8.1 Ops I上のロールとサポート機能の対応関係
Ops I上の標準ロールとして、Pre-InstalledロールとPrimitiveロールが提供されます。ユーザーは基本的にPre-Installedロールを直接的に割り当てられ、Primitiveロールを間接的に割り当てられますが、Primitiveロールを直接ユーザーに割り当てることも可能です。
| ロール | 概要 |
|---|---|
| Pre-Installedロール | 一般的なユースケースを想定し、標準で用意されているロールです。 Primitiveロールの組み合わせによって定義されます。基本的にユーザーにはPre-Installedロールを割り当ててください。 |
| Primitiveロール | 個々の操作権限を細分化したロールです。標準で用意されています。 |
| カスタムロール | Pre-Installedロールにない権限制御をしたい場合に、Pre-Installedロール、Primitiveロール、カスタムACLを組み合わせて、ユーザーが独自に作成やカスタマイズできるロールです。 |
Pre-InstalledロールとPrimitiveロールの組み合わせは、「(表)Pre-InstalledロールとPrimitiveロールの関係」を、 Primitiveロールとサポート機能の関係は、「(表)Primitiveロールとサポート機能の関係」を、ACLについては「ユーザーとACL」を参照してください。
Pre-Installedロールとサポート機能の関係を以下に示します。
各Pre-Installedロールは、表中の✓があるサポート機能に対してアクセス権を持ちます。
Pre-Installedロールと、割り当てられているPrimitiveロールの関係を以下に示します。
各Pre-Installedロールに表中の✓があるPrimitiveロールが割り当てられています。
(表)Pre-InstalledロールとPrimitiveロールの関係
また、以下のPrimitiveロールは特別な意味を持つロールです。特徴を理解し、適切に使用してください。
| Primitiveロール | 特徴 |
|---|---|
| user | Ops Iのデフォルトロールです。不可視でユーザーに暗黙的に割り当てられます。 |
| customer | 顧客分離を行うロールです。所属顧客に関連があるレコードのみ操作できるよう制限することができます。 詳細は「ユーザー管理」を参照してください。 |
| free_user | 非課金ユーザーロールです。このロールを割り当てられたユーザーは非課金ユーザーとなり、権限が制限されます。操作可能な機能は、「(表)free_user(非課金ユーザーロール)のサポート機能」を参照してください。また、Primitiveロールとサポート機能の関係については「(表)Primitiveロールとサポート機能の関係」の優先順位の説明を参照してください。 |
(表)free_user(非課金ユーザーロール)のサポート機能
| サポート機能 | 説明 | |
|---|---|---|
| リクエスト | サービスカタログ | ワークフローの起票。 |
| ワークフロー | 自身が起票したワークフローの編集。 | |
| 同一顧客グループに所属するユーザーが起票したワークフローの参照。 | ||
| チケット | 自身および自顧客のチケットの閲覧。また、自身および自顧客のチケットの作業メモの作成と閲覧。 詳細については「チケット管理の基本知識」を参照してください。 |
|
| ワークフローの実行。 | ||
| ドキュメント | コンテナ | コンテナ上のファイルの操作。 |
| マニュアル | Ops Iマニュアルの表示。 | |
Primitiveロールとサポート機能の関係を以下に示します。
複数のPrimitiveロールがひとつのPre-Installedロールに割り当てられている場合、アクセス権の優先順位が高い順に、明示的拒否、明示的許可、暗黙的拒否となります。
例えば、Pre-Installedロール「A」にPrimitiveロール「user」「X」「customer」「free_user」が割り当てられている場合、「A」のアクセス権は以下になります。(Primitiveロール「X」は優先順位説明のため用いている仮のロール名です。)
この例のようにfree_userが割り当てられているPre-Installedロールは、他のPrimitiveロールの権限を打消し、配布、システム管理、ITSM、Git、シークレット管理、自動化のアクセス権がなくなります。