グループ
本章では、グループの概念とプロファイルの設定方法について説明します。
1. 概要
TACFのGROUP(以下、グループ)は、特定のリソースを共有するユーザー・グループです。共有するリソースへの権限をユーザーではなく、グループ単位で管理することができるため、プロファイルもグループごとに管理することができます。
ユーザー・グループは、特定のグループのサブグループ(sub-group)に属することが可能であり、上位グループ(superior-group)は複数のグループをサブグループとして持つことができます。これによって、グループ間の階層構造を表すことができます。
2. グループ・プロファイル
新しいユーザー・グループを登録すると、そのユーザーのグループ・プロファイルが作成されます。グループを登録する際に指定した情報がプロファイルの各フィールドに保存されます。グループの登録時には、必ずGROUPNAMEを指定してください。その他のフィールドはユーザーが定義した設定値が自動的に設定されます。
以下は、グループ・プロファイルに保存されるグループの情報です。
フィールド | 説明 |
---|---|
GROUPNAME |
グループ名を設定します。(必須項目) |
OWNER |
ユーザーIDまたはグループ名を設定します。 指定しない場合は、デフォルトとして登録者のユーザーIDが設定されます。 |
SUPGROUP |
上位クループ名を設定します。 |
SUBGROUP |
サブグループ名を設定します。 |
現在のTACFでは、グループ・プロファイルのMODEL、DATA、CREATION、FLAGSフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。 |
3. グループ・プロファイルの所有者
特定のユーザーまたはグループをグループ・プロファイルの所有者として指定することができます。
グループの所有者は、該当のグループに以下の権限を付与することができます。
-
ユーザーをグループに接続したり、接続を解除したりします。
-
グループ・プロファイルを検索、変更または削除します。
4. ユーザーとグループの接続
会社の同じ部署またはプロジェクトに参加するメンバーは、同じリソースにアクセスすることが多く、このようなグループに属しているメンバーは、同じアクセス権限を持ちます。TACFでは、リソースへのアクセス制御をユーザーごとに管理するのではなく、ユーザーを論理的に1つのグループにして管理することができます。ユーザーとグループの接続(CONNECT)とは、ユーザーが属しているグループの情報を規定することです。
4.1. 接続グループの属性
ユーザーが特定のグループに所属されると、ユーザーがグループに接続されたことになります。ユーザーは関連づけられたグループの属性を指定することができます。属性の種類はユーザー属性と同じです。ユーザー属性についての詳細は、ユーザー属性を参照してください。
接続グループのSPECIAL属性を持っているユーザーは、グループのGROUP-SPECIAL属性を持つことになるため、接続グループが所有しているリソースにアクセスすることができます。つまり、当該ユーザーにリソースへのアクセス権限が明示されていなくても、グループが所有しているリソースへのアクセス権限を持つことになります。
また、接続グループのAUDITOR属性を持っているユーザーは、グループのGROUP-AUDITOR属性を持つことになるため、グループが所有しているすべてのリソースを検索することができます。
4.2. 接続グループの権限
上位グループに接続されたユーザーにサブグループのプロファイルを登録、削除、変更、または検索できる権限を付与します。また、ユーザーをグループに接続される権限(CONNCECT)を付与することができます。
以下は、接続グループが所有できる権限についての説明です。
権限 | 説明 |
---|---|
USE |
リソースの所有者であるか、またはリソースへのアクセス権限が明示されているリソースにアクセスできます。 |
CREATE |
グループのデータセット・プロファイルを作成することができます。USE権限を含みます。 |
CONNECT |
特定のユーザーをグループに接続されます。USE権限とCREATE権限を含みます。 |
JOIN |
新しいユーザーまたはグループを作成し、ユーザーまたはグループに権限を付与することができます。 |
5. 接続プロファイル
ユーザーをグループに接続すると接続プロファイルが作成され、登録する際に指定した情報がプロファイルの各フィールドに保存されます。
登録する際の入力必須項目はユーザーID(USERID)とグループ名(GROUPNAME)です。その他のフィールドはユーザーが定義した設定値が自動的に設定されます。
以下は、接続プロファイルに保存されるユーザーとグループ間の接続情報です。
フィールド | 説明 |
---|---|
USERID |
ユーザーIDを設定します。(必須項目) |
GROUPNAME |
グループ名を設定します。(必須項目) |
AUTHORITY |
|
ATTR |
ユーザー・プロファイルのATTRと同じグループの属性情報を設定します。
詳細については、ユーザー情報のATTRを参照してください。 |
ACCOUNT |
システムにログインする際、自身が属している複数のグループから1つを選択してログインすることができます。ログイン時に選択したグループへの接続回数を設定します。 |
LCONNECT |
システムへの最終ログイン時間を設定します。 |
現在のTACFでは、接続プロファイルのUACC、CREATION、FLAGフィールドは、内部で使用される値を使用するか、エラーを防ぐために構文のみサポートしています。 |