アカウント設定・グループ権限の運用設計と設定例について知りたいです。
1. アカウント設定、グループ権限の運用設計方針について
必要な要件を明らかにすることで、設定の複雑さを最小限にするとSmartPOSTをシンプルに効率よく利用できます。
次の条件について検討し、それぞれに当てはまる選択をすることをおすすめします。
a.カスタムロールの利用について検討
操作権限についてプリセットロール(オーナー、承認者、メンバー)で権限管理の要件を満たしているかどうかを検討します。
- 満たしている場合:プリセットロールのみを利用
- 満たしていない場合:プリセットロール + カスタムロールを利用
b.グループの利用について
登録された管理者の間で、各プロジェクトの閲覧について制限する必要があるかどうかを検討します。
- 必要な場合:グループを利用する
- 不要な場合:グループを利用しない
c.グループのポリシー付与について
グループのポリシー付与については個別のケースによって判断が必要です。
グループのポリシーを利用すると、管理者がどういった権限を持つか、管理するのに複雑になりすぎるケースがあり、注意が必要です。
特定のグループのみに対して、より強い権限を与えたい、といったところが利用すべきか検討のポイントとなりますが、その場合、カスタムロールによって設定するとう選択肢もあります。
具体的な要件について検討し、運用に沿った設計をすることをおすすめします。
2. 設定例
設定例としては下図のような例が考えられます。
※課の名前などは例として記載しています。
a.グループの設定例
実際にSmartPOSTを利用して住民宛てに通知を作成する担当原課の想定として、のように部署単位でグループを設定しています。
b.ロール、カスタムポリシーの設定例
ロールに関しては、プロジェクト承認なども可能な担当者を想定した、承認権限は付与されていない担当者向けを想定したが管理者に付与されてます。これは部署ごとに用意するのではなく、複数の部署に対して一般化することで運用負荷軽減の効果があります。
また、このケースではSmartPOSTの管理運用についてはデジタル行政支援課が担当し、I 課長が責任者としてが設定されていて、実務を担う他担当者については、オーナー権限に近いものの、もう少し権限(例えば同意権限など)を取り除かれたが設定されています。
また、現状の権限設定を運用するにはポリシーについてカスタム運用する場合は、管理運用する担当者に絞ってカスタムポリシーの書き込み権限を付与することが推奨されます。上記のケースにおいてはに限定することがおすすめです。これは誤ったポリシー操作による事故を避けるためです。
c.グループ権限の設定例
図の下部に記載されているのはプロジェクトです。
(※本節では前提として、プロジェクト作成者の権限については除外、プロジェクトの操作に必要な権限は付与されているものとして記載しています。)
それぞれに対し、グループ権限が付与されており、グループと線で結ばれているプロジェクトが、可視、操作可能であることを表しています。
例えばが付与されたprojectA, projectB はに所属する管理者からのみ可視であり、操作可能です。
projectD, projectE についても同様で、に所属する管理者からのみ可視であり、操作可能です。
projectC については部署横断で閲覧したいような通知を作成する際に、グループ権限を、と複数設定すると両グループに所属する管理者から可視、操作可能なプロジェクトとすることができます。
また、グループの設定がされていないprojectF についてはどの管理者からも可視、操作可能なプロジェクトとなります。