2.14.2 ロール管理

設定画面の[ロール管理]エリアで,JP1/ITRMを管理するユーザーを作業分担に合わせてグループ化できます。このグループをロールといいます。ロールを作成し,権限を設定することで,ロール単位でITリソースへのアクセス制御を設定できます。ユーザーは,複数のロールに所属できます。

ユーザーをロールに所属させない場合,そのユーザーはITリソースを管理できません。また,ユーザー本人の情報は編集できますが,ほかのユーザーを管理することはできません。

ロールには,JP1/ITRMがデフォルトで提供している管理者ロールリソース管理ロールがあります。また,ITリソースの管理分担や役割に応じてユーザー作成ロールを作成できます。

管理者ロール(ロールID:_jp1admin)
このロールに所属するユーザーは,[ユーザー管理]エリアでユーザーを追加したり,[ロール管理]エリアでロールを作成したりできます。
リソース管理ロール(ロールID:_jp1resource)
このロールに所属するユーザーは,ITリソースの探索や通知など,ユーザー管理以外を設定したり,リソースグループに対して,操作,参照したりできます。ITリソースの情報を参照する権限を参照権限,操作する権限を操作権限といいます。
ユーザー作成ロール(ロールID:アンダーバー(_)以外で始まる任意の文字列)
ユーザーが作成するロールです。ユーザー作成ロールには,次の情報を設定できます。
  • 管理対象にするリソースグループ
  • 操作権限および参照権限の両方を与えるか,またはどちらかだけを与えるか
なお,ユーザー作成ロールを追加するときに指定するロールIDには,登録済みのロールIDを指定できません。

管理者ロールおよびリソース管理ロールは削除できません。

デフォルトでは,管理者ロールとリソース管理ロールの両方にjp1adminが所属しています。管理者ロールにほかのユーザーが所属していない場合,jp1adminを管理者ロールから削除できません。また,管理者ロールに所属するすべてのユーザーを削除できません。

ロールによるITリソースへのアクセス制御の概念を,次の図に示します。

図2-67 ロールによるITリソースへのアクセス制御

[図データ]

この図では,ユーザーIDがjp1adminであるユーザーは,すべてのITリソースを操作できるよう設定されています。ユーザーIDがadmin_Bであるユーザーは,部署B用のITリソース管理者として設定するため,resourceBというロールを作成しました。resourceBに所属しているユーザーadmin_Bは,部署B用のリソースグループに所属しているITリソースを参照,操作でき,部署A用のリソースグループに所属しているITリソースは参照だけできます。