ロール権限を使うと、管理者はセキュリティプロファイルに影響を及ぼすことなく特定のユーザに権限を割り当てることができるため、アクセスコントロールに差分アプローチが可能となり、複雑なセキュリティプロファイルの設定と維持の必要性が軽減されます。セキュリティプロファイルは Vault のアクセスコントロールの基礎となり、一方ロール権限は特定の目的または一時的な目的のためにレイヤを追加することができます。これは、オブジェクトまたはアプリケーションの権限の異なる組み合わせにアクセスを必要とするさまざまなロールをユーザが経時的に果たす場合に便利です。
ロール権限を使用するには、管理者は権限セットをアプリケーションロールレコードと関連付け、それらのアプリケーションロールとユーザレコードをユーザロールジョインオブジェクトと結合します。
例: セキュリティプロファイル設定の簡素化
教育訓練およびロールによって、組織のユーザが以下の権限セットのさまざまな組み合わせを必要とすると仮定してください。
- 完全ユーザアクション
- 逸脱所有者
- 監査所有者
- 変更管理所有者
- クレーム所有者
この目的は、すべてのプロセスに参加できるユーザ (完全ユーザアクション) と、各自のビジネスフローの新規レコードを開始または作成できるユーザとを区別することにあります。各プロセスにユーザが参加できるように、ただし所有者となっているプロセスしか開始できないようセキュリティプロファイルを考えられるアクセスシナリオごとに設定する場合、ニーズに合わせて 16 件のプロファイルが必要です: 完全ユーザアクションを提供するプロファイル、完全ユーザアクションと逸脱所有者を提供する別のプロファイル。このような設定に組み入れたい各追加権限セットが、必要なセキュリティプロファイルの数と複雑さを劇的に増やすことになります。
セキュリティプロファイルのみを使用する代わりに、ロール権限を使用するとこの設定を大幅に簡素化することができます。この例では、上記の目的を前提として、基本セキュリティプロファイル 1 件と、アプリケーションロール 4 件を作成します:
- セキュリティプロファイル: 完全ユーザ
- アプリケーションロール: 逸脱所有者
- アプリケーションロール: 監査所有者
- アプリケーションロール: 変更管理所有者
- アプリケーションロール: クレーム所有者
これですべてのユーザに基本セキュリティプロファイルを割り当て、ユーザが教育訓練を完了、新規ロールを取得、あるいは組織内で独自の新規プロセスに適格となったら、適切なユーザロールをユーザレコードに追加することができます。
例: 一時的なアクセス
組織の単一ユーザに一時的に Vault ローダへのアクセス権限が必要であると仮定します。ユーザの標準アクセス権限と Vault ローダの両方を含むカスタムセキュリティプロファイルを作成または修正する代わりに、Vault ローダユーザと呼ばれるアプリケーションロールレコードを作成するだけです。
その後、Vault ローダアクセスの特定の権限セットを新規アプリケーションロールに関連付けて、このロールをユーザに割り当てることができます。この方法によって、セキュリティプロファイルを変更する必要性がなくなります。
ロール権限の設定
お使いの Vault でロール権限の使用を有効化するには以下を行います:
- ユーザロールオブジェクトの関連オブジェクトセクションをユーザオブジェクト詳細ページレイアウトに追加します。
- ユーザロールとアプリケーションロールを管理するユーザに必須権限があることを確認します。ユーザは、自分が持っている権限を超える権限セットを含むユーザロールを割り当てたり削除したりすることはできません。
- 任意の作業: 管理者 > ユーザおよびグループ > Vault ユーザの範囲外のユーザオブジェクトレコードにアクセスを許可するには、ユーザオブジェクト設定で企業管理者メニューで表示するを選択するか、ユーザカスタムオブジェクトタブを追加します。
アプリケーションロールに権限セットを追加する
ロール権限のアプリケーションロールを活用するには、まずそれを権限セットに関連付ける必要があります。
アプリケーションロールに権限セットを追加するには:
- 企業管理者のアプリケーションロールオブジェクトレコード、またはカスタムオブジェクトタブに進みます。
- 編集をクリックします。
- 権限セットの権限セットを選択するか、双眼鏡アイコンをクリックしてレコード検索ダイアログを開きます。
- 共有ルールと使用するためにユーザロール設定レコードの作成時にユーザロール関連付けを Vault に強制させる場合、ユーザロールの設定を制限するではいを選択します。ユーザロール規制機能と併せてこの値を使用します。
アプリケーションロールは、ユーザに割り当てられている場合に関連付けられた権限セットを適用します。ユーザが少なくとも同じ権限を持っている場合にのみアプリケーションロールの権限セットを追加または削除することができます。
アプリケーションロールにユーザロールレコードが割り当てられている場合、Vault は権限セットまたはステータスフィールド値の変更を許可します。
ユーザにアプリケーションロールを割り当てる
ユーザにアプリケーションロールを割り当てるには:
- 企業管理者のユーザオブジェクトレコード、またはカスタムオブジェクトタブに進みます。
- ユーザロールセクションで追加をクリックします。
- ダイアログで 1 つまたは複数のアプリケーションロールを選択します。
- OK をクリックします。
追加したアプリケーションロールに関連付けられた権限セットが直ちに有効になります。少なくとも同じ権限を持っている場合にのみ権限セットを含むロールを割り当てる/割り当てを解除することができます。
Vault は、ユーザレコードの有効なユーザロールの数を 15 に制限します。後でユーザロールのステータス値を無効に設定した場合、ユーザは関連付けられた権限セットへアクセスできなくなります。
関連権限
アプリケーションロールレコードの権限セットを追加または削除するには、アプリケーションロールオブジェクトに対する編集権限と、管理者 > セキュリティ > 権限セット > 参照権限がユーザに必要です。
ユーザオブジェクトのユーザロールを追加または削除するには、管理者 > セキュリティ > ユーザ > ユーザオブジェクトの管理権限と、ユーザロールオブジェクトに対する参照、作成、編集、削除権限がユーザに必要です。