ロールと組織を管理する
DoiT プラットフォームでは、ユーザーのロールと所属する組織を管理できます。DoiT プラットフォーム内で各ユーザーにロールや組織を手動で割り当てる代わりに、Azure AD や Okta など、貴社のユーザー管理システムで設定されたグループや属性を使用してロールを制御できます。これにより、DoiT へのアクセス管理�が容易になり、他のアプリケーションの管理方法と一貫性が保たれます。
これには、カスタム属性 または グループマッピング を使用できます。DoiT プラットフォームで複数のロールや組織を使用したい場合は、グループマッピング を使用して、グループをロールにマッピングしてください。
ユーザーは IdP を通じて作成および更新されます。ユーザーのオフボーディング時に、IdP で無効化されると、そのユーザーは DoiT プラットフォームへのアクセスを失います。DoiT プラットフォーム自体はユーザーを無効化しません。
既定のロール
カスタム属性またはグルー��プマッピングを使用してロールと組織を構成しない場合、DoiT プラットフォームは新規ユーザーに組織の既定のロールを割り当てます。
DoiT コンソールで既定のロールを設定しても、既存のユーザーには影響しませんが、カスタム属性またはグループマッピングを使用して既定のロールを明示的に設定した場合、影響を受ける可能性があります。詳細は IdP 固有のドキュメントを参照することをお勧めします。
グループマッピングを使用して構成する
グループを使用すると、DoiT コンソールでユーザーに対して複数のロールと組織を構成できます。各グループをロールと組織にマッピングできます。
グループは、複数の個別の値として送信されるように IdP で構成する必要があります。
このためには、SSO グループ ID を DoiT コンソールで特定の DoiT ロールと組織に割り当てます。
注意事項:
-
DoiT コンソールで構成されたグループマッピングは、Admin ユーザーには適用されません。
-
カスタム属性 はグループマッピングより優先されます。
-
招待された非管理者ユーザーについて、カスタム属性 またはグループマッピングが構成されていない場合は、招待に含まれるロールと組織の値が適用されます。
-
各グループは 1 つのロールと組織にマッピングできますが、同じロールと組織を複数のグループにマッピングすることは可能です。
-
ユーザーのグループメンバーシップが複数のグループに一致する場合、一覧で最初に表示されるマッピングルールが適用されます。以降のマッピングルールは無視されます。必要に応じて、グループを一覧内で上下に移動できます。
カスタム属性を使用して構成する
IdP のカスタム属性を使用して、ユーザーごとに 1 つのロールと 1 つの組織を構成できます。
ロール
ユーザーごとにカスタム属性 doit_platform_role_id を設定することで、IdP を介して DoiT プラットフォームのユーザーロールを構成できます。属性の値は、対象のDoiT プラットフォームのユーザーロールのロール ID である必要があります(DoiT コンソールでのロール ID の確認方法は Role ID を参照)。
組織
ユーザーごとにカスタム属性 doit_platform_org_id を設定することで、IdP を介して DoiT プラットフォームのユーザー組織を構成できます。属性の値は、対象のDoiT プラットフォームのユーザー組織の組織 ID である必要があります。
IdP が doit_platform_org_id の値を提供しない場合、ユーザーには組織が割り当てられません。