32.3. ロールの機能: 編集および作成
組織の「リソースロール」機能は、ワークフローなど、特定のリソースタイプに固有です。このようなロールのメンバーになると、通常、2 種類のパーミッションが提供されます。ユーザーに組織「デフォルト」の "workflow admin role" が付与されている場合、ユーザーには次のパーミッションが与えられます。
- このユーザーは、組織 "Default" に新しいワークフローを作成できます。
- このユーザーは "Default" 組織の全ワークフローを編集できます。
例外として、ジョブテンプレートが挙げられます。ロールを所有していても作成パーミッションがあるわけではありません。詳細は、ジョブテンプレート を参照してください。
32.3.1. リソースロールおよび組織のメンバーシップロールの独立性
リソース固有の組織ロールは、管理者およびメンバーの組織ロールから独立しています。「デフォルト」組織の "workflow administrator role" を持っていても、ユーザーは組織内の全ユーザーを表示できませんが、「デフォルト」組織の "member" ロールを持っている場合は表示できます。2 種類のロールは、互いに独立して委任されます。
32.3.1.1. ジョブテンプレートの編集に必要なパーミッション
ユーザーは、ジョブテンプレート管理者ロールのみを使用して、ジョブの実行に影響を与えないフィールド (機密でないフィールド) を編集できます。ただし、ジョブテンプレートでジョブの実行に影響を与えるフィールドを編集するには、ユーザーは以下のロールを持っている必要があります。
- ジョブテンプレートとコンテナーグループの admin ロール
- 関連プロジェクトの use ロール
- 関連するインベントリーの use ロール
- 関連するインスタンスグループの use ロール
"organization job template admin" ロールが導入されましたが、このロールを付与するだけでは、プロジェクト、インベントリー、インスタンスグループの use ロールまたは、ジョブテンプレートが使用するコンテナーグループへの admin ロールがない場合に、組織内のジョブテンプレートを編集できません。
(組織内の) ジョブテンプレートの 完全な 制御をユーザーまたはチームに委任するには、そのチームまたはユーザーに次の 3 つの組織レベルのロールをすべて付与する必要があります。
- job template administrator
- project administrator
- inventory administrator
上記を割り当てると、ユーザー (またはこれらのロールを持つチームのメンバーであるすべてのユーザー) が、組織内のジョブテンプレートを変更する完全なアクセス権が割り当てられます。ジョブテンプレートが別の組織からのインベントリーまたはプロジェクトを使用する場合、これらの組織ロールを持つユーザーは、そのジョブテンプレートの変更権限はありません。パーミッション管理を明確にするため、異なる組織のプロジェクトやインベントリーを混合しないでください。
32.3.1.2. RBAC 権限
各ロールにはコンテンツオブジェクトが必要です。たとえば、組織管理者のロールには組織のコンテンツオブジェクトがあります。ロールを委任するには、ユーザーのパスワードをリセットできる一部の例外を除き、コンテンツオブジェクトに対する管理者パーミッションが必要です。
Parent は組織です。
Allow は新規パーミッションで明示的に許可される内容です。
Scope は、この新しいロールが作成される親リソースです。例: Organization.project_create_role
。
リソースの作成者には、そのリソースの管理者ロールが付与されていると想定されます。リソースを作成しても、リソースの管理が行われるとは限らないインスタンスを明示的に呼び出します。
各管理者のタイプに関連付けられたルールは次のとおりです。
Project Admin
- 許可: プロジェクトの作成、読み取り、更新、削除
- 範囲: 組織
- ユーザーインターフェース: Project Add Screen - Organizations
Inventory Admin
- 親: 組織管理者
- 許可: インベントリーの作成、読み取り、更新、削除
- 範囲: 組織
- ユーザーインターフェース: Inventory Add Screen - Organizations
Use ロールと同様に、プロジェクト管理者ロールとインベントリー管理者ロールをユーザーに割り当てると、ユーザーは組織のジョブテンプレート (ワークフローではなく) を作成できるようになります。
Credential Admin
- 親: 組織管理者
- 許可: 共有されている認証情報の作成、読み取り、更新、削除
- 範囲: 組織
- ユーザーインターフェース: Credential Add Screen - Organizations
Notification Admin
- 親: 組織管理者
- 許可: 通知の割り当て
- 範囲: 組織
Workflow Admin
- 親: 組織管理者
- 許可: ワークフローの作成
- 範囲: 組織
Org Execute
- 親: 組織管理者
- 許可: ジョブテンプレートとワークフロージョブテンプレートの実行
- 範囲: 組織
以下は、組織とそのロール、それぞれがアクセスできるリソースを示すシナリオ例です。