ユーザー・グループ管理
デフォルト・グループ構成
- システム管理者グループ
- グループ名:Admin
- 付与ロール:admin
- メンバーは最小限に絞るべき権限。基本的にほぼ全てのことができるロール。
- ドメインチューター担当グループ
- グループ名:デフォルトではアサインされていない。
- 付与ロール:domain_tutor
- 知能ドメインごとにグループ(例:Rule-Tutor)を作り、そのグループにdomain_tutorをいれ、知能ドメイン毎にACLを設定すると良い。
- 一般ユーザーグループ
- グループ名:Default
- 付与ロール:user
- アカウント作成直後はこのグループに属している。
- その他
- グループではないが「Guest」というものが、知能ドメインの設定にある。
- Guestに「利用」を与えると、その知能ドメインは「ログインせずに」利用することができる。
よくある問題と対策
| 問題のパターン | 問題点 | 対策 |
|---|---|---|
| 個人ユーザーに直接ロール/権限を付与 | どこに権限が付いているか把握しづらい | まずグループを設計し、権限はグループに付与する |
| admin ロールの乱用 | 誤操作時の影響が大きい | Admin グループを限定し、通常運用は domain_tutorや、その他、新たに作った権限に委譲する |
| グループ構成が部署構造と乖離 | どのドメインを誰が管理するか曖昧 | 部門/プロジェクト単位のグループを用意し、ドメイン ACL も合わせて設計 |