グループ

本章では、グループの概念とプロファイルの設定方法について説明します。

1. 概要

TACFのGROUP(以下、グループ)は、特定のリソースを共有するユーザー・グループです。共有するリソースへの権限をユーザーではなく、グループ単位で管理することができるため、プロファイルもグループごとに管理することができます。

ユーザー・グループは、特定のグループのサブグループ(sub-group)に属することが可能であり、上位グループ(superior-group)は複数のグループをサブグループとして持つことができます。これによって、グループ間の階層構造を表すことができます。

2. グループ・プロファイル

新しいユーザー・グループを登録すると、そのユーザーのグループ・プロファイルが作成されます。グループを登録する際に指定した情報がプロファイルの各フィールドに保存されます。グループの登録時には、必ずGROUPNAMEを指定してください。その他のフィールドはユーザーが定義した設定値が自動的に設定されます。

以下は、グループ・プロファイルに保存されるグループの情報です。

フィールド 説明

GROUPNAME

グループ名を設定します。(必須項目)

OWNER

ユーザーIDまたはグループ名を設定します。

指定しない場合は、デフォルトとして登録者のユーザーIDが設定されます。

SUPGROUP

上位クループ名を設定します。

SUBGROUP

サブグループ名を設定します。

現在のTACFでは、グループ・プロファイルのMODEL、DATA、CREATION、FLAGSフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。

3. グループ・プロファイルの所有者

特定のユーザーまたはグループをグループ・プロファイルの所有者として指定することができます。

グループの所有者は、該当のグループに以下の権限を付与することができます。

  • ユーザーをグループに接続したり、接続を解除したりします。

  • グループ・プロファイルを検索、変更または削除します。

会社の同じ部署またはプロジェクトに参加するメンバーは、同じリソースにアクセスすることが多く、このようなグループに属しているメンバーは、同じアクセス権限を持ちます。TACFでは、リソースへのアクセス制御をユーザーごとに管理するのではなく、ユーザーを論理的に1つのグループにして管理することができます。ユーザーとグループの接続(CONNECT)とは、ユーザーが属しているグループの情報を規定することです。

4.1. 接続グループの属性

ユーザーが特定のグループに所属されると、ユーザーがグループに接続されたことになります。ユーザーは関連づけられたグループの属性を指定することができます。属性の種類はユーザー属性と同じです。ユーザー属性についての詳細は、ユーザー属性を参照してください。

接続グループのSPECIAL属性を持っているユーザーは、グループのGROUP-SPECIAL属性を持つことになるため、接続グループが所有しているリソースにアクセスすることができます。つまり、当該ユーザーにリソースへのアクセス権限が明示されていなくても、グループが所有しているリソースへのアクセス権限を持つことになります。

また、接続グループのAUDITOR属性を持っているユーザーは、グループのGROUP-AUDITOR属性を持つことになるため、グループが所有しているすべてのリソースを検索することができます。

4.2. 接続グループの権限

上位グループに接続されたユーザーにサブグループのプロファイルを登録、削除、変更、または検索できる権限を付与します。また、ユーザーをグループに接続される権限(CONNCECT)を付与することができます。

以下は、接続グループが所有できる権限についての説明です。

権限 説明

USE

リソースの所有者であるか、またはリソースへのアクセス権限が明示されているリソースにアクセスできます。

CREATE

グループのデータセット・プロファイルを作成することができます。USE権限を含みます。

CONNECT

特定のユーザーをグループに接続されます。USE権限とCREATE権限を含みます。

JOIN

新しいユーザーまたはグループを作成し、ユーザーまたはグループに権限を付与することができます。

5. 接続プロファイル

ユーザーをグループに接続すると接続プロファイルが作成され、登録する際に指定した情報がプロファイルの各フィールドに保存されます。

登録する際の入力必須項目はユーザーID(USERID)とグループ名(GROUPNAME)です。その他のフィールドはユーザーが定義した設定値が自動的に設定されます。

以下は、接続プロファイルに保存されるユーザーとグループ間の接続情報です。

フィールド 説明

USERID

ユーザーIDを設定します。(必須項目)

GROUPNAME

グループ名を設定します。(必須項目)

AUTHORITY

グループへのユーザー権限を設定します。

  • USE

  • CREATE

  • CONNECT

  • JOIN

詳細については、接続グループの権限を参照してください。

ATTR

ユーザー・プロファイルのATTRと同じグループの属性情報を設定します。

  • group-special attribute

  • group-auditor attribute

  • CONNECT

  • JOIN

詳細については、ユーザー情報のATTRを参照してください。

ACCOUNT

システムにログインする際、自身が属している複数のグループから1つを選択してログインすることができます。ログイン時に選択したグループへの接続回数を設定します。

LCONNECT

システムへの最終ログイン時間を設定します。

現在のTACFでは、接続プロファイルのUACC、CREATION、FLAGフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。