6.4.1 アクセス権限についての検討項目
登録するJP1ユーザーの検討が終了したら,そのJP1ユーザーに,「どのようなグループ(JP1資源グループ)に対して,どのようなアクセス権限(JP1権限レベル)を許可するのか」ということを検討してください。
- 〈この項の構成〉
(1) 定義するJP1資源グループの検討
JP1/AJS3のユニットのアクセス権限は,幾つかのグループに分けて管理します。このグループをJP1資源グループと呼びます。JP1資源グループには,任意の名称を定義できます。例えば,資材部や人事部などの部署ごとに,「purchasingdep」や「personneldep」というような,部署を意味する名称を定義できます。
各JP1資源グループには,それぞれアクセス権限を設定できます。JP1資源グループに対するアクセス権限は,JP1ユーザーに対して関連づけます。JP1ユーザーは,関連づけられたJP1資源グループのユニットに対して,設定されたアクセス権限の範囲内だけで操作できるようになります。
どのJP1資源グループにも所属していないユニットは,アクセス制御の対象になりません。そのため,すべてのJP1ユーザーが参照したり,変更したりできてしまいます。また,どのJP1ユーザーにも関連づけられていないJP1資源グループは,どのJP1ユーザーからもアクセスできなくなってしまいます。JP1/AJS3を運用していく上で,すべてのJP1ユーザーがすべてのユニットに対して適切なアクセス権限を保持できるように,次のこと検討しておくことを推奨します。
-
すべてのユニットに,JP1資源グループを設定してあるか
-
すべてのJP1資源グループは,適切なアクセス権限を設定した上でJP1ユーザーと関連づけてあるか
-
すべてのJP1ユーザーに,適切なJP1資源グループが関連づけられているか
また,一人のJP1ユーザーに対して複数のJP1資源グループを関連づけることもできます。例えば,一人のJP1ユーザーに,総務部のJP1資源グループと営業部のJP1資源グループを関連づけられます。これによって,一人のJP1ユーザーに対する総務部と営業部のJP1資源グループのアクセス権限を,別々に制御できます。
(2) 設定するJP1権限レベルの検討
JP1資源グループに対して,どのような操作ができるかを表したものをJP1権限レベルと呼びます。
JP1権限レベルは,JP1ユーザーに関連づけられているJP1資源グループごとに設定します。例えば,一人のJP1ユーザーに総務部のJP1資源グループと営業部のJP1資源グループが関連づけられている場合,総務部のJP1資源グループにはユニットを実行・編集できるJP1権限レベルを,営業部のJP1資源グループにはユニットを参照できるJP1権限レベルを設定できます。この場合,このJP1ユーザーは,総務部のJP1資源グループのユニットを実行・編集できる権限と,営業部のJP1資源グループのユニットを参照できる権限を持ちます。
JP1権限レベルには次の3種類があります。
-
ジョブネット定義・実行時のアクセス権限
-
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限
-
エージェント管理情報操作時のアクセス権限
それぞれのJP1権限レベル名と操作できる内容を以降に示します。これらの内容を参照して,設定するJP1権限レベルを検討してください。
(a) ジョブネット定義・実行時のアクセス権限
ジョブネット定義・実行時のアクセス権限には,次の5種類があります。
-
管理者権限です。ユニットの所有者やJP1資源グループの操作権限,ジョブネットの定義・実行・編集権限などを持っています。
-
ジョブネットの定義・実行・編集権限などを持っています。
-
ジョブネットの定義・編集権限などを持っています。
-
ジョブネットの実行・参照権限などを持っています。
-
ジョブネットの参照権限などを持っています。
ジョブネット定義・実行時のJP1権限レベル名と詳細な操作内容を次の表に示します。
|
操作内容 |
JP1_AJS_Admin |
JP1_AJS_Manager |
JP1_AJS_Editor |
JP1_AJS_Operator |
JP1_AJS_Guest |
|---|---|---|---|---|---|
|
所有者権限※1を持たないユニットの所有者,JP1資源グループ名,またはジョブの実行ユーザー種別を変更する |
○ |
− |
− |
− |
− |
|
ユニットを定義する |
○ |
○ |
○ |
− |
− |
|
ジョブネット配下のユニットの定義内容を変更する |
○ |
○※2 |
○※2 |
− |
− |
|
ジョブネットの定義内容を変更する |
○ |
○ |
○ |
− |
− |
|
ユニットをコピー・移動したり,名称を変更したりする※3 |
○ |
○ |
○ |
− |
− |
|
ユニットを削除する※4 |
○ |
○ |
○ |
− |
− |
|
ユニット名を標準出力ファイルに出力する |
○ |
○ |
○ |
○ |
○ |
|
ユニットの定義内容を標準出力ファイルに出力する |
○ |
○ |
○ |
○ |
○ |
|
ユニットを退避する |
○ |
○ |
○ |
○ |
○ |
|
ユニットを回復する |
○ |
○ |
○ |
− |
− |
|
ジョブグループにカレンダー情報を定義する |
○ |
○ |
○ |
− |
− |
|
特定期間について,ジョブネットの実行スケジュールを定義する |
○ |
○ |
○ |
○ |
○ |
|
定義済みのジョブネットを実行登録する |
○ |
○ |
− |
○ |
− |
|
ジョブネットの実行登録を解除する |
○ |
○ |
− |
○ |
− |
|
ジョブネットをリリース登録する |
○ |
○ |
○※5 |
○※5 |
− |
|
ジョブネットのリリースを中止する |
○ |
○ |
○※5 |
○※5 |
− |
|
ジョブネットのリリース情報を参照する |
○ |
○ |
○ |
○ |
○ |
|
ジョブネットやジョブの実行履歴,現在の状態,次回実行予定などを標準出力ファイルに出力する |
○ |
○ |
○ |
○ |
○ |
|
ジョブネットに定義されたスケジュールを一時的に変更する |
○ |
○ |
− |
○ |
− |
|
ジョブの状態を一時的に変更する |
○ |
○ |
− |
○ |
− |
|
ジョブの状態を変更する |
○ |
○ |
− |
○ |
− |
|
ジョブネットの実行を中断する |
○ |
○ |
− |
○ |
− |
|
ジョブネットを再実行する |
○ |
○ |
− |
○ |
− |
|
ジョブやジョブネットの実行を強制終了させる |
○ |
○ |
− |
○ |
− |
|
ユニットをエクスポートする |
○ |
○ |
○ |
○ |
○ |
|
ユニットをインポートする |
○ |
○ |
○ |
− |
− |
|
ジョブネットの実行登録状態をエクスポートする |
○ |
○ |
○ |
○ |
○ |
|
ジョブネットの実行登録状態をインポートする |
○ |
○ |
− |
○ |
− |
- (凡例)
-
○:操作できる。
−:操作できない。
- 注※1
-
ユニットに所有者が設定されていない場合は,すべてのユーザーがJP1資源グループ名,所有者,および実行ユーザー種別を変更できます。
ユニットの所有者権限については,「(3) ユニットの所有者権限」を参照してください。
- 注※2
-
ジョブの詳細定義を変更する場合,ジョブの実行ユーザー種別によって変更できる項目が異なります。詳細については,「(6) ジョブの定義変更とアクセス権限」を参照してください。
- 注※3
-
コピー・移動したり,名称を変更したりするユニットの上位ユニットが操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを移動する場合,ユニット/AAA/BBBに設定されているJP1資源グループに対し,該当する権限が必要です。コピー・移動したり,名称を変更したりするユニットに対しては,次のような権限が必要です。
コピーの場合は,コピー元ユニット(配下のユニットも含む)に設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。
移動の場合は,移動するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
名称の変更の場合は,名称を変更するユニットに設定されているJP1資源グループに対し,JP1_AJS_Admin,JP1_AJS_Manager,またはJP1_AJS_Editorの権限が必要です。
- 注※4
-
削除するユニットの上位ユニットも操作対象ユニットです。例えば,/AAA/BBB/CCCというユニットを削除する場合,ユニット/AAA/BBB/CCC(配下のユニットも含む)に設定されているJP1資源グループおよびユニット/AAA/BBBに設定されているJP1資源グループに対し,該当する権限が必要です。
- 注※5
-
JP1_AJS_EditorおよびJP1_AJS_Operatorの両方の権限が必要です。
これは,リリース登録およびリリース中止の操作によって,ジョブネットの定義変更と,定義変更されたジョブネットの実行登録が行われるためです。
ユニットを操作するJP1ユーザーには,操作対象となるユニットに設定されているJP1資源グループに対して該当の操作権限が必要です。また,上位ユニットに設定されているJP1資源グループに対しては,JP1_AJS_Admin,JP1_AJS_Manager,JP1_AJS_Editor,JP1_AJS_Operator,またはJP1_AJS_Guestの権限が必要です。
ユニットを操作するJP1ユーザーにマッピングされているOSユーザーがAdministrators権限またはスーパーユーザー権限を持つユーザーの場合,JP1権限レベルに関係なく,すべての操作を実行できます。ユニットを操作するコマンドを実行する場合も,環境変数JP1_USERNAMEに設定したJP1ユーザーの権限に関係なく,すべての操作を実行できます。ただし,環境設定パラメーターADMACLIMITをデフォルトから変更して「yes」に設定しているときは,実行できる操作はJP1権限レベルの範囲の操作だけです。
環境設定パラメーターADMACLIMITの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 20.11.2(4) ADMACLIMIT」を参照してください。
ユニットにJP1資源グループが設定されていない場合は,そのユニットに対して,すべてのユーザーがJP1/AJS3のすべての操作を実行できます。
- 注意事項
-
-
マネージャージョブグループ,マネージャージョブネットでは,参照先のJP1/AJS3 - Managerのアクセス権限が適用されます。
-
JP1/AJS3 - Viewが接続している間,JP1/AJS3 - Manager上で,アクセス権限の情報をキャッシュに保持しています。このため,アクセス権限の変更が,接続中のJP1/AJS3 - Viewに反映されないことがあります。アクセス権限を変更する場合には,接続中のJP1/AJS3 - Viewをログアウトし,アクセス権限を変更後,再度ログインしてください。
-
(b) QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限には,次の3種類があります。
-
管理者権限です。ジョブ実行環境の設定権限,キューやジョブ実行先エージェントの操作権限,ほかのユーザーがキューイングしたジョブの操作権限を持っています。
-
キューやジョブ実行先エージェントの操作権限,ほかのユーザーがキューイングしたジョブの操作権限を持っています。
-
サブミットジョブの登録や,自分がキューイングしたジョブの操作権限を持っています。
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のアクセス権限の設定では,JP1資源グループ「JP1_Queue」に対して,これらのJP1権限レベルを持たせるように設定します。「JP1_Queue」は,大文字・小文字を間違えないように入力してください。
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時のJP1権限レベル名と詳細な操作内容を次の表に示します。
|
操作内容 |
JP1_JPQ_ Admin |
JP1_JPQ_ Operator |
JP1_JPQ_ User |
|---|---|---|---|
|
サブミットジョブを登録する |
○ |
○ |
○ |
|
ジョブの実行をキャンセル,または強制終了する |
○ |
○ |
△ |
|
ジョブの実行を保留,または保留解除する |
○ |
○ |
△ |
|
ジョブを移動する |
○ |
○ |
△ |
|
ジョブ情報を出力する |
○ |
○ |
△ |
|
終了ジョブ情報を出力する |
○ |
○ |
△ |
|
データベースから終了ジョブ情報を削除する |
○ |
○ |
− |
|
キューを開く |
○ |
○ |
− |
|
キューを閉じる |
○ |
○ |
− |
|
キューを追加する |
○ |
− |
− |
|
キューを削除する |
○ |
− |
− |
|
キュー情報を出力する |
○ |
○ |
○ |
|
キューの定義を変更する |
○ |
− |
− |
|
キューをエージェントに接続する |
○ |
− |
− |
|
キューとエージェントの接続を解除する |
○ |
− |
− |
|
ジョブ実行多重度を変更する |
○ |
− |
− |
|
エージェントを追加する |
○ |
− |
− |
|
エージェントを削除する |
○ |
− |
− |
|
エージェントホスト情報を出力する |
○ |
− |
− |
|
排他実行リソースを追加する |
○ |
− |
− |
|
排他実行リソースを削除する |
○ |
− |
− |
|
排他実行リソース情報を出力する |
○ |
○ |
○ |
- (凡例)
-
○:操作できる。
△:操作できるが,ほかのユーザーが実行したジョブは操作できない。
−:操作できない。
- 注意事項
-
QUEUEジョブ,サブミットジョブ実行環境で使用するコマンドの実行・操作時は,処理要求先マネージャーのアクセス権限の定義が適用されます。
(c) エージェント管理情報操作時のアクセス権限
エージェント管理情報操作時のアクセス権限には,次の3種類があります。
-
管理者権限です。実行エージェントや実行エージェントグループの定義を追加・変更・削除する権限を持っています。
-
実行エージェントや実行エージェントグループの受付配信制限の状態を変更する権限を持っています。
-
実行エージェントや実行エージェントグループの状態および定義内容を参照する権限を持っています。
エージェント管理情報操作時のアクセス権限の設定では,JP1資源グループ「JP1_Queue」に対して,これらのJP1権限レベルを持たせるように設定します。「JP1_Queue」は,大文字・小文字を間違えないように入力してください。
エージェント管理情報操作時のJP1権限レベル名と詳細な操作内容を次に示します。
|
操作内容 |
JP1_JPQ_ Admin |
JP1_JPQ_ Operator |
JP1_JPQ_ User |
|---|---|---|---|
|
実行エージェントを追加する |
○ |
− |
− |
|
実行エージェントグループを追加する |
○ |
− |
− |
|
実行エージェントを削除する |
○ |
− |
− |
|
実行エージェントグループを削除する |
○ |
− |
− |
|
実行エージェントの実行ホストを変更する |
○ |
− |
− |
|
実行エージェントのジョブ実行多重度を変更する |
○ |
− |
− |
|
実行エージェントの説明文を変更する |
○ |
− |
− |
|
実行エージェントグループの説明文を変更する |
○ |
− |
− |
|
実行エージェントグループに接続する実行エージェントを追加する |
○ |
− |
− |
|
実行エージェントグループに接続されている実行エージェントの優先順位を変更する |
○ |
− |
− |
|
実行エージェントグループに接続されている実行エージェントを接続先から解除する |
○ |
− |
− |
|
実行エージェントの受付配信制限の状態を変更する |
○ |
○ |
− |
|
実行エージェントグループの受付配信制限の状態を変更する |
○ |
○ |
− |
|
実行エージェントの状態を表示する※ |
○ |
○ |
○ |
|
実行エージェントグループの状態を表示する※ |
○ |
○ |
○ |
|
すべての実行エージェントと実行エージェントグループの状態を表示する※ |
○ |
○ |
○ |
|
すべての実行エージェントと実行エージェントグループの名称を表示する※ |
○ |
○ |
○ |
|
実行エージェントの定義を出力する※ |
○ |
○ |
○ |
|
実行エージェントグループの定義を出力する※ |
○ |
○ |
○ |
|
すべての実行エージェントと実行エージェントグループの定義を出力する※ |
○ |
○ |
○ |
- (凡例)
-
○:操作できる。
−:操作できない。
- 注※
-
Administrators権限またはスーパーユーザー権限を持つユーザーは,JP1権限レベルに関係なく操作できます。
(3) ユニットの所有者権限
ジョブやジョブネットを定義したユーザーは,そのジョブやジョブネットの所有者として設定され,所有者権限を持ちます。所有者権限を持つと,JP1権限レベルに関係なく,次の設定を変更できます。
-
JP1資源グループ名
-
所有者
-
実行ユーザー種別(ジョブの場合)
ただし,所有者であっても,ユニットのJP1資源グループに対して参照権限が与えられていない場合は,JP1/AJS3 - Viewでユニットの詳細定義ダイアログボックスを表示できません。そのため,JP1/AJS3 - ViewからJP1資源グループ名,所有者,および実行ユーザー種別を変更できません。所有者のままこれらの設定を変更したい場合は,ajschangeコマンドを実行して,JP1資源グループを,所有者に参照権限が与えられているJP1資源グループに変更してください。ajschangeコマンドの詳細については,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス 3. 通常の運用で使用するコマンド ajschange」を参照してください。
なお,ユニットに所有者が設定されていない場合は,すべてのユーザーがJP1資源グループ名,所有者,および実行ユーザー種別を変更できます。
(4) ユニットの新規作成,コピー,またはリリース登録時のアクセス権限
ユニットを新規作成,コピー,またはリリース登録すると,ユニットの所有者およびJP1資源グループは,デフォルトでは次のように設定されます。
- ユニットをJP1/AJS3 - Viewで新規作成した場合
-
所有者:ユニットを作成したJP1ユーザー
JP1資源グループ:上位ユニットのJP1資源グループ
- ユニットをajsdefineコマンドで新規作成した場合
-
所有者:ユニット定義ファイルで設定した所有者
JP1資源グループ:ユニット定義ファイルで設定したJP1資源グループ
- ユニットをJP1/AJS3 - Viewまたはajscopyコマンドでコピーした場合
-
所有者:ユニットをコピーしたJP1ユーザー
JP1資源グループ:コピー元ユニットのJP1資源グループ
- ユニットをJP1/AJS3 - Viewまたはajsreleaseコマンドでリリース登録した場合
-
所有者:リリース元ユニットの所有者
JP1資源グループ:リリース元ユニットのJP1資源グループ
- JP1/AJS3 - Definition Assistantで一括または単独でエクスポートしてユニットを新規作成した場合
-
所有者:定義情報管理テンプレートで設定した所有者
JP1資源グループ:定義情報管理テンプレートで設定したJP1資源グループ
新規作成,コピー,またはリリース登録したユニットの所有者やJP1資源グループを,上位のユニットから継承するように設定することもできます。この機能を,上位ユニット属性継承機能といいます。この機能を使用することで,システム内のユニットの所有者を統一して運用したい場合に,新規作成,コピー,またはリリース登録したユニットの所有者,およびJP1資源グループを変更する必要がなくなります。
- 注意事項
-
リリース登録によって,リリース先のユニットのJP1資源グループを変更することは推奨しません。リリース登録によってJP1資源グループを変更した場合,リリース後でも,リリース前のユニットにアクセスできるJP1ユーザーでコマンドおよびJP1/AJS3 - Viewを操作する必要があります。
(a) 上位ユニット属性継承機能の概要
上位ユニット属性継承機能は,ジョブグループまたはジョブネットに対して設定します。上位ユニット属性継承機能を設定したジョブグループまたはジョブネット配下に,ユニットを新規作成したり,コピーして作成したり,またはリリース先としてリリース登録したりすると,作成したユニットは上位のユニットの所有者やJP1資源グループを継承します。なお,定義済みのユニットや,切り取って貼り付けたユニットの場合,所有者やJP1資源グループは変更されません。
上位ユニット属性継承機能の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZG060030.GIF)
上位ユニット属性継承機能を設定していない場合,ジョブ1をジョブネットBの配下にコピーすると,コピーして作成されたジョブ1の所有者はコピー操作をしたJP1ユーザーの「jp1userX」が,JP1資源グループはコピー元ユニットの「eigyou」が設定されます。
上位ユニット属性継承機能を設定している場合,ジョブ1をジョブネットBの配下にコピーすると,コピーして作成されたジョブ1の所有者およびJP1資源グループは,ジョブネットBの設定を継承します。
2階層以上のユニット構成で上位ユニット属性継承機能を設定している場合,新規作成したユニットおよびコピーして作成したユニットの所有者およびJP1資源グループは,作成したユニットの一つ上の階層のユニットの所有者およびJP1資源グループを継承します。
2階層以上のユニット構成で上位ユニット属性継承機能を設定している場合の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZG060035.GIF)
この例では,ジョブグループBに上位ユニット属性継承機能を設定しています。ジョブネットAの配下にあるジョブ1をジョブネットBの配下にコピーすると,コピーして作成したジョブ1の所有者およびJP1資源グループの設定は,作成したユニットの一つ上の階層のユニットであるジョブネットBの設定を継承します。ジョブグループBの設定は継承しません。
- 注意事項
-
-
上位ユニット属性継承機能は,バージョン09-50以降のJP1/AJS3 - Managerで使用できます。ただし,バージョン09-50以降のJP1/AJS3 - Managerにバージョン09-10以前のJP1/AJS3 - Viewで接続している場合,コピーしたユニットは上位ユニットの設定を継承できますが,新規作成したユニットは上位ユニットの設定を継承できません。
-
ajsrestoreコマンドまたはJP1/AJS3 - Viewによるユニットの回復,およびajsimportコマンドによるユニットのインポートは,元の定義の復元を目的としています。そのため,復元先の上位ユニットに上位ユニット属性継承機能を設定していても,上位ユニット属性継承機能は有効になりません。
-
ジョブネットをリリース登録する場合,リリース先の上位ユニットに上位ユニット属性継承機能を設定すると,上位ユニット属性継承機能の設定が優先されます。リリース元のユニットの所有者,およびJP1資源グループを優先する場合は,リリース先の上位ユニットに上位ユニット属性継承機能を設定しないか,リリース元とリリース先は同じユニット属性になるようユニット属性プロファイルを定義してください。
-
コピーして作成するユニットのユニット完全名が,上位ユニット属性継承機能を設定するユニットの完全名と同じ場合,コピーして作成するユニットは,コピー元ユニットの所有者およびJP1資源グループの設定が維持されます。
-
(b) 上位ユニット属性継承機能の設定
上位ユニット属性継承機能は,ユニット属性プロファイルで設定します。ユニット属性プロファイルには,上位ユニット属性継承機能を設定するユニットの完全名,および上位ユニット属性継承機能の設定方法を設定します。
-
上位ユニット属性継承機能を設定するユニットの完全名
上位ユニット属性継承機能を設定するジョブグループまたはジョブネットの完全名を指定します。スケジューラーサービス配下のすべてのユニットに設定する場合は,「/」を指定します。
なお,ここで指定するユニットは,実行ユーザー固定機能を設定するユニットと共通です。実行ユーザー固定機能については,「(5) ジョブの実行ユーザー」を参照してください。
-
上位ユニット属性継承機能の設定方法
上位ユニット属性継承機能の設定方法を,次のどちらかの値で指定します。
- entryuser
-
上位ユニット属性継承機能を設定したジョブグループまたはジョブネットの配下のユニットが,所有者およびJP1資源グループを上位ユニットから継承します。ただし,実行ユーザー種別が所有ユーザーに設定されているジョブをコピーして作成した場合は,上位ユニットの設定を継承しないで,コピー元ユニットの設定を維持します。
- all
-
上位ユニット属性継承機能を設定したジョブグループまたはジョブネットの配下のユニットが,所有者およびJP1資源グループを上位ユニットから継承します。実行ユーザー種別が所有ユーザーに設定されているジョブをコピーして作成した場合でも,上位ユニットの設定を継承します。
上位ユニット属性継承機能の設定方法の違いを,次の図に示します。
図6‒4 上位ユニット属性継承機能の設定方法の違い(上位ユニット属性継承機能の設定方法がentryuserの場合) ![[図データ]](GRAPHICS/ZG060040.GIF)
この例では,上位ユニット属性継承機能の設定方法をentryuserにしています。ジョブ1およびジョブ2をジョブネットB配下にコピーすると,ジョブ1は実行ユーザー種別が登録ユーザーに設定されているため,ジョブネットBの所有者およびJP1資源グループの設定を継承します。一方,ジョブ2は実行ユーザー種別が所有ユーザーに設定されているため,コピー元ユニットの所有者およびJP1資源グループの設定を維持します。
図6‒5 上位ユニット属性継承機能の設定方法の違い(上位ユニット属性継承機能の設定方法がallの場合) ![[図データ]](GRAPHICS/ZG060041.GIF)
この例では,上位ユニット属性継承機能の設定方法をallにしています。ジョブ1およびジョブ2をジョブネットB配下にコピーすると,ジョブ1およびジョブ2は両方ともジョブネットBの所有者およびJP1資源グループの設定を継承します。
- 補足事項
-
同一ユニット配下で,異なる階層にある複数のユニットに対して上位ユニット属性継承機能を設定している場合,その配下のユニットは,最も近い上位のユニットの設定方法を優先します。例えば,ジョブグループとそのジョブグループ配下にあるジョブネットの両方に上位ユニット属性継承機能の設定している場合,ジョブネット配下のジョブは,ジョブネットの設定方法を優先します。
ユニット属性プロファイルの設定方法については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.1.3 上位ユニット属性継承機能と実行ユーザー固定機能の設定手順」を参照してください。ユニット属性プロファイルの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.1.4 ユニット属性プロファイルの詳細」を参照してください。
(c) 上位ユニット属性継承機能の使用例
上位ユニット属性継承機能の使用例について説明します。
ここでは,次のような方針でジョブネットを定義することを想定します。
- アクセス権限の定義方針
-
すべてのユニットのアクセス権(所有者およびJP1資源グループ)は,所有者「user1」,JP1資源グループ「keiri」に統一する。
- ユニットの定義方針
-
-
マネージャーホストに複数のJP1ユーザーがJP1/AJS3 - Viewで接続し,それぞれのJP1ユーザーが担当業務のユニットを定義する。
-
テスト用のジョブグループ「テスト」でジョブネットAを作成し,配下にジョブ1とジョブ2を定義する。
-
ジョブネットAをジョブグループ「テスト」でテストしたあと,ジョブネットAを本番用のジョブグループ「本番」の配下にコピーし,運用を開始する。
-
なお,マネージャーホスト環境は構築済みであり,ジョブグループ「テスト」および「本番」は作成済みとします。また,ジョブグループ「本番」の所有者には「user1」を,JP1資源グループには「keiri」を設定します。
このようなジョブネットを,上位ユニット属性継承機能を使用して定義する例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZG060043.GIF)
この例では,JP1ユーザーのjp1userA,jp1userB,およびjp1userCが,それぞれJP1/AJS3 - Viewでマネージャーホストに接続しています。AJSROOT1のユニット属性プロファイルには,上位ユニット属性継承機能を設定するユニットとして「/本番」を,上位ユニット属性継承機能の設定方法には「all」を指定します。
マネージャーホストのテスト用のジョブグループ「テスト」に,それぞれのJP1ユーザーが,ジョブネットA,ジョブ1,およびジョブ2を定義します。このとき,定義したユニットの所有者は,定義したJP1ユーザー名が設定されます。ジョブグループ「テスト」でジョブネットAをテストしたあと,ジョブネットAをジョブグループ「本番」にコピーします。コピーして作成したジョブネットAは,上位ユニットであるジョブグループ「本番」のアクセス権を継承します。同様に,コピーして作成したジョブ1およびジョブ2も,上位ユニットであるジョブネットAのアクセス権,つまりジョブグループ「本番」のアクセス権を継承します。そのため,ジョブグループ「本番」の配下にコピーしたすべてのユニットは,所有者およびJP1資源グループを統一して運用できます。
(5) ジョブの実行ユーザー
ジョブネットを実行したとき,配下に定義されているジョブを実行するJP1ユーザーのことを,ジョブの実行ユーザーといいます。
ジョブの実行ユーザーは,次の二つの種別から選択します。
- 登録ユーザー
-
ジョブネットを実行登録したJP1ユーザーがジョブを実行します。実行登録したJP1ユーザーにジョブの実行権限が与えられていれば,ジョブを実行できます。
- 所有ユーザー
-
ジョブの所有者に設定されているJP1ユーザーがジョブを実行します。実行登録したJP1ユーザーにジョブの実行権限が与えられていなくても,所有者に設定されているJP1ユーザーにジョブの実行権限が与えられていれば,ジョブを実行できます。
ORジョブ,判定ジョブ,およびイベントジョブは,JP1/AJS3を起動しているユーザーの権限で実行されます。そのため,ORジョブおよび判定ジョブでは実行ユーザー種別を指定できません。イベントジョブでは指定しても無効となります。
ジョブを実行する際,ジョブは実行先ホスト(エージェントホスト)に転送されて実行されます。そのため,ジョブの実行ユーザーは実行先ホストでOSユーザーとユーザーマッピングしておく必要があります。実行ユーザー種別で登録ユーザーを指定した場合は,ジョブネットを実行登録するJP1ユーザーをOSユーザーとマッピングします。所有ユーザーを指定した場合は,ジョブの所有者をOSユーザーとマッピングします。
ジョブの実行ユーザーを,ジョブに定義してある実行ユーザー種別とは関係なく,上位のユニットの所有者に設定してあるJP1ユーザーで固定してジョブを実行することもできます。実行ユーザーを上位ユニットの所有者に固定する機能を,実行ユーザー固定機能といいます。この機能を使用することで,ジョブネットを実行登録するユーザーに関係なく,すべてのジョブを一つのJP1ユーザーで実行できるようになります。
- 注意事項
-
実行ユーザー固定機能は,バージョン09-50以降のJP1/AJS3 - Managerで使用できます。
(a) 実行ユーザー固定機能の概要
実行ユーザー固定機能は,ジョブグループまたはジョブネットに対して設定します。実行ユーザー固定機能が設定されたジョブグループまたはジョブネット配下で実行するジョブは,詳細定義に定義されている実行ユーザー種別とは関係なく,実行ユーザー固定機能を設定したユニットの所有者に設定されているJP1ユーザーの権限で実行されます。
実行ユーザー固定機能の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZG060045.GIF)
実行ユーザー固定機能を設定していない場合,JP1ユーザー「jp1userX」がジョブネットAを実行登録すると,ジョブ1の実行ユーザー種別は登録ユーザーであるため,実行ユーザーはジョブネットAの登録ユーザー「jp1userX」になります。
ジョブネットAに実行ユーザー固定機能を設定している場合,JP1ユーザー「jp1userX」がジョブネットAを実行登録すると,実行ユーザー種別とは関係なく,ジョブ1の実行ユーザーはジョブネットAの所有者である「jp1userA」になります。
- 注意事項
-
-
実行ユーザー固定機能を設定している場合,ジョブの詳細定義で設定している実行ユーザーと,実際の実行ユーザーが異なります。そのため,詳細定義でジョブを実行できるようにアクセス権限を定義しても,実行ユーザー固定機能で設定される実行ユーザーにジョブの実行権限がないと,ジョブ実行時に権限エラーになるので注意してください。
-
実行ユーザー固定機能を設定している場合,ジョブの定義情報は変更されません。ジョブ実行時には,ジョブの定義情報とは関係なく,実行ユーザー固定機能で設定されたJP1ユーザーでジョブが実行されます。
-
実行ユーザー固定機能は,次に示すジョブの上位ユニットに設定することで,実行ユーザーを固定できます。イベントジョブは実行ユーザーに依存しないため,対象外です。
-
標準ジョブ※
-
アクションジョブ
-
カスタムジョブ
-
引き継ぎ情報設定ジョブ
-
HTTP接続ジョブ
-
カスタムイベントジョブ
- 注※
-
UNIXジョブまたはPCジョブがキューレスジョブの場合でも,実行ユーザーを固定できます。
- 注意事項
-
リモートジョブネット配下のジョブの場合は,接続先ホストの実行ユーザー固定機能の設定が有効になります。
2階層以上のユニット構成で実行ユーザー固定機能を設定している場合,ジョブの実行ユーザーとして固定されるJP1ユーザーは,実行ユーザー固定機能を設定しているユニットのうち,ジョブに最も近い階層のユニットの所有者になります。
2階層以上のユニット構成で実行ユーザー固定機能を設定している場合の例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZG060050.GIF)
例1では,ジョブグループAに実行ユーザー固定機能を設定しています。ジョブグループA配下のジョブネットAを実行登録すると,ジョブ1の実行ユーザーは,実行ユーザー固定機能を設定したジョブグループAの所有者jp1userAになります。
例2では,ジョブグループAおよびジョブネットAに実行ユーザー固定機能を設定しています。ジョブネットAを実行登録すると,ジョブ1の実行ユーザーは,実行ユーザー固定機能を設定したユニットのうち最も近い階層にあるジョブネットAの所有者jp1userBになります。
(b) 実行ユーザー固定機能の設定
実行ユーザー固定機能は,ユニット属性プロファイルで設定します。ユニット属性プロファイルには,実行ユーザー固定機能を設定するユニットの完全名,および実行ユーザー固定機能の設定方法を設定します。
-
実行ユーザー固定機能を設定するユニットの完全名
実行ユーザー固定機能を設定するジョブグループまたはジョブネットの完全名を指定します。スケジューラーサービス配下のすべてのユニットに設定する場合は,「/」を指定します。
なお,ここで指定するユニットは,上位ユニット属性継承機能を設定するユニットと共通です。上位ユニット属性継承機能については,「(4) ユニットの新規作成,コピー,またはリリース登録時のアクセス権限」を参照してください。
-
実行ユーザー固定機能の設定方法
実行ユーザー固定機能の設定方法を,次のどちらかの値で指定します。
- entryuser
-
実行ユーザー固定機能を設定したユニット配下にあるジョブの実行ユーザーを,実行ユーザー固定機能を設定したユニットの所有者で固定します。ただし,配下のジョブのうち実行ユーザー種別が所有ユーザーに設定されているジョブについては,それぞれのジョブの所有者が実行ユーザーになります。
- all
-
実行ユーザー固定機能を設定したユニット配下にあるジョブの実行ユーザーを,実行ユーザー固定機能を設定したユニットの所有者で固定します。実行ユーザー種別が所有ユーザーのジョブでも,実行ユーザー固定機能を設定したユニットの所有者で固定します。
実行ユーザー固定機能の設定方法の違いを,次の図に示します。
図6‒9 実行ユーザー固定機能の設定方法の違い(実行ユーザー固定機能の設定方法がentryuserの場合) ![[図データ]](GRAPHICS/ZG060055.GIF)
この例では,実行ユーザー固定機能の設定方法をentryuserに設定しています。ジョブネットAを実行登録すると,ジョブ1は実行ユーザー種別が所有ユーザーに設定されているため,実行ユーザーは所有者のjp1userBになります。一方,ジョブ2は実行ユーザー種別が登録ユーザーに設定されているため,実行ユーザーは,ジョブネットAの所有者であるjp1userAに固定されます。
図6‒10 実行ユーザー固定機能の設定方法の違い(実行ユーザー固定機能の設定方法がallの場合) ![[図データ]](GRAPHICS/ZG060056.GIF)
この例では,実行ユーザー固定機能の設定方法をallに設定しています。ジョブネットAを実行登録すると,ジョブ1およびジョブ2の実行ユーザーは,ジョブネットAの所有者であるjp1userAに固定されます。
- 補足事項
-
同一ユニット配下で,異なる階層にある複数のユニットに対して実行ユーザー固定機能を設定している場合,その配下のジョブは,最も近い上位のユニットの設定方法を優先します。例えば,ジョブグループとそのジョブグループ配下にあるジョブネットの両方に実行ユーザー固定機能の設定している場合,ジョブネット配下のジョブは,ジョブネットの設定方法を優先します。
ユニット属性プロファイルの設定方法については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.1.3 上位ユニット属性継承機能と実行ユーザー固定機能の設定手順」を参照してください。ユニット属性プロファイルの詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.1.4 ユニット属性プロファイルの詳細」を参照してください。
(c) 実行ユーザー固定機能の使用例
実行ユーザー固定機能の使用例について説明します。
ここでは,次のようなジョブネットを実行することを想定します。
-
ジョブネットAはマネージャーホストhostMに定義されていて,所有者はjp1userXである。
-
ジョブネットA配下にはジョブ1とジョブ2が定義されていて,実行ユーザー種別はどちらも登録ユーザーである。
このようなジョブネットAを,実行ユーザー固定機能を使用して実行する例を次に示します。
|
|
![[図データ]](GRAPHICS/ZG060060.GIF)
この例では,ジョブネットAに対して実行ユーザー固定機能を設定しています。実行ユーザー固定機能の設定方法はallです。ジョブネットAをjp1userA,jp1userB,またはjp1userCのだれかが実行登録すると,ジョブ1およびジョブ2は実行先のエージェントホストに転送されます。このとき,登録ユーザーがだれであっても,ジョブ1およびジョブ2の実行ユーザーは,ジョブネットAの所有者jp1userXに固定されます。そのため,ジョブの転送先のエージェントホストでジョブ1およびジョブ2を実行するには,jp1userXとOSユーザーosuser1のユーザーマッピングが必要になります。登録ユーザーであるjp1userA,jp1userB,またはjp1userCのユーザーマッピングは必要ありません。また,ジョブネットAを実行するJP1ユーザーが追加されても,ユーザーマッピング定義を追加する必要はありません。
(d) 実行ユーザー固定機能と上位ユニット属性継承機能の組み合わせ
実行ユーザー固定機能と上位ユニット属性継承機能は,ともにユニット属性プロファイルを使って設定します。両方の機能を同時に使用する場合,それぞれの機能で設定方法をentryuserまたはallから選択します。このとき,設定方法が異なる組み合わせで運用すると,ジョブ実行の動作がわかりにくくなります。そのため,両機能で設定方法は統一することを推奨します。
実行ユーザー固定機能と上位ユニット属性継承機能の設定方法の組み合わせを,次の表に示します。
|
項番 |
実行ユーザー固定機能の設定方法 |
上位ユニット属性継承機能の設定方法 |
説明 |
|---|---|---|---|
|
1 |
entryuser |
entryuser |
特定のジョブだけ,実行ユーザーをそのジョブの所有者に固定できます。ジョブをコピーしても,設定は変更されません。 特殊なジョブを部品として別に作成し,コピーしてシステムに組み込むような運用の場合に指定します。 |
|
2 |
all |
all |
実行ユーザー,所有者,およびJP1資源グループを,指定したユニット配下で統一します。 |
|
3 |
entryuser |
all |
推奨しない組み合わせです。 特定のジョブだけ,実行ユーザーをそのジョブの所有者に固定できますが,そのジョブをコピーすると設定が変更されてしまいます。 |
|
4 |
all |
entryuser |
推奨しない組み合わせです。 特定のジョブをコピーした場合にコピー元のジョブの実行ユーザーを維持しようとしても,ジョブを実行する際に実行ユーザーが別のユニットの所有者に固定されてしまいます。 |
(6) ジョブの定義変更とアクセス権限
JP1ユーザーがジョブの詳細定義を変更する場合,アクセス権限の有無やジョブの定義内容によって,変更できる詳細定義の項目が異なります。次のどれかに該当する場合は,すべての詳細定義を変更できます。
-
環境設定パラメーターADMACLIMITを省略している,または環境設定パラメーターADMACLIMITに「no」を設定していて,操作するJP1ユーザーが次の管理者権限を持つOSユーザーにマッピングされている。
-
Windowsの場合
Administrators権限を持つOSユーザー
-
UNIXの場合
スーパーユーザー権限を持つOSユーザー
-
-
操作対象のジョブに資源グループおよび所有者が設定されていて,操作するJP1ユーザーがその資源グループに対してJP1_AJS_Admin権限を持っている。
-
操作対象のジョブに資源グループが指定されていない。
管理者権限が与えられていない場合,JP1権限レベルがJP1_AJS_ManagerまたはJP1_AJS_EditorのJP1ユーザーがジョブの詳細定義を変更できます。ただし,JP1ユーザーがジョブの所有者権限を持っているかどうか,およびジョブの実行ユーザー種別の設定によって,変更できる詳細定義の項目が異なります。
JP1ユーザーの所有者権限の有無,およびジョブの実行ユーザー種別の設定と,変更できる詳細定義の項目を,次の表に示します。
|
所有者権限 |
実行ユーザー種別 |
|
|---|---|---|
|
登録ユーザー |
所有ユーザー |
|
|
あり |
○ |
○※1 |
|
なし |
△ |
×※2 |
- (凡例)
-
○:すべての項目を変更できる。
△:所有者,JP1資源グループ,および実行ユーザー種別以外の項目を変更できる。
×:すべての項目を変更できない。
- 注※1
-
所有者権限のあるユーザーが所有者を変更すると,実行ユーザー種別が登録ユーザーに変更されます。
所有者を変更しても実行ユーザー種別が所有ユーザーのままだと,ユーザーが所有者を任意の所有者に変更することで,実行を許可されていないジョブでも任意の所有者の権限で実行できるようになってしまいます。そのため,所有者を変更すると実行ユーザー種別が登録ユーザーに変更されるようにすることで,許可されていないジョブの実行を防止しています。
- 注※2
-
所有者権限がないユーザーは,実行ユーザー種別が所有ユーザーのジョブの詳細定義を変更できません。これは,ユーザーがジョブの定義を自由に変更して,設定されている所有者の権限でジョブを実行してしまうことを防ぐためです。
なお,所有者が設定されていないジョブは,アクセス権限や実行ユーザー種別に関係なく,すべての項目を変更できます。