ロールと権限の管理

ロールと権限の理解

サイトでユーザが操作を行うには、ユーザに割り当てられた権限が必要です。 権限は、ユーザが実行できるアクションと使用できるリソースを組み合わせたものです。 アクションには、読み取り、書き込み、編集、削除、作成、提案などが含まれます。 リソースは、プロジェクトからユーザに提供されるものすべてを意味し、プロジェクトに追加されるすべての項目はリソースとなります。

ユーザにどの権限を与えるかを選択する場合は、ユーザが必要としている最小の権利を与えるようにすることが大切です。 たとえば、ユーザがプロジェクトのドキュメントについて管理者の承認を提案できるようにする場合は、ユーザにプロジェクト・ドキュメント - 承認権限ではなくプロジェクト・ドキュメント - 提案の権限を与えます。 同様に、ユーザが自分のプロファイルを表示できるが編集はできないようにするには、ユーザ - 編集 - 自分の権限ではなくユーザ - 表示 - 自分の権限を与えます。 権限の完全なリストとその説明については、 アクションと権限を参照してください。

このサイトの全ユーザは、ユーザに与えられたロールに基づいて、このサイトの機能にアクセスしてアクティビティを実行できます。 次の 2 種類のロールがあります。

• ドメイン・ロール:サイトを通して一般的な情報と操作にアクセスできます。 ドメイン管理者は、このサイトの全ユーザにドメイン・ロールを割り当てて設定します。 新しいユーザは、すべてドメインへの登録に対して「登録ユーザ」ドメイン・ロールを自動的に取得します。 また、ほかのドメイン・ロールを作成することも可能です。これについては、このページのロールの追加セクションで説明します。
• プロジェクト・ロール:プロジェクト内の情報と操作にアクセスを制限します。 ドメイン管理者は、プロジェクト・ロールを設定できますが、通常ユーザがプロジェクトのメンバーになった時点で、プロジェクトのオーナがプロジェクトのロールをユーザに割り当てているはずです。

ロールは、プロジェクトのメンバーシップを通して割り当てるか、プロジェクト・グループやユーザ・グループとの関連を通して割り当てます。 すべてのロールは、関連付けられている権限の既定・セットを持っています。 これらの権限は、このサイトで特定の操作を行うユーザのアクションを管理します。

ドメイン管理者として、次のことが実行できます。

• 既存ロールの使用と割り当て
• 権限やアクションおよび(または)それらに関連付けられているリソースを変更して既存のロールを変更
• 新しいロールの作成と権限の指定 ロールの追加を参照してください。

ユーザ・グループを作成してユーザセットのロールと権限、およびプロジェクト・グループを作成してプロジェクトセットのロールと権限を調整することもできます。 詳しくは、 プロジェクト・グループの作成と編集およびユーザ・グループの作成と編集を参照してください。

ユーザへのロール割り当ての編集

ユーザの編集ページの下部にあるフィールドとオプションを使うと、個別ユーザのロール割り当てを表示したり、変更することができます。

グループ・メンバーシップ

このドメインのユーザ・グループやプロジェクト・カテゴリとユーザの関係がここにリストされます。 ユーザ・グループとプロジェクト・グループは、ドメイン管理者が作成して設定します。 詳しくは、プロジェクト・グループの作成と編集およびユーザ・グループの作成と編集を参照してください。

ドメイン全体におけるロール

ユーザに割り当てられている、または与えられたドメイン・ロールがここにリストされます。 これらは、ユーザがサイトのページを表示し、特定のプロジェクトに関連付けられていないサイトの操作を実行できる一般的なロールです。 前の ロールと権限の理解 を参照してください。

ドメインのパブリック･プロジェクトにおけるロール

このドメインにてホストされているパブリック・プロジェクトは自動的に「パブリック・プロジェクト」と呼ばれる既定のプロジェクト・グループに属します。それらプロジェクトにてユーザが持つロールはここでフラグされます。詳しくは、プロジェクト・グループの作成と編集 を参照してください。

変更のサブミット

このボタンは、上記のフィールドで個別のユーザ・アカウントに加えられた変更をサブミットします。 ユーザのロールへの変更は、別の操作となります。

プロジェクト・ロール

特定のプロジェクトに関連付けられているユーザのロールがここにリストされます。これは、プロジェクト名でグループ化されています。 プロジェクト名は、プロジェクトのホームページへのリンクです。 このリストには、オープンソースおよびプライベートである著作権保護されたプロジェクトが含まれます。 ロールのより詳しい説明については、 ロールと権限の理解 を参照してください。

詳細なロール情報

これらのリンクにより、現在のユーザに関連付けられているより詳しいロール情報を表示する 2 番目の画面に移動できます。

• 直接のロールと派生したロールにより、ユーザが持っている 2 つの異なるロールのセットを表示できます。 直接のロールは、ユーザに特別的に割り当てられているロールです。 たとえば、ユーザがプロジェクトの特定のロールをリクエストしていて、それが承認されたような場合に使用されます。 派生したロールは、ユーザがプロジェクト・グループのロール・セットに特別に関連付けられているプロジェクトのメンバーである、または特有のロール・セットを割り当てられたユーザ・グループに属しているために与えられるロールです。
• 権限の詳細により、ドメインでユーザが保有しているすべての権限を表として表示する、[権限のダンプ] というタイトルの画面が表示されます。

個別ユーザが特定のプロジェクト・グループまたはユーザ・グループの一部である場合は、[プロジェクト・グループの編集] または [ユーザ・グループの編集] 画面を使って、これらのグループに関連付けられている複数のユーザ・アカウントに属性を割り当てたり、アカウントを変更することができることに注意してください。 詳しくは、 プロジェクト・グループの作成と編集およびユーザ・グループの作成と編集 を参照してください。

その他のオペレーション: ユーザの削除

このリンクは、現在のユーザ・アカウントを削除します。 この操作が完了される前に、確認のメッセージが表示されます。

ロールの編集

このサイトには、スタートページの「管理機能」にあるロールの管理リンクを使って表示できる既定のロール・セットがあります。 これは、ドメインまたはプロジェクト・レベルとしてリストされているサイトの全ロールを示すロールのリストページを表示します。 ロールの簡単な説明も含まれています。

このロールに関連付けられている個別の権限リストを表示するには、ロールのリストページでロール名のリンクをクリックします。 ロールの編集ページにリストされている権限とは、権限を使って実行できるサイトのリソースと操作の両方（すなわち「プロジェクト - 提案」または「バージョン管理 - 更新」）を指します。 一番右の「リソース」カラムには、それぞれの権限が有効となるサイトでのリソースが定義されています。 既定では、各権限にすべての利用できるリソースが適用されます。

ドメイン管理者は、必要に応じて関連付けられている権限を変更することにより、サイトの既定ロールを変更することができます。 権限の隣にあるボックスにチェックマークを付けて、ロールからこの権限を削除することができます。

ロールに権限を追加する場合は、ロールの編集ページの上部にある新しい権限の追加リンクをクリックします。 この画面には、利用できるすべての権限がリストされます。 権限を追加するには、適切なボックスにチェックマークを付けます。

権限の追加や削除によってロールを編集することに加え、ロールに関連付けられた権限が適用されるリソースを変更したり、制限することもできます。 ロールへの権限の追加ページの下部にあるリソース・セクションでは、ロールの新しい権限に割り当てるサイトのリソースを指定できます。

• 「すべての利用可能なリソース .*」を選択すると、このロールに対し、選択した権限がこのロールを持つユーザが利用できるWeb・コンテンツやソースコードを含むサイトの全リソースに適用されます。
• 「すべてのWebページ www/.*」を選択すると、このロールの選択した権限がWebページに制限されます。 これは、権限がすべてのソースコードへのアクセスを許可するのではなく、Webページのコンテンツに限って許可することを意味します。 たとえば、ロールに「バージョン管理 - コミット」権限を割り当ててリソースに「すべてのWebページ www/.*」を指定すると、このロールを持つユーザは、Webページのコンテンツをチェックアウトしてコミットできますが、プロジェクトのソースコードをチェックアウトしたり、コミットすることはできません。

追加する権限を選択し、適用するサイトのリソースを指定したら、ページの下部にある [権限の追加] ボタンをクリックします。

サイトのリソースについて詳しくは、 リソースの表示と追加 を参照してください。

ロールの追加

ドメインのサイトやプロジェクトのニーズに合わせて、独自のロールを作成し、適切な権限をそのロールに割り当てることができます。 新しいロールを作成する前に、そのロールの範囲について、時間をかけて計画するようにしてください。 ホスト、ドメイン、またはプロジェクトのロールを作成できます。 ホスト・ロールは、全ドメインを通して関連したユーザ操作を可能にできます。 ドメイン・ロールは、サイトを通して関連したユーザ操作を可能にできます。 プロジェクト・ロールは、プロジェクト内に限って関連したユーザ操作を可能にできます。 1 つまたは複数のプロジェクトに特有のロールを作成したり、すべてのプロジェクトに関連するロールを作成することもできます。

1. 新しいロールを作成するには、[管理機能] メニューから [ロール] を選択して、ロールのリストページを表示します。
2. ホスト、ドメイン、またはプロジェクト・セクションで「新しいロールを追加」リンクをクリックします。 クリックしたリンクにより、ホスト・ロールの追加、ドメイン・ロールの追加、プロジェクト・ロールの追加ページが表示されます。 このページの上部にあるリンクを使って、これらのページを切り替えることができます。
3. プロジェクト・ロールにおいて. 「ロールの可視性」は、プロジェクト・ロールを表示できるレベルを指定します。 ホスト・レベルを選択すると、サイトの全レベルでロールが表示されます。 ドメイン・レベルを選択すると、ロールがドメインおよびプロジェクト・レベルでのみ表示されます。プロジェクト・レベルを選択すると、ロールがプロジェクト・レベルでしか表示されなくなります。
4. ロールの名前と説明を入力します。 ロール名は半角で 99 文字まで入力できます。ピリオド (.) を含めることはできません。
5. このロールに必要な機能のレベルを選択します。 それぞれの機能項目は、ロールのアクセス・レベルを制御します。
   • 最初の項目を選択すると、プロジェクトでこのロールを持つユーザにサブプロジェクトで同じロールを与えないようにします。 たとえば、「ゲーム」プロジェクトのプロジェクトオーナロールを持つユーザは、「ドミノ」サブプロジェクトではプロジェクトのオーナロールを持つことができなくなります。
   • 2 番目の項目を選択すると、プロジェクト内でユーザにこのロールの機能「オーナシップ」ロールを与えます。 オーナは、自分がオーナシップを持っている機能に関して管理上の E-Mail を受信します。
   • 3 番目の項目を選択すると、新しいプロジェクトを作成したユーザにロールを与えます。
   • 4 番目の項目を選択すると、サイトのユーザがロールをリクエストできるようになります。 この項目を選択しなかった場合は、管理者またはプロジェクトのオーナがロールを割り当てなければならなくなります。
6. ロールに権限を割り当てるには、ドロップダウン・メニューからロールを選択して既存のロールを複製するか、ロールに特別な権限を割り当てることができます。 特定の権限を割り当てるには、割り当てる権限名の隣にある [追加] フィールドの下にあるチェックボックスをクリックします。

7. [ロールの作成] をクリックします。 この機能は、十分に注意して使用してください。 ロールを権限に割り当てる操作は、セキュリティに大きく関係します。

リソースとアクションについて

リソースとは、ツール、コンテンツ、プロジェクト、Webページを含むこのサイトで使用される異なるエレメントの集合です。 このサイトのユーザのロールと権限は、適用される特定のリソースによって定義されます。 たとえば、「メーリングリスト - 表示」、「プロジェクト - 提案」、「バージョン管理 - コミット」の権限は、それぞれこのサイトの特定のリソースとそのソース内で許可される操作から構成されています。 これらの権限の例では、リソースがそれぞれ メーリングリスト、プロジェクト、バージョン管理となります。

リソースは、このサイトでは正規表現を使って記述されています。 つまり、すべての利用できるリソースを意味する正規表現のパターンは、「.*」となります。

ロールの編集ページの上部にあるリソースのリストリンクをクリックすると、サイトで利用可能なすべてのリソースのリストを表示できます。 リソース・リストページの既定項目は、「すべての利用可能なリソース (.*)」と「すべてのWebページ (/www/.*)」です。 リソースのリンクをクリックすると、短い識別用の説明と正規表現としてリソースを表すパターンを示す [リソースの編集] 画面が表示されます。

ドメイン管理者は、ロールの編集ページの上部にある新しいリソースの追加リンクを使って、新しいリソースを作成して定義することもできます。 これは、強力で柔軟な管理機能です。 たとえば、特定のファイル・タイプのみに適用する権限を持つ新しいユーザ・ロールを作成するとします。 特定のファイルが Java ファイルである場合、正規表現の「*.java」を使ってリソースを定義します。 その後、この「*.java」リソースを使って定義された権限を追加することにより、新しいロールを作成したり、既存のロールを変更します。 新しく作成したリソースは、自動的にロールへの権限の追加ページに表示されます。 ユーザにこれらのロールを与える場合は、この権限が java ファイルのみへのアクセスに制限されます。