グループの作成と管理
目次
Repository セキュリティ センターのグループを使用すると、権限の管理が容易になります。Repository、プロジェクト、およびダイアグラムのレベルでグループにロールを割り当ててから、そのグループにユーザーを追加または削除することで、すばやく簡単に設定をユーザーに適用することができます。
グループを作成するには、2 つの方法があります。
- Repository セキュリティ センターでグループを作成してから手動でユーザーを追加します。
- LDAP/Active Directory グループと同じ名前でグループを作成すると、Repository に追加されるすべての LDAP/Active Directory ユーザーは、LDAP/Active Directory の設定に基づいて、自動的にそのグループのメンバになります。
グループの作成、更新、削除
- [Repository|セキュリティ|セキュリティ センター]を選択します。
- [グループの管理]タブをクリックして、[新規作成]をクリックします。
- グループの名前と、グループの説明(省略可能)を入力します。
- LDAP/Active Directory グループに基づいてグループを作成する場合は、[ディレクトリ サービス グループ]をクリックすると、ダイアログの最下部にある[このディレクトリ サービス グループのすべてのメンバに対して Repository ユーザーを作成する]オプションが選択可能になります。このオプションをオンにした場合、このグループの Repository ユーザーは Repository ユーザーの一覧に自動的に追加されます。このオプションをオフにした場合は、ユーザーを手動で作成する必要があります。また、LDAP/Active Directory サービスのユーザーを追加すると、それらのユーザーがメンバとなっている LDAP/Active Directory サービスのグループに対応する Repository グループにユーザーが追加されます。
グループのメンバを手動で指定する場合は、[ディレクトリ サービス グループ]をオンにしないでください。[利用可能なユーザー]の一覧から、Ctrl キーを押しながら個々のユーザーをクリックしてグループ メンバを選択するか、二重の右矢印をクリックしてすべてのユーザーを選択します。左矢印をクリックして、グループ メンバを削除することもできます。
メモ
- グループの削除: [グループの管理]タブでグループを選択して[削除]をクリックすることで、グループを削除できます。グループを削除してもグループ メンバは削除されませんが、グループ メンバは、そのグループ メンバシップによって与えられていた権限を失います。
- グループの編集: [グループの管理]タブでグループを選択して[編集]をクリックし、[Repository グループの編集]ダイアログで変更を行うことで、グループ名やグループ メンバの一覧を編集できます。
グループへのロールの割り当て
グループにロールを割り当てると、そのロールで選択されたすべての権限がそのグループに付与されます。
- [Repository|セキュリティ|セキュリティ センター]を選択します。
- 権限を割り当てる Repository 項目を選択します。
- [Repository のセキュリティ]タブでグループにロールが現在割り当てられていない場合、[利用可能なユーザー]カラムでグループ名をクリックし、[利用可能なロール]カラムのロール名にドラッグ アンド ドロップします。
[Repository のセキュリティ]タブでグループに既にロールが現在割り当てられている場合、[利用可能なロール]カラムでグループ名をクリックし、[利用可能なロール]カラムの別のロール名にドラッグ アンド ドロップします。
- [適用]をクリックし、さらに[OK]をクリックしてセキュリティ センターを閉じます。
- グループに含まれるユーザーに、一度ログアウトしてログインし直し、セキュリティの更新を反映するように通知します。
Repository 項目へのユーザー アクセスの許可と禁止
セキュリティ センターの[Repository のセキュリティ]タブで、適切な権限を持つユーザーは他のユーザーに対して、さまざまなオブジェクトについての適切なアクセス権限を割り当てることができます。それにより、Repository 項目への特定の操作の実行権限を付与したり、同じオブジェクトに対する別の操作の実行を禁止したりできます。ロールのアクセス権限は、個別のユーザーまたはグループ全体に対して割り当てることができます。
Repository 項目へのアクセス用ロールのユーザー/グループへの割り当て
- Repository にログインします。
- [Repository|セキュリティ|セキュリティ センター]を選択します。
- [ロールの管理]タブをクリックします。利用可能なロールを調べて、ユーザーに付与するアクセス権限が既存のロールによって与えられるかどうかを判断します。必要な場合は、適切な権限を持つ新しいロールを作成します。
- [グループの管理]タブをクリックします。利用可能なグループを調べて、許可するユーザーが既存のグループに含まれているかどうかを判断します。グループ名をダブル クリックすると、[Repository グループの編集]ダイアログでグループのメンバを確認できます。必要な場合は、新しいグループを作成します。ユーザーに 1 つずつロールを割り当てるよりも、グループにロールを割り当てるほうが効率的です。
- [Repository のセキュリティ]タブをクリックします。
- [Repository オブジェクト]領域で、アクセスを許可または禁止する Repository 項目(ダイアグラム、オブジェクト、サブモデル、データ フロー、変換、またはデータ ディクショナリ)を選択します。
- [利用可能なユーザー]の下で、選択したオブジェクトに対するロールを割り当てるグループまたはユーザーを選択し、[利用可能なロール]領域の適切なロールにドラッグ アンド ドロップします。
- Repository 項目に対するユーザー/グループへのロールの割り当てを削除するには、その Repository 項目をクリックし、ロールの下にあるユーザー/グループ名を[利用可能なロール]領域の別のロールにドラッグ アンド ドロップするか、[利用可能なユーザー]一覧に戻します。
メモ
- ロールを直接割り当てることでユーザーに付与されるすべての権限は、そのユーザーがメンバとなっているすべてのグループに付与されている権限に加えられます。権限は累積的であり、グループを通じて割り当てられたのかユーザーに直接割り当てられたのかに関係なく、ユーザーに割り当てられたすべての権限が与えられます。
- ユーザーまたはグループに割り当てることができるロールは、オブジェクトごとに 1 つだけです。ただし、異なるオブジェクトに対しては異なるロールをユーザーまたはグループに割り当てることができます。
- ユーザーが[利用可能なユーザー]領域に一覧表示されているが選択できない場合、そのユーザーは非アクティブ化されており、ユーザーを変更するためには再アクティブ化する必要があります。
ユーザーの特定の Repository 項目へのアクセス防御
システム定義の[アクセス権なし]ロールを使用すると、選択したプロジェクトまたはダイアグラムにユーザーがアクセスするのを防ぐことができます。
- Repository にログインします。
- [Repository|セキュリティ|セキュリティ センター]を選択します。
- [Repository オブジェクト]領域で、特定のユーザーから保護するプロジェクトまたはダイアグラムに移動し、クリックして選択します。
- [利用可能なユーザー]領域のユーザー一覧から、ユーザー名をクリックするか、Ctrl キーを押しながら複数の名前をクリックし、[利用可能なロール]領域の[アクセス権なし]ロールにそれらのユーザーをドラッグ アンド ドロップします。
- 他のダイアグラムとプロジェクトも保護する場合は、必要に応じて手順 3 と手順 4 を繰り返します。
- 必要な場合は[適用]をクリックしてセキュリティ設定の変更を続行し、[OK]をクリックしてセキュリティ センターを閉じます。
メモ
- あるオブジェクトについてユーザーに[アクセス権なし]ロールが割り当てられているが、そのユーザーが、オブジェクトに対する権限を持つグループのメンバである場合は、グループに割り当てられているすべての権限がそのユーザーに付与されます。ロールを直接割り当てることでユーザーに付与されるすべての権限は、そのユーザーがメンバとなっているすべてのグループに付与されている権限に加えられます。権限は累積的であり、グループを通じて割り当てられたのかユーザーに直接割り当てられたのかに関係なく、ユーザーに割り当てられたすべての権限が与えられます。
ユーザー/グループの Repository 項目へのアクセス権の変更
Repository 項目に対するユーザー/グループのアクセス権を変更するには、その Repository 項目についてユーザー/グループに割り当てられたロールの権限を変更するか、その特定の Repository 項目について別のロールをユーザー/グループに割り当てます。必要な場合は、セキュリティ センターの[ユーザーの管理]タブでユーザーを強制的にログアウトさせて、ユーザーのアクセス権限を変更することができます。