新しいロールベースのアクセス制御モデルによるワークスペースコラボレーターの管理
Workatoのロールベースのアクセス制御(RBAC)システムは、Environmentレベルとプロジェクトレベルの権限を分離します。 このモデルは、従来のシステムロール(Admin、Analyst、Operator)を、アクセスを正確に定義し、チームのニーズに合わせて拡張できる柔軟なロール割り当てに置き換えます。
EnvironmentロールはEnvironment全体の上位レベルの権限を管理し、プロジェクトロールは特定のプロジェクト内のアクセスとアクションを制御します。 カスタムロールを定義し、コラボレーターグループを使用して複数のユーザーにプロジェクトアクセスを一度に付与することもできます。
従来のロール
新しい権限モデルは一般提供されており、すべてのワークスペースのデフォルトです。 従来のシステムロール(Admin、Analyst、Operator)をまだ使用している古いワークスペースは、移行するまで引き続き使用できます。 従来のコラボレーターロールは、2026年8月末に非推奨になります。
この新しいアクセス制御を最大限に活用するには、Environmentロールとプロジェクトロールに移行することをお勧めします。 ワークスペース内のカスタムロール数に応じて、手動、組み込みウィザード、またはAPIを使用した大規模な移行を実行できます。
非推奨の期限までにアップグレードする手順については、新しいアクセス制御モデルへの移行ガイドを参照してください。
前提条件
新しい権限モデルを有効にする前に、次の点を確認してください。
- ホームアセット(ルート)フォルダは空である必要があります。 ワークスペースのホームアセットフォルダにまだアセットが含まれている場合は、それらをプロジェクトに移行する必要があります。 詳細については、ホームアセットプロジェクトのドキュメントを参照してください。
移行サポート
Workatoは、次の処理を実行する自動移行を提供しています。
- 各Environmentのホームアセットを標準プロジェクトに変換します。
- 同じ
folder_idとproject_idを保持します。 - ユーザーがルートフォルダに新しいアセットを追加できないようにします。
モデルの仕組み
コラボレーターは、Environmentごとに1つのEnvironmentロール、プロジェクトごとに1つ以上のプロジェクトロールを持つことができます。 Environmentロールはプロジェクトコンテンツへのアクセスを付与せず、プロジェクトロールはEnvironment設定へのアクセスを付与しません。
コラボレーターの責任に基づいてロールを割り当てることができます。 たとえば、IT管理者がプロジェクトコンテンツを表示せずにすべてのEnvironmentのセキュリティ設定を管理できるようにしたり、開発者が他のチームの作業にアクセスせずに1つのプロジェクトでレシピを作成できるようにしたりできます。
次の方法で権限を制御できます。
- システムEnvironmentロール: Environment全体の権限を持つ事前定義ロール
- システムプロジェクトロール: プロジェクトレベルの権限を持つ事前定義ロール
- カスタムロール: 特定のニーズに合わせた権限セット
- コラボレーターグループ: 同じプロジェクトロールを共有するコラボレーターのコレクション
コラボレーター
コラボレーターは個々のワークスペースユーザーです。 ワークスペース管理者から、招待、Environmentロールの割り当て、プロジェクトアクセスの管理を実行できます。
各ユーザーのEnvironmentロールの概要を表示するには、コラボレータータブに移動します。 これらのロールは、各Environmentでのアクセスレベルを定義します。
コラボレーター表示
コラボレーターの招待
コラボレーターを招待してEnvironmentロールを割り当てるには、次の手順を実行します。
ワークスペース管理者 > アクセス制御 > コラボレーターに移動します。
+ コラボレーターを招待をクリックします。
コラボレーターの招待
コラボレーターの名前を入力します。
コラボレーターの名前の入力
コラボレーターのメールアドレスを入力します。
各EnvironmentにEnvironmentロールを割り当てます。 ワークスペースにEnvironmentが1つしかない場合は、デフォルトのEnvironmentにロールを割り当てます。
任意です。 コラボレーターを1つ以上のコラボレーターグループに追加します。
招待を送信をクリックします。
コラボレーター詳細の管理
コラボレーターの名前をクリックして、その詳細ページを開きます。 このページから、そのEnvironmentロールを更新し、プロジェクトレベルのアクセスを表示できます。
Environmentアクセスセクションには、各Environmentでコラボレーターに割り当てられたロールが表示されます。 プロジェクトアクセスセクションには、コラボレーターが各Environmentでアクセスできるプロジェクトと、割り当てられたプロジェクトロールが一覧表示されます。
コラボレーター詳細の管理
コラボレーターのコラボレーターグループを更新することもできます。 グループメンバーシップの変更はすぐに有効になります。
コラボレーターグループアクセスの管理
主要なロール
Workatoのロールベースのアクセス制御システムには、次のロールタイプが含まれます。
- Environmentロールは、プロジェクトの管理、Environment設定の構成、およびEnvironment全体のアクセス制御を行うための権限を定義します。
- プロジェクトロールは、特定のプロジェクト内でコンテンツを作成、デプロイ、および管理するための権限を定義します。
Environmentまたはプロジェクト内でのユーザーの責任に基づいてロールを割り当てます。 たとえば、IT管理者はプロジェクトコンテンツにアクセスせずにすべてのEnvironmentでセキュリティ設定を管理でき、開発者は別のプロジェクトで他のチームの作業を表示せずに1つのプロジェクトでレシピを作成できます。
組織のニーズに基づいて、より詳細な権限を定義するには、カスタムロールを使用できます。 チームの成長に合わせてアクセス制御を拡張するには、コラボレーターグループを使用します。
Environmentロール
Environmentロールは、特定のEnvironmentでのコラボレーターの権限を定義します。 Workatoは、次のシステム定義のEnvironmentロールを提供しています。
- Environment admin: ワークスペース全体およびEnvironment設定を完全に制御できます。
- Environment manager: Environment設定を完全に制御できますが、ワークスペース全体の権限はありません。
- Member: Environment設定への表示専用アクセス。
ユーザーの責任に基づいて、異なるEnvironmentでユーザーに異なるロールを割り当てることができます。
Environmentロールは、プロジェクトコンテンツへのアクセスを付与しません。 Environment管理者を含むコラボレーターは、プロジェクトを開いてプロジェクトアセットを表示、編集、または管理するためにプロジェクトロールが必要です。
Workatoは、Environmentロールを通じた暗黙的なアクセスを付与しません。 プロジェクトロールを割り当てると、アクセスが明示的になり監査ログに表示されるため、機密性の高いプロジェクトや制限付きプロジェクトで重要です。
各ロールに含まれる権限の詳細については、システムEnvironmentロールページを参照してください。
プロジェクトの可視性
EnvironmentロールにManage projects権限を持つユーザーのみが、そのEnvironment内のすべてのプロジェクトのリストを表示し、プロジェクトアクセスを管理できます。 プロジェクト名を確認するためにプロジェクトロールは必要ありませんが、プロジェクトロールがないとプロジェクトコンテンツを開いたり編集したりできません。 他のユーザーは、それらのプロジェクトへの直接アクセス権を持っている場合にのみプロジェクト名を確認できます。
ユーザーへのEnvironmentロールの割り当て
Environment adminロールを持つコラボレーターは、個々のユーザーにロールを割り当てることができます。 ユーザーはEnvironmentごとに異なるロールを持つことができます。 たとえば、DevOpsエンジニアをDevelopmentではEnvironment admin、TestingではMember、プロダクションではNo accessとして割り当てることができます。
Environmentロールを割り当てまたは更新するには、次の手順を実行します。
ワークスペース管理者 > アクセス制御 > コラボレーターに移動します。
コラボレーター表示
コラボレーターを選択します。
EnvironmentアクセスセクションでEnvironmentロールを割り当てます。
Environmentロールの割り当て
複数のEnvironmentが有効になっている場合は、コラボレーターに各Environmentのロールを割り当てます。 ワークスペースにEnvironmentが1つしか含まれていない場合は、使用可能なオプションからロールを選択します。
保存をクリックして変更を適用します。
コラボレーター設定は、ロールを割り当てるとすぐに更新されます。 No accessロールは、ユーザーがEnvironmentを表示したり切り替えたりする機能を削除します。
自分のロール変更時のアクセス喪失
DEV Environmentで自分にNo Accessロール、または管理者権限のないロールを割り当てると、コラボレーターページとワークスペース設定にアクセスできなくなります。
自分のアクセスへの変更を保存する前に、DEV Environmentロールを慎重に確認してください。
プロジェクトロール
プロジェクトロールは、コラボレーターがプロジェクトで実行できるアクションを制御します。 これらのロールには、レシピの作成、コネクションの管理、コンテンツのデプロイ、プロジェクトアセットの表示を行う権限が含まれます。
Workatoは、4つのシステム定義のプロジェクトロールを提供しています。
- Project admin: ユーザー管理と削除を含む、すべてのプロジェクトコンテンツと設定へのフルアクセス。
- Advanced builder: 設定またはユーザー権限を管理するアクセスなしで、作成とデプロイへのフルアクセス。
- Builder: ワークスペースでレビューと承認が有効になっている場合、レシピを作成し、デプロイメントリクエストを送信できます。 Builderは、プロジェクトをレビュー、承認、またはデプロイできません。
- Project operator: すべてのプロジェクトコンテンツを表示し、レシピを実行または停止できます。
個人またはコラボレーターグループにプロジェクトロールを割り当てることができます。 プロジェクトごとに個別のロール割り当てが必要です。 この分離により、チームはプロジェクト全体でアクセスと責任を制御できます。 たとえば、開発者は1つのプロジェクトでBuilder、別のプロジェクトでProject operatorになることができます。
コラボレーターがプロジェクトコンテンツを表示または管理するには、プロジェクトロールが必要です。 Environmentロールはプロジェクトアクセスを付与しません。
各ロールに含まれる権限の詳細については、システムプロジェクトロールページを参照してください。
プロジェクトの作成
Createプロジェクト権限を含むEnvironmentロールを持つユーザーは、自分が作成したすべてのプロジェクトに対してProject adminロールを自動的に受け取ります。 Manage projects権限を持つ他のコラボレーターは、プロジェクトの作成後に作成者のプロジェクトロールを編集できます。
プロジェクトアクセスとロールの管理
プロジェクトアクセスは、各プロジェクトの設定で直接管理できます。 コラボレーターまたはグループにプロジェクトアクセスを付与するには、プロジェクトロールを明示的に割り当てます。 または、すべてのワークスペースユーザーにデフォルトアクセスを設定できます。
Project admin、またはManage projects権限を付与するEnvironmentロールを持つユーザーのみが、プロジェクトアクセスを管理できます。
プロジェクトへのユーザーまたはグループの追加
プロジェクトロールを割り当てるには、次の手順を実行します。
Workatoでプロジェクトを開きます。
設定 > プロジェクトアクセスに移動します。
プロジェクトアクセスに移動
Add collaboratorsをクリックします。
コラボレーターまたはグループのProject roleを選択します。
追加する1人以上のコラボレーターまたはグループを選択します。
プロジェクトへのコラボレーターの追加
Addをクリックします。 ユーザーまたはグループは、割り当てられたロールとともにプロジェクトアクセスリストに表示されます。
グループをプロジェクトに割り当てると、そのメンバーはグループのロールに従ってアクセス権を受け取ります。 たとえば、データチームグループにProject operatorロールを割り当てると、各グループメンバーはプロジェクトコンテンツを表示し、レシピを実行または停止できます。 複数のコラボレーターまたはグループをプロジェクトに割り当てることができます。
グループ全体の有効な権限
ユーザーが複数のグループに所属している場合、その有効な権限は、割り当てられたすべてのロール全体で組み合わされます。 詳細については、Workatoが権限の競合を解決する方法セクションを参照してください。
コラボレーターアクセスの削除
プロジェクトアクセスを取り消すには、次のいずれかのオプションを選択します。
- プロジェクトアクセスリストで、コラボレーターのロールをNo accessに設定します。 これにより、コラボレーターがプロジェクトコンテンツにアクセスできなくなります。
- コラボレーターの名前の横にある削除アイコンをクリックして、そのプロジェクトロール割り当てを完全に削除します。
すべてのコラボレーターのデフォルトアクセス
デフォルトアクセス設定は、明示的な個別割り当てまたはグループ割り当てがないすべてのワークスペースコラボレーターに対して、プロジェクトロールを定義します。 Workatoは、プロジェクトアクセスページのEveryone elseエントリを通じてデフォルトアクセス設定を適用します。 この設定は、各プロジェクトとEnvironmentに個別に適用されます。
デフォルトアクセス設定
デフォルトのプロジェクトアクセス設定はNo accessです。 この設定は、Project operatorやBuilderなど、使用可能な任意のプロジェクトロールに変更して、ユーザーを個別に割り当てずに一般的なアクセスを付与できます。
たとえば、デフォルトロールをProject operatorに設定すると、個別またはグループ割り当てを通じて別のロールを持っていない限り、すべてのコラボレーターにEnvironment内のプロジェクトでの表示アクセスと、レシピを実行または停止する機能が付与されます。
デプロイメント中のプロジェクトロールの割り当て
ユーザーがプロジェクトを新しいEnvironmentに初めてデプロイし、同じ名前のプロジェクトが存在しない場合、WorkatoはそのEnvironmentに新しいプロジェクトを作成します。 ユーザーには、ターゲットEnvironmentでCreateプロジェクト権限を含むEnvironmentロールと、ソースEnvironment内のプロジェクトに対するDeploy権限が必要です。 Workatoは、新しく作成されたプロジェクトでユーザーにProject adminロールを割り当てます。 Project adminは、新しいEnvironmentで他のコラボレーターのアクセスを管理できます。
同じ名前のプロジェクトがターゲットEnvironmentにすでに存在する場合、ユーザーはデプロイメントを完了するために、ソースとターゲットの両方のEnvironmentでDeploy権限を持っている必要があります。
Workatoは、元のEnvironmentでプロジェクトロールを持つコラボレーターも検出し、新しいEnvironmentで同じロールを割り当てることを提案します。 提案を承認、変更、または拒否できます。
カスタムロール
Workatoは、Environmentレベルとプロジェクトレベルの両方でカスタムロールをサポートしています。 システム定義ロールがアクセス要件を満たさない場合は、カスタムロールを使用します。 事前定義されたリストから権限を選択して、これらのロールを作成できます。
カスタムEnvironmentロールの作成
カスタムEnvironmentロールは、プロジェクトの作成、ユーザーの管理、またはEnvironment設定の構成を実行できるユーザーを定義します。
ワークスペース管理者 > Environmentロールに移動します。
+ Environmentロールを追加をクリックします。
Environmentロールの追加
必要な権限を選択し、ロールを保存します。
使用可能な権限とその説明の完全なリストについては、Environment権限リファレンスを参照してください。
カスタムプロジェクトロールの作成
カスタムプロジェクトロールは、レシピの作成、コンテンツのデプロイ、またはプロジェクトアセットの管理を実行できるユーザーを定義します。
ワークスペース管理者 > プロジェクトロールに移動します。
新しいロールを作成するには、+ Add project roleをクリックします。
プロジェクトロールの追加
必要な権限を選択し、ロールを保存します。
使用可能な権限とその説明の完全なリストについては、プロジェクト権限リファレンスを参照してください。
コラボレーターグループ
コラボレーターグループはアクセス管理を簡素化します。 各グループは、複数のユーザーを含む単一の単位として機能します。 グループにプロジェクトロールを割り当てて、すべてのメンバーにアクセスを自動的に付与できます。
コラボレーターグループ
個別の割り当てが必要
コラボレーターグループを通じてEnvironmentロールを付与することはできません。 グループに所属している場合でも、Environmentアクセスは各ユーザーに個別に割り当てる必要があります。
コラボレーターグループを使用して、QAテスターやマーケティングチームなど、チームまたは機能別にユーザーを整理します。 コラボレーターは複数のグループに所属できますが、グループのネストはサポートされていません。
詳細については、コラボレーターグループガイドを参照してください。
AHQモデレーターとOEMカスタマーマネージャー
Workatoは、Embeddedおよび管理対象ワークスペースをサポートするために、AHQモデレーターとOEMカスタマーマネージャー専用のユーザーアカウントをサポートしています。 これらのユーザーは、標準コラボレーターとは異なるアクセスルールに従います。
グループメンバーシップ
AHQモデレーターとOEMカスタマーマネージャーは、標準のワークスペースコラボレーターに適用されるデフォルトアクセス設定には含まれません。 これらのアクセスは個別に割り当て、管理する必要があります。
ロール割り当て
新しいアクセス制御モデルでは、ワークスペース管理者がモデレーターまたはカスタマーマネージャーを追加するときに、Environmentロールとプロジェクトロールの両方を割り当てる必要があります。 これは、単一のコラボレーターロールがすべてのアクセスを制御していた以前のワークフローを置き換えます。 EnvironmentロールはすべてのEnvironmentに適用され、プロジェクトロールはカスタマーまたは管理対象ワークスペース内のすべてのプロジェクトに適用されます。 カスタマーマネージャーまたはモデレーターは、どのコラボレーターグループにも追加できません。
継承されたロール
AHQ管理者とEmbeddedパートナーは、カスタムの継承可能なロールを作成できます。 これらのロールは、編集不可のロールとしてすべての管理対象ワークスペースに自動的に表示されます。 継承可能なロールは、プロジェクトスコープの制限なしに、すべての管理対象ワークスペースに適用されます。
Workatoが権限の競合を解決する方法
ユーザーが、同じプロジェクトで異なるロールを持つ複数のコラボレーターグループに所属している場合、Workatoは権限を組み合わせます。
ユーザーには、割り当てられたロールのいずれかによって付与されるすべての権限が付与されます。 Workatoは、ロールに優先順位を付けたり上書きしたりするのではなく、権限セットをマージします。
たとえば、同じプロジェクトで、ユーザーがProject operatorロールを持つグループとBuilderロールを持つ別のグループに所属している場合、Workatoは両方の権限セットをマージします。 ユーザーはレシピを表示および作成できます。 割り当てられたロールのいずれかが権限を付与している場合、ユーザーはその権限を受け取ります。
主な制限事項
Workatoは、Environmentロールの割り当てを個別ユーザーレベルでのみサポートしています。 コラボレーターグループはプロジェクトロールを制御しますが、Environmentアクセスは付与できません。 管理者は、ログイン時のアクセスの問題を防ぐために、必要なEnvironmentロールをすべて事前に定義する必要があります。
Last updated: