7.1.1 JP1/Baseのユーザー認証機能を使ったユーザー管理
JP1/AJS3では,JP1/Baseのユーザー認証機能を使ってユーザーのログイン認証や操作権限を管理します。
JP1/Baseのユーザー認証とは,JP1/AJS3 - Viewや他JP1シリーズプログラム(JP1/IM)からのログイン認証,およびログインしたユーザーの操作権限を制御する機能です。ログイン認証やログインしたユーザーの操作権限を管理するJP1/Baseを認証サーバといいます。この認証サーバに,JP1/AJS3を使用するユーザーをJP1ユーザーとして登録し,各JP1ユーザーにユニットの操作権限を設定します。認証サーバ以外のサーバのJP1/Baseでは,認証サーバとされているホストを定義しておきます。これによって,JP1/AJS3 - Viewから他ホストへのログイン時には,認証サーバに登録されているJP1ユーザー情報を基にログインの可否や操作権限が決定されます。ユーザー認証の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZUF08010.GIF)
この例では,HostAを認証サーバとします。HostB,HostCには,認証サーバとしてHostAが指定されているため,HostA,HostB,HostCは同一認証圏となります。認証サーバのHostAには,JP1ユーザーとしてjp1user1が登録されています。この場合に,jp1user1というJP1ユーザーとjp1user2というJP1ユーザーがHostBへのログインを試みたとき,HostBの認証サーバであるHostAが,登録されているJP1ユーザー情報を基にその可否を判断します。例の場合,jp1user2は認証サーバに登録されていないため,ログインできないと判断されます。
- 注意事項
-
JP1/IM - Viewの[統合機能メニュー]画面からJP1/AJS3 - Viewを起動した場合,起動元と認証圏の異なるJP1/AJS3 - Managerにログインすると認証エラーになります。
この場合,JP1/AJS3 - Viewのログイン画面が表示されます。ユーザー名とパスワードを入力してログインしてください。
また,ユーザー名やパスワードの入力誤りなど,そのほかのエラーの場合でも,JP1/AJS3 - Viewのログイン画面が表示されます。ユーザー名とパスワードを入力してログインしてください。
- 〈この項の構成〉
(1) JP1ユーザーの登録
JP1/AJS3やJP1シリーズプログラムを使用するユーザーをJP1ユーザーといいます。JP1ユーザーは,認証サーバに登録します。登録する際には,JP1ユーザー名とともに,ログインの際に使用するパスワードを指定します。
ここで登録したJP1ユーザーは,JP1/AJS3だけでなく他JP1シリーズプログラム(JP1/IM)でも適用されます。
(2) アクセス権限の設定
JP1/AJS3のユニットに対する操作権限をアクセス権限といいます。アクセス権限は,JP1ユーザーごとに設定します。
アクセス権限は,JP1資源グループというグループごとに,JP1権限レベルと呼ばれる操作権限を設定していきます。
-
ジョブネット定義・実行時のアクセス権限
-
ジョブの実行・操作時のアクセス権限
-
エージェント管理情報のアクセス権限
それぞれのJP1権限レベルについて説明します。
- ジョブネット定義・実行時のアクセス権限
-
-
JP1_AJS_Admin
管理者権限です。ユニットの所有者や資源グループの操作権限,ジョブネットの定義・実行・編集権限などを持っています。
-
JP1_AJS_Manager
ジョブネットの定義・実行・編集権限などを持っています。
-
JP1_AJS_Editor
ジョブネットの定義・編集権限などを持っています。
-
JP1_AJS_Operator
ジョブネットの実行・参照権限などを持っています。
-
JP1_AJS_Guest
ジョブネットの参照権限などを持っています。
-
- ジョブの実行・操作時のアクセス権限
-
-
JP1_JPQ_Admin
管理者権限です。ジョブ実行環境の設定権限,キューやジョブ実行先エージェントの操作権限,他ユーザーがキューイングしたジョブの操作権限を持っています。
-
JP1_JPQ_Operator
キューやジョブ実行先エージェントの操作権限,他ユーザーがキューイングしたジョブの操作権限を持っています。
-
JP1_JPQ_User
サブミットジョブの登録や,自分がキューイングしたジョブの操作権限を持っています。
-
- エージェント管理情報のアクセス権限
-
-
JP1_JPQ_Admin
管理者権限です。実行エージェントや実行エージェントグループの定義を追加・変更・削除する権限を持っています。
-
JP1_JPQ_Operator
実行エージェントや実行エージェントグループの受付配信制限の状態を変更する権限を持っています。
-
JP1_JPQ_User
実行エージェントや実行エージェントグループの状態および定義内容を参照する権限を持っています。
-
各JP1権限レベルで操作できる詳細な内容については,マニュアル「JP1/Automatic Job Management System 3 設計ガイド(業務設計編) 6.4.1(2) 設定するJP1権限レベルの検討」を参照してください。
- 補足事項
-
JP1ユーザーにマッピングされているOSユーザーがAdministrators権限またはスーパーユーザー権限を持つユーザーの場合,ユニットに対するアクセス権限は,次のようになります。
-
ジョブネット定義・実行時のアクセス権限(JP1_AJSのアクセス権限)
JP1権限レベルに関係なく,すべての操作を実行できます。
-
ジョブの実行・操作時のアクセス権限,およびエージェント管理情報のアクセス権限(JP1_JPQのアクセス権限)
JP1ユーザーに設定されているJP1権限レベルの範囲で操作できます。
ただし,環境設定パラメーターADMACLIMITをデフォルトから変更して「yes」に設定している場合は,すべての操作がJP1権限レベルの範囲に制限されます。
環境設定パラメーターADMACLIMITの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 20.11.2(4) ADMACLIMIT」を参照してください。
-
JP1資源グループは,JP1/AJS3の各ユニットへのJP1ユーザーのアクセス制御を実施する場合にユニット側に設定するものです。
例えば,ジョブネットAというユニットにkeiriというJP1資源グループが設定されているとします。一方,認証サーバには,jp1user1というJP1ユーザーに資源グループkeiriに対するJP1権限レベルとしてJP1_AJS_Operator,資源グループeigyoに対するJP1権限レベルとしてJP1_AJS_Editorが設定されているとします。この場合,ジョブネットAに対してjp1user1というJP1ユーザーは,keiriという資源グループに設定されているJP1_AJS_Operatorの持つ権限で操作できます。したがって,この場合はジョブネットAを実行登録または登録解除したり,スケジュールの一時変更やジョブの状態を変更したりできます。ただし,ジョブネットAの定義内容を変更したり,削除したりすることはできません。なお,ジョブネットAにeigyoというJP1資源グループが設定されている場合は,ジョブネットAの定義内容を変更したり,削除したりできますが,実行登録または登録解除したり,スケジュールやジョブの状態を一時変更したりすることはできません。また,ジョブネットAにjinjiというJP1資源グループが設定されている場合,jp1user1はジョブネットAに対する一切の権限がないためアクセスできません。ただし,jp1user1がAdministrators(Windowsの場合)権限またはスーパーユーザー(UNIXの場合)権限を持つ場合は,デフォルトではJP1資源グループのJP1権限レベルに関係なく操作できます。
このように,JP1/AJS3の各ユニットに対するJP1ユーザーのアクセス制御は,JP1/AJS3のユニット側にJP1資源グループが設定されることで有効になります。したがって,ユニット側にJP1資源グループが設定されていない場合は,JP1ユーザーの権限によるアクセス制御は行われません。