5.2.3 アクセス権の割り当ての設計
JP1/Service Supportでは,プロセスワークボードごとに,ユーザー,ロールの役割に応じてアクセス権を割り当てられます。アクセス権には,案件の作成,編集,クローズなど,案件の操作に対するものと,案件のステータスに応じた細かな編集権限に対するものがあります。
「5.2 対象システム,プロセスの決定と体制作り」の表5-1を例に,各作業担当に必要なアクセス権を割り当てた場合,次のようになります。
-
情報システム管理者:
ロール「作業管理ロール」を割り当てる(アクセス権の割り当ては不要)。
-
作業状況管理者,対象システム管理者:
担当するシステム内のプロセスワークボードに対してアクセス権「案件の参照」権限を割り当てる。
また,「5.2 対象システム,プロセスの決定と体制作り」の表5-2を例に,各作業担当に必要なアクセス権を割り当てた場合,次の表のようになります。
プロセス |
作業担当 |
アクセス対象の案件 |
アクセス権 |
---|---|---|---|
インシデント管理 |
インシデント担当者 |
インシデント |
案件の作成 案件の参照 案件ステータス(受付,調査中,対応依頼中,承認済み,クローズ) 案件のクローズ |
問題点 |
案件の参照 エスカレーション |
||
インシデント管理者 |
インシデント |
案件の参照 案件ステータス(審議中) 案件の承認 |
|
問題点 |
案件の参照 |
||
問題管理 |
問題管理担当者 |
インシデント |
案件の参照 |
問題点 |
案件の作成 案件の参照 案件ステータス(受付,調査中,対応依頼中,承認済み,クローズ) 案件のクローズ |
||
変更点 |
案件の参照 エスカレーション |
||
問題管理者 |
インシデント |
案件の参照 |
|
問題点 |
案件の参照 案件ステータス(審議中) 案件の承認 |
||
変更点 |
案件の参照 |
||
変更管理 |
変更管理者 |
問題点 |
案件の参照 |
変更点 |
案件の参照 案件の作成 案件のステータス(受付,承認済み,レビュー中,クローズ) 案件のクローズ |
||
リリース案件 |
案件の参照 |
||
CABメンバー (変更諮問委員会メンバー) |
変更点 |
案件の参照 案件ステータス(受付,計画中) |
|
CAB代表 (変更諮問委員会代表) |
変更点 |
案件の参照 案件の承認 案件ステータス(審議中,対応依頼中) |
|
リリース案件 |
案件の参照 エスカレーション |
||
リリース管理 |
リリース管理者 |
変更点 |
案件の参照 |
リリース案件 |
案件の参照 案件の作成 案件の承認 案件のステータス(受付,審議中,承認済み,クローズ) 案件のクローズ |
||
リリース担当者 (計画立案者) |
リリース案件 |
案件の参照 案件ステータス(受付,計画中) |
|
リリース担当者 (調達者) |
リリース案件 |
案件の参照 案件ステータス(承認済み) 案件の承認 |
|
リリース担当者 (実装チーム) |
リリース案件 |
案件の参照 案件ステータス(承認済み) |
|
構成変更担当者 |
リリース案件 |
案件の参照 案件ステータス(対応依頼中) 案件の承認 |
なお,設定の際には,プロセスワークボード単位でアクセス権を設定することになります。このため,表5-3の内容をプロセスワークボードごとに整理し直す必要があります。表5-3のうち,インシデント管理プロセスに対するアクセス権を整理した表を次に示します。
アクセス権 |
割り当てユーザー,ロール |
|
---|---|---|
プロセスワークボード管理者※1 |
JP1管理者※2 |
|
案件へのアクセス権※3 |
案件の作成 |
インシデント担当 |
案件の編集 |
− |
|
案件の参照※4 |
インシデント担当,インシデント管理者,問題管理担当,問題管理者 |
|
案件の削除 |
− |
|
エスカレーション |
− |
|
案件の承認 |
インシデント管理者 |
|
案件のクローズ |
インシデント担当 |
|
案件ステータス(受付) |
インシデント担当 |
|
案件ステータス(調査中) |
インシデント担当 |
|
案件ステータス(審議中) |
インシデント管理者 |
|
案件ステータス(承認済み) |
インシデント担当 |
|
案件ステータス(対応依頼中) |
インシデント担当 |
|
案件ステータス(クローズ) |
インシデント担当 |
- 〈この項の構成〉
(1) 運用に向けての検討
次に示す例を参考に,アクセス権の割り当てルールを決めてください。
-
問い合わせ者に問い合わせの状況を見せたい場合には,その問い合わせ者に,該当するプロセスワークボードへの「案件の参照」権限を与えます。
また,これの応用として外部への情報公開用と,内部での調査用にプロセスワークボードを分けて作成,管理することもできます。
- 外部への情報公開用のプロセスワークボードへのアクセス権
-
問い合わせ者:「案件の参照」権限を与えます。
問い合わせ対応者:「案件の参照」「案件の作成」「案件の編集」「案件のクローズ」権限を与えます。
問い合わせ対応者の作業承認者:「案件の参照」「案件の承認」権限を与えます。
- 内部での調査用のプロセスワークボードへのアクセス権
-
各プロセスの各作業者に,役割に応じて適切なアクセス権を与えます。
また,調査用のプロセスワークボードに案件をエスカレーションできるよう,問い合わせ対応者には,該当するプロセスワークボードへの「エスカレーション」権限を与えます。
-
ほかのプロセス担当者が関連案件として内容を参照できるように,そのプロセス担当者に,該当するプロセスワークボードへの「案件の参照」権限を与えます。
-
不特定多数からの案件の登録を防ぐため,特定のユーザー,またはロールだけに「案件の作成」や「エスカレーション」権限を与えます。
-
特定の職位の人だけが案件を承認できるように,その人だけに,該当するプロセスワークボードへの「案件の承認」権限を与えます。
-
案件のクローズを厳密に管理するために,プロセスワークボード管理者,または特定のユーザー,ロールだけに「案件のクローズ」権限を与えます。本当にクローズしてよいかをチェックしてからクローズできます。
-
誤って登録した案件もすべて管理したい場合には,「案件の削除」権限をプロセスワークボード管理者,または特定の職位の人だけに与えます。
-
一時的に特定のプロセスワークボードへのアクセス権を与えたい場合には,アクセス権に該当するユーザーを追加します。役割や部署に応じてアクセス権を与えたい場合には,アクセス権に該当するロールを追加します。
-
共通な案件を処理するために各システムで共通な基盤システムを作成した場合,案件に関係のないユーザーも案件を参照できます。案件に関係するユーザーだけに案件を参照させるためには,案件ごとに参照権限を設定する必要があります。案件ごとに参照権限を設定する場合のアクセス権の設定方法については,「(5) 運用例(案件ごとに参照権限を設定する場合の運用例)」を参照してください。
-
プロセスワークボードごとに,ステータスの初期担当者を決めてください。ステータスの初期担当者を設定することで,[案件作成]画面や[案件編集]画面で案件を作成したり編集したりする際,ステータスを入力すると,担当者にステータスの初期担当者が自動で入力されます。ステータスの初期担当者は,[アクセス権編集]画面で設定してください。
(2) 運用例(サービスサポートの運用状況管理)
企業内システムのインシデント管理,問題管理,変更管理,リリース管理をする情報管理部門の担当者や,さらにその上位の管理者などが,サービスサポートの運用状況を管理するためには,それぞれに適切な権限を割り当てる必要があります。
ここでは,次の図に示すとおり,企業内システムの情報管理部門の担当者を「対象システム管理者」,その上位組織の管理者を「情報システム管理者」として,それぞれの運用状況を確認する運用とした場合を例に説明します。
情報システム管理者は,企業内システム全体の案件の状況を参照して,問題のあるシステムがないかどうかを確認します。長期化している案件の目立つシステムなどの問題点があった場合は,該当するシステムの管理者に対策を指示します。
対象システム管理者は,担当しているシステムの案件の状況を参照して,問題のあるプロセスがないかどうかを確認します。審議中の案件が多いプロセスや,対策期限の迫っている案件があるプロセスなどを確認して,該当するプロセスの管理者をフォローします。
このような運用をする場合,それぞれの管理者に必要な権限を次の表に示します。
管理者名 |
必要な権限 |
説明 |
---|---|---|
情報システム管理者 |
全システムを参照する権限 |
「作業管理ロール」に所属することで,JP1/Service Supportで管理する対象システム,プロセスすべての作業状況を確認できる。 |
対象システム管理者 |
システムN内の全プロセスの参照権限 |
システムN内のプロセスワークボードすべてに対してアクセス権「案件の参照」権限が必要。 |
該当プロセスの管理者 |
担当プロセスの参照権限 |
システムN内の該当するプロセスワークボードに対してアクセス権「案件の参照」権限が必要。 |
(3) 運用例(エスカレーションルート(エスカレーションの経路)の決定)
プロセス間のエスカレーションルート(エスカレーションの経路)は,各プロセス内での処理とは別に検討が必要です。エスカレーションルートは,各プロセスワークボードの担当者に「エスカレーション」権限を設定することで決められます。運用を開始する前にエスカレーションルートを決め,それに合わせた権限設定をしてください。
ここでは,次の図に示すエスカレーションルートで運用する場合を例に説明します。
この例のエスカレーションルートは,インシデント管理,問題管理,変更管理,リリース管理の順で,エスカレーションできるユーザーは,各プロセス担当者全員となっています。この場合,次の流れで権限の設定をします。
-
各プロセス用のロールを作成し,プロセス担当者をそれぞれのロールに所属させる。
担当者ごとに権限を分ける必要がない場合は,ロールを作成し,そのロールに担当者を所属させることをお勧めします。
-
各プロセスにだれからのエスカレーションを受け付けるかを設定する。
各プロセスでだれからのエスカレーションを許可するか設定(アクセス権を設定)することで,エスカレーションルートが決まります。
なお,エスカレーションルートが変更になった場合は,次の図に示すように,エスカレーション先の各プロセスでエスカレーションを許可するための設定を見直す必要があります。
(4) 運用例(案件の処理)
案件の処理の流れに沿って異なる担当者を割り当てる運用とする場合,JP1/Service Support上でスムーズに引き継ぎができるよう,アクセス権を適切に割り当てることが重要です。ここでは,案件を処理する体制に応じて,想定する運用例を四つ説明します。これらを参考に設計してください。
- ヒント
-
担当者間で案件処理の引き継ぎをする場合,引き継ぎ先の担当者に,ステータス変更前の案件に対するアクセス権を割り当ててください。
例えば,ステータス「承認済み」の案件を,ステータス「クローズ」に変更する担当者には「案件のクローズ」権限のほか,「案件の編集」権限またはステータスのアクセス権「承認済み」権限※を割り当ててください。引き継ぎ元の担当者が編集を済ませ,ステータスを「承認済み」にしたときに,次の担当者として引き継ぎ先の担当者を指定できるようになります。
また,これとメール通知機能を組み合わせることで,スムーズな引き継ぎを実現できます。
- 注※
-
「案件の編集」を持つユーザーは,どのステータスの案件に対しても編集できます。ステータスのアクセス権を持つユーザーは,そのステータスのときにだけ編集できます。案件のステータスによって操作できるユーザーを厳密に管理したい場合はステータスのアクセス権を設定してください。
(a) 調査担当者が案件の受付からクローズまで対応する運用の場合
調査担当者だけで案件を処理する場合,次の図に示すようにアクセス権を割り当てます。この例では,個人の作業内容を自己管理する体制での案件処理を想定しています。
図5-6で示した案件処理ごとの,案件処理後の案件のステータスおよび担当者の対応を次に示します。
処理の順序 |
内容 |
案件の ステータス |
案件の担当者 |
---|---|---|---|
1 |
調査担当者が問い合わせを受け付け,案件を作成する。 |
受付 |
調査担当者 |
2 |
調査担当者が調査状況に合わせて案件を更新する。 |
調査中 |
調査担当者 |
3 |
調査担当者が問い合わせ者に回答する。 |
調査中 |
調査担当者 |
4 |
調査担当者が問い合わせ者に回答後,案件をクローズする。 |
クローズ |
調査担当者 |
(b) 調査担当者が案件の処理をし,管理者が承認する運用の場合
調査担当者が案件の処理をし,管理者が承認する運用の場合,次の図に示すようにアクセス権を割り当てます。この例では,個人の作業内容を別の人が承認する体制での案件処理を想定しています。
図5-7で示した案件処理ごとの,案件処理後の案件のステータスおよび担当者の対応を次に示します。
処理の順序 |
内容 |
案件の ステータス |
案件の担当者 |
---|---|---|---|
1 |
調査担当者が問い合わせを受け付け,案件を作成する。 |
受付 |
調査担当者 |
2 |
調査担当者が調査状況に合わせて案件を更新する。 |
調査中 |
調査担当者 |
3 |
調査担当者が管理者に承認依頼をする。 |
審議中 |
管理者 |
4 |
管理者が案件を承認する。承認却下の場合は案件のステータスを「調査中」に変更する。 |
承認済み/調査中 |
調査担当者 |
5 |
調査担当者が問い合わせ者に回答する。 |
承認済み |
調査担当者 |
6 |
エスカレーションが必要な場合,調査担当者が案件をエスカレーションする。 |
対応依頼中 |
調査担当者 |
7 |
調査担当者が問い合わせ者に回答後,案件をクローズする。 |
クローズ |
調査担当者 |
(c) 案件の受付,調査,承認をそれぞれ別の担当者が処理する運用の場合
案件の受付,調査,承認をそれぞれ別の担当者が処理する運用の場合,次の図に示すようにアクセス権を割り当てます。この例では,作業内容に合わせて対応者を細分化した体制での案件処理を想定しています。
図5-8で示した案件処理ごとの,案件処理後の案件のステータスおよび担当者の対応を次に示します。
処理の順序 |
内容 |
案件の ステータス |
案件の担当者 |
---|---|---|---|
1 |
案件管理者が問い合わせを受け付け,案件を作成する。 |
受付 |
案件管理者 |
2 |
案件管理者が調査担当者に調査を依頼する。 依頼を受けて,調査担当者が調査状況に合わせて案件を更新する。 |
調査中 |
調査担当者 |
3 |
調査担当者が承認者に承認依頼をする。 |
審議中 |
承認者 |
4 |
承認者が案件を承認する。承認却下の場合は案件のステータスを「調査中」に変更する。 |
承認済み/調査中 |
調査担当者 |
5 |
調査担当者が問い合わせ者に回答する。 |
承認済み |
案件管理者 |
6 |
エスカレーションが必要な場合,調査担当者が案件をエスカレーションする。 |
対応依頼中 |
調査担当者 |
7 |
調査担当者が問い合わせ者に回答後,案件をクローズする。 |
クローズ |
案件管理者 |
(d) 案件の受付,調査,承認,クローズをそれぞれ別の担当者が処理する運用の場合
案件の受付,調査,承認,クローズをそれぞれ別の担当者が処理する運用の場合,次の図に示すようにアクセス権を割り当てます。この例では,「(c) 案件の受付,調査,承認をそれぞれ別の担当者が処理する運用の場合」の体制を,さらに細分化した体制での案件処理を想定しています。
図5-9で示した案件処理ごとの,案件処理後の案件のステータスおよび担当者の対応を次に示します。
処理の順序 |
内容 |
案件の ステータス |
案件の担当者 |
---|---|---|---|
1 |
受付担当者が問い合わせを受け付け,案件を作成する。 |
受付 |
受付担当者 |
2 |
受付担当者が調査担当者に調査を依頼する。 依頼を受けて,調査担当者が調査状況に合わせて案件を更新する。 |
調査中 |
調査担当者 |
3 |
調査担当者が承認者に承認依頼をする。 |
審議中 |
承認者 |
4 |
承認者が案件を承認する。承認却下の場合は案件のステータスを「調査中」に変更する。 |
承認済み/調査中 |
調査担当者 |
5 |
調査担当者が問い合わせ者に回答する。 |
承認済み |
案件管理者 |
6 |
エスカレーションが必要な場合,調査担当者が別プロセス対応者にエスカレーションを依頼する。 |
承認済み |
別プロセス対応者 |
7 |
別プロセス対応者が案件をエスカレーションする。 |
対応依頼中 |
別プロセス対応者 |
8 |
調査担当者が問い合わせ者に回答後,案件をクローズする。 |
クローズ |
案件管理者 |
(5) 運用例(案件ごとに参照権限を設定する場合の運用例)
複数のシステムに共通な案件を処理するために基盤システムを作成する場合,基盤システムのプロセスワークボードに対して案件ごとに参照権限を設定することによって,該当する案件を関係のないユーザーに参照させないようにすることができます。この場合,システムのプロセスワークボードに対してのアクセス権の設計のほかに,案件ごとに参照権限を所有するユーザーまたはロールを設計する必要があります。
案件ごとに参照権限を設定する場合の,プロセスワークボードのアクセス権の設計手順について説明します。ここでは,システムA,B,C,および基盤システムDのそれぞれのプロセスワークボード「インシデント管理」に対して,案件の処理に必要なロールおよびアクセス権を設計します。
-
システムA,B,Cのインシデント管理に対して,案件の処理に必要なアクセス権を設計する。
システムA,B,Cのインシデント管理に対して案件の処理に必要なアクセス権を設計した例を,次に示します。
システム名:プロセスワークボード名
ロール名
ロールに所属するユーザー
プロセスワークボードのアクセス権
システムA:インシデント管理
roleA1
(一般ロール)
UserA1,UserA2
-
案件の参照
-
案件の編集
-
エスカレーション
roleA2
(管理者ロール)
UserA3,UserA4
-
案件の参照
-
案件の編集
-
エスカレーション
-
案件の承認
システムB:インシデント管理
roleB1
(一般ロール)
UserB1,UserB2
-
案件の参照
-
案件の編集
-
エスカレーション
roleB2
(管理者ロール)
UserB3,UserB4
-
案件の参照
-
案件の編集
-
エスカレーション
-
案件の承認
システムC:インシデント管理
roleC1
(一般ロール)
UserC1,UserC2
-
案件の参照
-
案件の編集
-
エスカレーション
roleC2
(管理者ロール)
UserC3,UserC4
-
案件の参照
-
案件の編集
-
エスカレーション
-
案件の承認
-
-
基盤システムDのインシデント管理に対して,案件の処理に必要なアクセス権を設計する。
ここでは,各システムからエスカレーションされた案件の処理を考慮する必要はありません。
基盤システムDのインシデント管理に対して案件の処理に必要なアクセス権を設計した例を,次に示します。
システム名:プロセスワークボード名
ロール名
ロールに所属するユーザー
プロセスワークボードのアクセス権
基盤システムD:インシデント管理
roleD1
(一般ロール)
UserD1,UserD2
-
案件の参照
-
案件の編集
-
エスカレーション
roleD2
(管理者ロール)
UserD3,UserD4
-
案件の参照
-
案件の編集
-
エスカレーション
-
案件の承認
-
-
基盤システムDのインシデント管理で必要となるロールとメンバーを設計する。
各システムからエスカレーションされた案件を処理するためのロールを設計する必要があります。この手順では,システムA,B,Cと基盤システムDのプロセスワークボードに設定したロールのメンバーを一つにまとめ,基盤システムDのインシデント管理で必要となるロールを設計します。
基盤システムDのインシデント管理に対して案件の処理に必要となるロールとメンバーを設計した例を,次に示します。
ロール名
ロールに所属するユーザー
説明
roleAD
(統合ロール)
UserA1,UserA2,
UserA3,UserA4,
UserD1,UserD2,
UserD3,UserD4
システムAと基盤システムDのユーザーを一つにまとめたロール。
roleBD
(統合ロール)
UserB1,UserB2,
UserB3,UserB4,
UserD1,UserD2,
UserD3,UserD4
システムBと基盤システムDのユーザーを一つにまとめたロール。
roleCD
(統合ロール)
UserC1,UserC2,
UserC3,UserC4,
UserD1,UserD2,
UserD3,UserD4
システムCと基盤システムDのユーザーを一つにまとめたロール。
-
手順3で設計した基盤システムDのインシデント管理で必要なロールに対して,案件の参照権限を設定する。
手順1〜3で設計した各システムのロール,ロールに所属するメンバー,およびアクセス権を基に,基盤システムDのインシデント管理に必要となるロール,メンバー,およびアクセス権を,再度設計します。再度設計した基盤システムDのインシデント管理に必要となるロール,ロールに所属するメンバー,およびアクセス権の例を,次に示します。
システム名:プロセスワークボード名
ロール名
ロールに所属するユーザー
プロセスワークボードのアクセス権
基盤システムD:インシデント管理
roleD1
UserD1,UserD2
-
案件の参照
-
案件の編集
-
エスカレーション
roleD2
UserD3,UserD4
-
案件の参照
-
案件の編集
-
エスカレーション
-
案件の承認
roleAD
(統合ロール)
UserA1,UserA2,
UserA3,UserA4,
UserD1,UserD2,
UserD3,UserD4
-
案件の参照
roleBD
(統合ロール)
UserB1,UserB2,
UserB3,UserB4,
UserD1,UserD2,
UserD3,UserD4
-
案件の参照
roleCD
(統合ロール)
UserC1,UserC2,
UserC3,UserC4,
UserD1,UserD2,
UserD3,UserD4
-
案件の参照
-
上記の手順で設計したアクセス権を適用した場合の運用例を,次の図に示します。この運用例では,システムAのインシデント管理の案件A1を基盤システムDにエスカレーションする際に,案件A1に対して案件の参照権限所有者としてroleADを設定しています。UserB1〜UserB4およびUserC1〜UserC4は,基盤システムDのインシデント管理に登録されている案件の参照権限が設定されていますが,案件A1の参照権限が設定されていないため,基盤システムDのインシデント管理に登録された案件A1を参照できません。