この機能は、動的アクセスコントロールの大規模またはグローバルな実装で、特に組織がユーザロール設定レコードのメンテナンスをローカルユーザに委任したい場合をサポートします。この設定を行わない組織には、動的アクセスコントロールおよびユーザロール制限なしの一致共有ルールを使用することを推奨します。
ユーザロール制限とは、ドキュメントまたはオブジェクトの不正なロールを誤ってユーザに割り当てるのを防止する方法です。ユーザロール制限オブジェクトは、ユーザに許可されているロールのリストを定義することによって、ロールの割り当てを制限します。ユーザにはこれらのロールが許可されますが、自動的には割り当てられません。
ユーザロール制限を有効化する方法
ユーザロール制限機能は、使用する必要のある範囲に応じて、次の 2 つの方法のいずれかで有効にできます:
- 管理者 > 設定 > セキュリティ設定のユーザロール制限を有効化する設定で、この機能を Vault 全体でオンにします。20R3.5 リリース以降、Vault でこの設定が無効になっている場合、再度有効にすることはできません。ユーザロール制限機能を将来有効にするには、以下で説明するように、ロール制限の強制フィールドを使用して実行する必要があります。
- ロールごとにユーザロール制限を有効にするには、関連する各アプリケーションロールレコードでロール制限の強制フィールドの値をはいに設定します。アプリケーションロールの有効なユーザロールレコードがある場合、このフィールドをはいに設定できないことに注意してください。
有効化すると、アプリケーションロールにユーザロール制限レコードが存在しない限り、アプリケーションロールにユーザロール設定レコードを作成できません。
ユーザロール制限を設定する方法
- 管理者 > 企業管理者 > ユーザロール制限の順に進みます。
- 作成をクリックします。
- ユーザおよびユーザが許可されるロールを選択します。
- 保存をクリックします。
- 許可されるユーザおよびロールの組み合わせごとに、追加レコードを作成する必要があります。
ユーザロール設定オブジェクトへの影響
ユーザロール制限レコードを作成した後は、ユーザロール制限レコードに含まれているユーザ/ロールの組み合わせを持つユーザロール設定レコード以外は保存できません。ロールまたはユーザが無効な場合、「ユーザロール設定の保存中にエラーが発生しました」というエラーを受け取ります。このエラーは、このユーザ/ロールの組み合わせが、そのユーザに関連するユーザロール制限により許可されていないことを意味します。
ユーザロール制限の削除
ユーザロール制限レコードが削除されると、同じユーザとロールの組み合わせを持つユーザロール設定レコードが無効に設定されます。