3.6.1 ユーザー管理

システム管理者はユーザー、グループ、ロールに対して作成や削除、編集などといった操作を行うことでユーザーマネジメントを実現します。
ロールはユーザーとグループに割り当てることができ、Ops Iの操作権限などを決定します。ロールが割り当てられたグループに所属しているユーザーはそのロールの権限が付与されます。

(図)ユーザー・グループ・ロールの関係性

(図)ユーザー・グループ・ロールの関係性 (図)ユーザー・グループ・ロールの関係性


【顧客分離によるアクセス制御】

ロールを適切に設定することで、顧客ごとに操作できる画面や、画面に表示される情報への参照・更新を制限することができます。例えば、ワークフロー一覧画面で、顧客ユーザーが所属する顧客のワークフローしか参照できなくする、などの制御が可能です。
顧客分離によるアクセス制御のためには、ユーザーを顧客ユーザーとして定義する必要があります。顧客ユーザーとして定義するためには、ユーザーに対して以下の両方を設定してください。

  • ユーザープロファイルで「顧客」が設定されている
  • 以下のいずれかのロールが設定されている
    • Pre-Installedロール「Customer Manager」
    • Pre-Installedロール「Customer User」
    • Primitiveロール「customer」および「free_user」
    • Primitiveロール「customer」および「manager」
    • 上記のいずれかを関連ロールに設定したカスタムロール

注意事項注意事項

  • ユーザープロファイルで「顧客」を設定し、かつ、以下のいずれかのロールを割り当てていないユーザーの使用はサポートしません。
    • Pre-Installedロール「Customer Manager」
    • Pre-Installedロール「Customer User」
    • Primitiveロール「customer」および「free_user」
    • Primitiveロール「customer」および「manager」
    • 上記のいずれかを関連ロールに設定したカスタムロール
    ユーザープロファイルで「顧客」を設定した場合は、必ず、上記のいずれかを割り当ててください。
    ユーザーに適切なOps Iロールが適用されない場合、そのユーザーが所属する顧客に関連がないレコード(チケットやワークフローなど)が参照、更新可能となるおそれがあります。
  • 「顧客」を設定しない、かつ、以下のいずれかのロールが割り当てたユーザーの使用はサポートしません。
    • Pre-Installedロール「Customer Manager」
    • Pre-Installedロール「Customer User」
    • Primitiveロール「customer」
    • 上記のいずれかを関連ロールに設定したカスタムロール
    ユーザーに適切な顧客が適用されない場合、関連があるレコードを参照、更新できないおそれがあります。
※サポートしないユーザーがITSMアプリケーションにアクセスした場合、そのユーザーを顧客ユーザーに変更することはできません。顧客ユーザーとして定義したい場合は、別のユーザーを再度作成してください。


標準で提供するロールの詳細については、「Ops I上のロールとサポート機能の対応関係」を参照してください。 また、サービスカタログについては、CatalogのYAMLファイル単位で顧客のアクセス制御を設定できます。詳細は「アクセス制御」を参照してください。

(図)サービスカタログ画面に対するロールによるアクセス制御

(図)サービスカタログ画面に対するロールによるアクセス制御 (図)サービスカタログ画面に対するロールによるアクセス制御

ワークフロー一覧画面は、顧客ユーザーとして定義しておくことで、操作対象ユーザーと同じ顧客に所属する顧客ユーザーが申請したワークフローのみ操作可能となるよう制御することができます。顧客ユーザーではないユーザー、例えば運用担当者は、すべてのワークフローを操作できます。
尚、非課金ユーザーは、課金ユーザーと異なり、一部権限が制限されます。
非課金ユーザーに関する説明は、以下を参照してください。

(図)ワークフロー一覧画面に対するロールによるアクセス制御

(図)ワークフロー一覧画面に対するロールによるアクセス制御 (図)ワークフロー一覧画面に対するロールによるアクセス制御


【グループ間の管理関係設定】

グループ間の管理関係を設定することで、ワークフロータブでの各ステップの担当者のアサインやリソースタブでのスキルの設定をすることができます。

(図)グループ間の管理関係

(図)グループ間の管理関係 (図)グループ間の管理関係

スキル設定機能を使用する場合、スキルを設定したいユーザーをYAMLファイル(skill、skillset)登録したグループに設定する必要があります。また、グループ間の管理関係は、グループ管理画面から表示できる関連グループ設定画面の関連タイプを指定することで、Manage、Managed、およびManage/Managedを設定できます。関連タイプがManage/Managedとなる場合は以下の2ケースがあります。関連グループの詳細については「(表)グループ追加時の関連するリソースエリアのタブ」を参照してください。

(表)関連タイプManage/Managedになるケース

起点グループ 関連グループ 関連タイプ 説明
A A Manage/Managed グループAがグループA自身を管理対象とします。
自分のグループに対し、担当者のアサイン、スキル設定をする場合、自分のグループを管理対象とする必要があります。
A B Manage/Managed グループAとグループBは相互に管理者、管理対象者となります。

「global」グループには、関連タイプの設定はしないでください。このグループは初期状態ですべてのユーザーに登録されているため、Manage/Managedと設定した場合、リソース一覧画面にすべてのユーザー情報が表示されてしまいます。 「global」グループの詳細については「グループ」、リソース一覧表示イメージは、「リソース一覧」を参照してください。

項構成

3.6.1.1 ユーザー
3.6.1.2 グループ
3.6.1.3 ロール