アクセス制御の概要

Codatumには、シンプルながら強力なロールベースのアクセス制御機構があります。

ユーザーは、ワークスペースやノートブックやコネクションなどの個々のリソースに対して、閲覧者や編集者などの役割を持つことができます。様々な操作の権限は、ユーザーが保持する役割の組み合わせに基づいて決定されます。

用語解説

  • ユーザー

    • ワークスペースのアカウントのこと。

  • グループ

    • 一括で権限付与を行えるユーザーのグループ。1つのグループに対して、複数のリソースロールを割り当てることができます。

  • リソース

    • Codatum内の様々なオブジェクトとその種類を表します。

    • 例: ノートブック、コネクション、チームスペース など

  • 操作

    • 個々のリソースやワークスペース全体に紐づく様々なアクションのこと。

    • 例: ユーザーの招待、ノートブックの編集 など。

  • ロール

    • ワークスペースロール

      • ワークスペース内のすべてのユーザーに割り当てられるロール。ワークスペース全体の操作に関する権限を決定します。

      • 例: ワークスペースオーナー → ワークスペース設定の管理やメンバー招待の権限が付与されます。

    • リソースロール

      • 個々のリソースに紐づくロール。グループまたは個々のユーザーに割り当てられます。

      • 例: ノートブック閲覧者 → ノートブックの閲覧権限が付与されます。

  • 権限

    • リソースロールまたはワークスペースロールと、ユーザーまたはグループの組み合わせで、リソースまたはワークスペースに関連する特定の操作を実行する権限が付与されます。

アクセス制御ルールの基本

アクセス権は、ユーザーが保持するロールの組み合わせに基づいて決定され、定義された計算方法に従います。

  • ロールには階層性があり、下位のロールにアクセス権があれば、上位のロールにもそのアクセス権があります。

  • 通常、ワークスペースロールとリソースロールの両方のアクセス権が必要となります(ANDで計算されます)。

  • ユーザーが同じリソースに対して複数のリソースロールを持っている場合(直接割り当てられているか、グループ経由で割り当てられているかに関わらず)、いずれかのリソースロールがアクセスを許可していれば、権限が付与されます(ORで計算されます)。

以下の概念図では、これらの原則を示しています。

この図は、特定のリソースAに紐づけられた操作のパターンを示しています。

また、ワークスペースにのみ紐づけられ、特定のリソースにはリンクされない操作のパターンもあります。このパターンはより単純で、以下のように示されます。

このパターンでは、アクセス権はワークスペースロールのみによって決定されます。

これらの原則により、Codatum内で堅牢で柔軟なアクセス制御システムが実現されています。

最終更新

役に立ちましたか?