8.1 Ops I上のロールとサポート機能の対応関係

Ops I上の標準ロールとして、Pre-InstalledロールとPrimitiveロールが提供されます。ユーザーは基本的にPre-Installedロールを直接的に割り当てられ、Primitiveロールを間接的に割り当てられますが、Primitiveロールを直接ユーザーに割り当てることも可能です。

(表)各種ロールの概要

ロール 概要
Pre-Installedロール 一般的なユースケースを想定し、標準で用意されているロールです。
Primitiveロールの組み合わせによって定義されます。基本的にユーザーにはPre-Installedロールを割り当ててください。
Primitiveロール 個々の操作権限を細分化したロールです。標準で用意されています。
カスタムロール Pre-Installedロールにない権限制御をしたい場合に、Pre-Installedロール、Primitiveロール、カスタムACLを組み合わせて、ユーザーが独自に作成やカスタマイズできるロールです。

Pre-InstalledロールとPrimitiveロールの組み合わせは、「(表)Pre-InstalledロールとPrimitiveロールの関係」を、 Primitiveロールとサポート機能の関係は、「(表)Primitiveロールとサポート機能の関係」を、ACLについては「ユーザーとACL」を参照してください。


Pre-Installedロールとサポート機能の関係を以下に示します。
各Pre-Installedロールは、表中の✓があるサポート機能に対してアクセス権を持ちます。

(表)Pre-Installedロールとサポート機能の関係

(表)Pre-Installedロールとサポート機能の関係 (表)Pre-Installedロールとサポート機能の関係

※Outpostは中継サーバの設定をする際に、エージェントがOps Iに接続する権限を与えるロールで、中継サーバの設定で必要です。詳細は「中継サーバの設定」を参照してください。

Pre-Installedロールと、割り当てられているPrimitiveロールの関係を以下に示します。
各Pre-Installedロールに表中の✓があるPrimitiveロールが割り当てられています。

(表)Pre-InstalledロールとPrimitiveロールの関係

(表)Pre-InstalledロールとPrimitiveロールの関係 (表)Pre-InstalledロールとPrimitiveロールの関係

また、以下のPrimitiveロールは特別な意味を持つロールです。特徴を理解し、適切に使用してください。

(表)特別なPrimitiveロール

Primitiveロール 特徴
user Ops Iのデフォルトロールです。不可視でユーザーに暗黙的に割り当てられます。
customer 顧客分離を行うロールです。所属顧客に関連があるレコードのみ操作できるよう制限することができます。
詳細は「ユーザー管理」を参照してください。
free_user 非課金ユーザーロールです。このロールを割り当てられたユーザーは非課金ユーザーとなり、権限が制限されます。操作可能な機能は、「(表)free_user(非課金ユーザーロール)のサポート機能」を参照してください。また、Primitiveロールとサポート機能の関係については「(表)Primitiveロールとサポート機能の関係」の優先順位の説明を参照してください。

(表)free_user(非課金ユーザーロール)のサポート機能

サポート機能 説明
リクエスト サービスカタログ ワークフローの起票。
ワークフロー 自身が起票したワークフローの編集。
同一顧客グループに所属するユーザーが起票したワークフローの参照。
チケット 自身および自顧客のチケットの閲覧。また、自身および自顧客のチケットの作業メモの作成と閲覧。
詳細については「チケット管理の基本知識」を参照してください。
ワークフローの実行。
ドキュメント コンテナ コンテナ上のファイルの操作。
マニュアル Ops Iマニュアルの表示。


Primitiveロールとサポート機能の関係を以下に示します。

(表)Primitiveロールとサポート機能の関係

(表)Primitiveロールとサポート機能の関係 (表)Primitiveロールとサポート機能の関係

(表)Primitiveロールとサポート機能の関係の説明 (表)Primitiveロールとサポート機能の関係の説明

複数のPrimitiveロールがひとつのPre-Installedロールに割り当てられている場合、アクセス権の優先順位が高い順に、明示的拒否、明示的許可、暗黙的拒否となります。


(図)アクセス権の優先順位

(図)アクセス権の優先順位 (図)アクセス権の優先順位


例えば、Pre-Installedロール「A」にPrimitiveロール「user」「X」「customer」「free_user」が割り当てられている場合、「A」のアクセス権は以下になります。(Primitiveロール「X」は優先順位説明のため用いている仮のロール名です。)

(図)アクセス権の優先順位例

(図)アクセス権の優先順位例 (図)アクセス権の優先順位例

この例のようにfree_userが割り当てられているPre-Installedロールは、他のPrimitiveロールの権限を打消し、配布、システム管理、ITSM、Git、シークレット管理、自動化のアクセス権がなくなります。