ロールと権限を作成する
概要
メンバーの役割に応じた、割り当て可能なロールと権限を作成することができます。
利用目的
ロールと権限の作成機能は、以下の目的で利用されます。
- 業務内容に応じたアクセス制御の実現: 部署・職種・担当業務に合わせて、利用できる機能や閲覧できるデータの範囲を細かく制御できます。
- 情報漏えい・誤操作リスクの低減: 不要な書き込み権限や削除権限を持つメンバーを減らすことで、重要データの誤更新や削除、機密情報の閲覧を防止します。
- 提携先や外部パートナーへの安全な権限委譲: 倉庫業務の委託先や営業代行会社など、社外の担当者に対しても、必要最小限の機能・データのみにアクセス範囲を限定したうえで操作権限を付与できます。
- 権限管理の一元化と運用負荷の削減: メンバー単位ではなくロール単位で権限を管理することで、担当変更・異動時の権限付与・剥奪を効率的に行えます。
- コンプライアンスおよび内部統制の強化: 「最小権限の原則」を満たす権限設計を行うことで、監査やセキュリティポリシーへの準拠を支援します。
機能の説明
ロールと権限とは?
「ロール」とは、メンバーに対してデータのアクセス可能範囲や操作権限(読み取り・書き込み) を細かく指定するための設定機能です。
「システムロール」だけではアクセス可能な範囲が広すぎる場合に、ロールと権限を組み合わせることで、以下のように業務内容に合わせた制限を行うことができます。
- 一部の機能のみアクセスを許可する
- 編集を禁止し、閲覧のみ許可する
- 担当者として割り当てた顧客のデータのみ閲覧・編集を可能にする
このように、ロールと権限を利用することで、メンバーごとにきめ細かなデータアクセス制御が可能になります。
ロールの適用対象と管理できるメンバー
作成したロールは、システムロールが「メンバー」かつシステム権限が「書き込み」 のメンバーに対して付与できます。
これにより、「メンバー/書き込み」のメンバーごとに、アクセスできるデータの範囲や実行可能な操作を制御できます。
ロールの作成や編集などの管理操作は、以下のメンバーが行うことができます。
- システムロールが「プライマリーオーナー」のメンバー
- システムロールが「オーナー」のメンバー
- システムロールが「メンバー」かつシステム権限が「管理者」のメンバー
権限設定による画面上の挙動
ロールで「読み取り」権限のみを許可したメンバーは、データの閲覧はできますが、作成・編集・削除などの書き込み操作はできません。
権限設定の内容に応じて、画面上では書き込みに関連するボタンやメニューが非表示・無効化されるなど、操作が制限されます。
「システムロール / システム権限」との違い
「システムロール」は、メンバーそのものの役割を定義する上位概念であり、先述した「ロールと権限」のように個別の設定情報を登録し、メンバーに付与する構造とは異なります。
「システムロール」は、主に下記2つのいずれかを設定することができます。
- オーナー:
DEXTREの全ての機能を使用することができます。
なお、メーカー内のいずれか1名のオーナーは、代表者として「プライマリーオーナー」という特別なロールになります。 - メンバー:
DEXTREの一部機能が制限されます。
現在はご契約関連の操作に制限を設けています。
「システム権限」も同様に、メンバーに対して直接定義します。
主に下記2つのいずれかを設定することができます。
- 管理者:
「システムロール」で許可されている、全ての機能を使用することができます。
システムロールが「オーナー」の場合、システム権限は「管理者」に固定されます。 - 書き込み:
本ドキュメントのメインテーマである、「ロールと権限」の設定を行うことが可能なシステム権限です。
特に何も制限を設けない場合、業務遂行に関しては「メンバー / 管理者」とほぼ同等の操作権限を持ちます。
※「メンバー招待」など、一部の重要な操作は制限されています。
操作方法
操作画面への移動
この操作は「プライマリーオーナー」、「オーナー」、「メンバー / 管理者」のメンバーが行うことができます。
- 画面左上の メーカー設定 > メーカー設定を開く をクリックします。
- メンバー をクリックします。
- アクセス制御 をクリックします。
- ロールと権限の作成 をクリックします。
「ロールと権限の作成」ページに遷移します。
フォームの入力方法
基本設定
- コード ※必須
主にDEXTRE内のシステムが識別子として使用する、「コード」を入力します。
半角英数字記号での登録を推奨します。
なお、他のロールと重複するコードは登録できません。 - ロール名 ※必須
ロールの名称を入力します。 - 概要 ※任意
ロールの概要を入力できます。
ロール設定
現在、設定可能な項目はありません。今後のリリースで拡張予定です。
権限設定
対象リソースごとに、「アクセス可能範囲」「操作」の組み合わせを設定します。
-
設定するリソースを展開
- すべて展開: 全リソースの詳細を展開します。
- 一部のリソースのみ展開: 各リソースの右側にある「>」をクリックし詳細を展開します。
-
アクセス可能範囲
以下2つのうちのいずれかをラジオボタンで選択してください。-
すべて: 全範囲を対象とした操作権限が設定されます。
-
メンバーが担当する顧客バイヤー:
メンバーが担当するバイヤーのみを対象とした操作権限が設定されます。※リソースによっては「すべて」のみ表示され、「メンバーが担当する顧客バイヤー」は表示されません。
-
-
操作
以下2つのうちのいずれかをラジオボタンで選択してください。- 読み取りのみ: アクセス可能範囲内のリソースに対して、データの閲覧のみ行うことができます。
- 読み取り・書き込み:
アクセス可能範囲内のリソースに対して、データの閲覧、および書き込みを行うことができます。
「書き込み」とは、データの作成、編集、削除など、データの書き込み操作全般を指します。
すべての権限を選択のチェックボックスにチェックをつけると、全リソースに対して以下の組み合わせが設定されます。
- アクセス可能範囲: すべて
- 操作: 読み取り・書き込み
また、各リソース名の左にあるチェックボックスにチェックをつけると、対応するリソースごとに以下の組み合わせが設定されます。
- アクセス可能範囲: すべて
- 操作: 読み取り・書き込み
「アクセス可能範囲」「操作」の組み合わせ例
権限の組み合わせによって、許可される操作がハイライトされます。
-
対象リソースすべての範囲に対する「読み取り・書き込み」操作の権限
- アクセス可能範囲: すべて
- 操作: 読み取り・書き込み
-
対象リソースすべての範囲に対する「読み取りのみ」操作の権限
- アクセス可能範囲: すべて
- 操作: 読み取りのみ
-
アクセス可能なデータの範囲が「メンバーが担当する顧客バイヤー」に対する「読み取り・書き込み」操作の権限
- アクセス可能範囲: メンバーが担当する顧客バイヤー
- 操作: 読み取り・書き込み
操作の実行
各種設定が完了したら、作成をクリックします。
作成に成功すると、「ロールと権限」一覧に作成したロールが表示されます。
エラーが表示された場合は、他のロールと重複するコードが登録されていないかご確認ください。
利用上の注意
ロールと権限を作成する機能を利用する際は、以下の点にご注意ください。
ロール作成の権限を持つメンバー
ロールと権限の作成を行えるのは、システムロールが 「プライマリーオーナー」「オーナー」 またはシステム権限が 「管理者」 のメンバーのみです。
ロールの適用対象と挙動
作成したロールは、システムロールが「メンバー」かつシステム権限が「書き込み」のユーザーに付与することができます。
ロールを付与されたメンバーは、ロール内で「許可」されたリソース以外は閲覧・操作ができなくなります。
※必要なリソースへの権限を含め忘れると、業務に必要なデータが見られなくなる可能性があります。
登録済みのコードと重複するコードは使用できません
「コード」はシステム全体での識別子となるため、既存のロールと同じコードは登録できません。
管理しやすい一意の半角英数字を設定してください。
「すべて展開」および一括チェック機能について
「すべての権限を選択」や各リソース横のチェックボックスを使用すると、自動的に「アクセス可能範囲: すべて」「操作: 読み取り・書き込み」が設定されます。
意図せず過剰な権限を与えてしまわないよう、一括設定後は必ず内容をご確認ください。
アクセス可能範囲の制限事項
「アクセス可能範囲」において、「メンバーが担当する顧客バイヤー」という選択肢は、「顧客バイヤー」や「注文」、「納品書」など、バイヤー情報と紐づく一部のリソースでのみ選択可能です。
それ以外のリソースでは「すべて」のみ選択可能です。
作成数の上限について
ロールの作成は最大5つまでに制限されています。
上限に達している状態で新しいロールを作成することはできません。
不要になったロールを削除するか、既存のロールを編集して再利用してください。
※既存のロールを編集する場合、そのロールが付与されている全てのメンバーの権限に即時反映されますのでご注意ください。