2 グループおよびユーザーの権限の設定
この章では、Private Automation Hubを使用して、管理者がロール、グループおよびユーザーを作成し、権限をグループ・レベルで割り当ててロール・レベルで定義する方法について説明します。 これらの権限は、ロールベースのアクセス制御に基づきます。
ノート:
この章で説明するPrivate Automation Hubアクセス・レベルを、LDAPなどの外部アイデンティティ管理サービスと統合できます。 LDAPユーザー・アカウント情報は、LDAPユーザー・アカウントが最初にPrivate Automation Hubにログインするまで、Private Automation Hubには表示されません。 ユーザーおよびグループのLDAP認証およびマッピングの詳細は、「Oracle Linux Automation Manager 2: Private Automation Hubインストレーション・ガイド」を参照してください。ノート:
また、事前定義された1つ以上の権限に基づいてカスタム・ロールを作成できます。表2-1 ロールに基づくアクセス制御ロールの説明
ロール | 権限 | 説明 |
---|---|---|
galaxy.collection_admin |
ネームスペースの追加 ネームスペースの変更 ネームスペースの削除 ネームスペースにアップロード Ansibleリポジトリ・コンテンツの変更 コレクションの削除 コレクションのリモートを変更 コレクションのリモートを見る |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.collection_curator |
Ansibleリポジトリ・コンテンツの変更 コレクションのリモートを変更 コレクションのリモートを見る |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.collection_namespace_owner |
ネームスペースの変更 ネームスペースにアップロード |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.collection_publisher |
ネームスペースの追加 ネームスペースの変更 ネームスペースにアップロード |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.content_admin |
ネームスペースの追加 ネームスペースの変更 ネームスペースの削除 ネームスペースにアップロード コレクションのリモートを変更 コレクションのリモートを見る 新規コンテナの作成 コンテナ・ネームスペース権限の変更 コンテナの変更 イメージ・タグの変更 既存のコンテナにプッシュ コンテナ・リポジトリの削除 リモート・レジストリの追加 リモート・レジストリの変更 リモート・レジストリの削除 |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.execution_environment_admin |
新規コンテナの作成 コンテナ・ネームスペース権限の変更 コンテナの変更 イメージ・タグの変更 既存のコンテナにプッシュ コンテナ・リポジトリの削除 リモート・レジストリの追加 リモート・レジストリの変更 リモート・レジストリの削除 |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.execution_environment_collaborator |
コンテナの変更 イメージ・タグの変更 既存のコンテナにプッシュ |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.execution_environment_namespace_owner |
コンテナ・ネームスペース権限の変更 コンテナの変更 イメージ・タグの変更 |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.execution_environment_publisher |
新規コンテナの作成 コンテナ・ネームスペース権限の変更 コンテナの変更 イメージ・タグの変更 既存のコンテナにプッシュ |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.group_admin |
グループの追加 グループの変更 グループの削除 |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.task_admin |
タスクの変更 タスクの削除 すべてのタスクの表示 |
このロールを持つグループのメンバーは次のことを実行できます:
|
galaxy.user_admin |
標準ユーザーの追加 標準ユーザーの変更 標準ユーザーの削除 標準ユーザーの表示 ノート: スーパー・ユーザーのみがスーパー・ユーザー・アカウントを編集できます。 galaxy.user_adminロールの権限は、標準ユーザーにのみ適用されます。 |
このロールを持つグループのメンバーは次のことを実行できます:
|
ユーザーの設定
Private Automation Hubには、次のユーザー・タイプがあります:
-
デフォルトの
admin
スーパー・ユーザー - Private Automation Hubをインストールすると、ユーザー名
admin
のスーパー・ユーザーが自動的に作成されます。admin
アカウントを使用すると、ログインしてシステムを設定できます。たとえば、組織で必要とされるユーザー、他のスーパー・ユーザー、グループおよびロールを作成できます。 デフォルトでは、admin
はどのグループにも属していません。ノート:
スーパー・ユーザー(
admin
としてsudh)は、所属するグループに関係なく、すべてのシステム権限を持ちます。 - スーパー・ユーザー
-
Private Automation Hubでは、スーパー・ユーザー・アカウントを使用して、デフォルトの
admin
ユーザーに加えて他のスーパー・ユーザーを作成できます。 - ユーザー
- Private Automation Hubでは、スーパーユーザー権限を持たない標準ユーザーも作成できます。
ノート:
Standardユーザーは、グループ・メンバーシップによってほとんどの権限を取得できます。
たとえば、標準ユーザーstandard_user_1を作成すると、新しく作成されたユーザーは、Private Automation Hubにあるネームスペースにコレクションをアップロードできなくなります。 standard_user_1でコレクションを既存のネームスペースにアップロードできるようにするには、次のような追加のステップを実行する必要があります:
-
グループGroup_Namespace_Uploadersを作成します。
-
ネームスペースにアップロードする権限を持つ組込みロール(たとえば、
galaxy.collection_namespace_owner
)をグループGroup_Namespace_Uploadersに割り当てます。 -
standard_user_1
をグループGroup_Namespace_Uploadersに追加します。 -
standard_user_1
がPrivate Automation Hubのネームスペースにコレクションをログオンしてアップロードできることを確認します。
グループおよびロールの詳細は、「グループおよびユーザーの権限の設定」、「ロールの設定」および「グループの設定」を参照してください
-
ユーザーを設定するには、次の手順を実行します:
-
Private Automation Hubにログインします。
-
「ユーザー・アクセス」セクションで、「ユーザー」をクリックします。
ユーザー・ページが表示されます。
-
「作成」ボタンをクリックします。
新規ユーザーの作成ページが表示されます。
- 「ユーザー名」フィールドにユーザー名を入力します。
- 「名」フィールドに、名を入力します。
- 「姓」フィールドに、姓を入力します。
- 電子メール・フィールドに電子メール・アドレスを入力します。
- 「パスワード」フィールドに、パスワードを入力します。
ノート:
パスワードは9文字以上で、特殊文字(<!@$%>など)を含める必要があります。 共通の名前や式は使用しないようにします。 - 「パスワードの確認」フィールドで、パスワードを繰り返します。
- 「グループ」リストから、1つ以上のグループを選択します。
- ユーザーにスーパーユーザー特権を付与する場合は、「ユーザー・タイプ」ボタンをクリックします。
- 「保存」をクリックします。
ロールの設定
-
Private Automation Hubにログインします。
-
「ユーザー・アクセス」セクションで、「ロール」をクリックします。
「ロール」ページが表示され、使用可能なすべての事前定義済ロールおよびカスタム・ロールがリストされます。
-
「ロールの追加」ボタンをクリックします。
新しいロールの作成ページが表示されます。
- 「名前」フィールドに、ロール名を入力します。 名前は、
galaxy.
という語で始まる必要があり、文字と数字のみを含めることができます。 - 説明フィールドに、ロールの説明を入力します。
- 「権限」領域で、1つ以上の事前定義済権限から1つ以上の権限を選択します。
- 「保存」をクリックします。
新しく作成したロールが「ロール」ページのリストに追加されます。
グループの設定
グループを作成するには、次の手順を実行します:
-
Private Automation Hubにログインします。
-
「ユーザー・アクセス」セクションで、「グループ」をクリックします。
グループ・ページが表示されます。
-
「作成」ボタンをクリックします。
「グループの作成」ダイアログが表示されます。
-
「名」フィールドに、グループの名前を入力します。
- 「作成」をクリックします。
グループの新しいページが表示されます。
- 「アクセス」タブをクリックします。
- 「ロールの追加」をクリックします。
「ロールの追加」ダイアログが表示されます。
-
「ロールの選択」領域から、このグループに関連付けられているユーザーが使用できる権限を定義するロールのリストから選択します。 事前定義済ロールの詳細は、「グループおよびユーザーの権限の設定」を参照してください。 カスタム・ロールの詳細は、「ロールの設定」を参照してください。
- 「次へ」をクリックします。
「プレビュー」ページが表示されます。
- 「追加」をクリックします。
グループ・ページが表示されます。
- 「ユーザー」タブをクリックします。
グループに関連付けられているユーザーのリストが表示されます。 このグループは新規作成されるため、ユーザーはリストされません。
- 「追加」をクリックします。
「選択したユーザーをグループに追加」ダイアログが表示されます。
- リストから、1人以上のユーザーを選択します。
- 「追加」をクリックします。
追加したユーザーが「ユーザー」タブに表示されます。