必要になります。登録ユーザーであるjp1userA,jp1userB,またはjp1userCのユーザーマッピングは必要ありません。また,ジョブネットAを実行するJP1ユーザーが追加されても,ユーザーマッピング定義を追加する必要はありません。

(d) 実行ユーザー固定機能と上位ユニット属性継承機能の組み合わせ

実行ユーザー固定機能と上位ユニット属性継承機能は,ともにユニット属性プロファイルを使って設定します。両方の機能を同時に使用する場合,それぞれの機能で設定方法をentryuserまたはallから選択します。このとき,設定方法が異なる組み合わせで運用すると,ジョブ実行の動作がわかりにくくなります。そのため,両機能で設定方法は統一することを推奨します。

実行ユーザー固定機能と上位ユニット属性継承機能の設定方法の組み合わせを,次の表に示します。

表6-6 実行ユーザー固定機能と上位ユニット属性継承機能の設定方法の組み合わせ

項番実行ユーザー固定機能の設定方法上位ユニット属性継承機能の設定方法説明
1entryuserentryuser特定のジョブだけ,実行ユーザーをそのジョブの所有者に固定できます。ジョブをコピーしても,設定は変更されません。
特殊なジョブを部品として別に作成し,コピーしてシステムに組み込むような運用の場合に指定します。
2allall実行ユーザー,所有者,およびJP1資源グループを,指定したユニット配下で統一します。
3entryuserall推奨しない組み合わせです。
特定のジョブだけ,実行ユーザーをそのジョブの所有者に固定できますが,そのジョブをコピーすると設定が変更されてしまいます。
4allentryuser推奨しない組み合わせです。
特定のジョブをコピーした場合にコピー元のジョブの実行ユーザーを維持しようとしても,ジョブを実行する際に実行ユーザーが別のユニットの所有者に固定されてしまいます。

(6) ジョブの定義変更とアクセス権限

JP1ユーザーがジョブの詳細定義を変更する場合,アクセス権限の有無やジョブの定義内容によって,変更できる詳細定義の項目が異なります。

JP1ユーザーが次のどちらかに該当する場合,管理者権限が与えられているため,すべての詳細定義を変更できます。

管理者権限が与えられていない場合,JP1権限レベルがJP1_AJS_ManagerまたはJP1_AJS_EditorのJP1ユーザーがジョブの詳細定義を変更できます。ただし,JP1ユーザーがジョブの所有者権限を持っているかどうか,およびジョブの実行ユーザー種別の設定によって,変更できる詳細定義の項目が異なります。

JP1ユーザーの所有者権限の有無,およびジョブの実行ユーザー種別の設定と,変更できる詳細定義の項目を,次の表に示します。

表6-7 変更できる詳細定義の項目

所有者権限実行ユーザー種別
登録ユーザー所有ユーザー
あり※1
なし×※2
(凡例)
○:すべての項目を変更できる。
△:所有者,JP1資源グループ,および実行ユーザー種別以外の項目を変更できる。
×:すべての項目を変更できない。
注※1
所有者権限のあるユーザーが所有者を変更すると,実行ユーザー種別が登録ユーザーに変更されます。
所有者を変更しても実行ユーザー種別が所有ユーザーのままだと,ユーザーが所有者を任意の所有者に変更することで,実行を許可されていないジョブでも任意の所有者の権限で実行できるようになってしまいます。そのため,所有者を変更すると実行ユーザー種別が登録ユーザーに変更されるようにすることで,許可されていないジョブの実行を防止しています。
注※2
所有者権限がないユーザーは,実行ユーザー種別が所有ユーザーのジョブの詳細定義を変更できません。これは,ユーザーがジョブの定義を自由に変更して,設定されている所有者の権限でジョブを実行してしまうことを防ぐためです。

なお,所有者が設定されていないジョブは,アクセス権限や実行ユーザー種別に関係なく,すべての項目を変更できます。