Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
セキュリティ管理グループの管理
Feedback

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

グループの管理

サイドバーの Platform Settings セクションで Groups を選択します。ダッシュボードビューで詳細を表示するグループを選択します。

グループの管理

選択したグループについてさまざまな情報を表示できます:

  • **グループ名:**グループ名の変更は推奨していませんが、Manage の権限を持つユーザーは変更できます(以下の グループの名前の変更を参照)。
  • **グループの説明:**グループの説明で、グループを発見できる組織の全ユーザーに表示されます。
  • **グループID:**グループの永続的な、一意のIDです。
  • **Realm:**認証ソースで、外部または内部です。Foundryでは内部のレルムのグループのみを管理できます。
  • **組織:**このグループとその説明を見ることができる組織のメンバーを定義します。
  • **メンバー:**このグループのメンバーであるユーザーです。これらは個々のユーザーまたはグループであることができます。
  • **グループの権限:**グループの各種項目を管理する権限を持つユーザーを定義します。管理権限には2種類あります:
    • **権限の管理:**グループの各種項目の管理権限を付与し、メンバーを管理し、メタデータを編集できるユーザー。
    • **メンバーシップの管理:**グループのメンバー、特にメンバーシップの有効期限プロパティを管理できるユーザー。
  • **属性:**通常は他の Foundry サービスで使用される、キーと値の形式で保存されるグループについての情報。

ユーザーが表示できるのは、そのグループの組織で "グループメンバーシップの表示" の許可を持つグループのみです。この許可は 設定 > プラットフォーム設定 > 組織 から、対象となる組織を選択し、 組織の権限管理 を選択することで付与できます。これにより、ユーザーとグループのリストと検索ボックスが表示されます。追加されたユーザーとグループについては、ドロップダウンボックスをクリックすると グループメンバーシップの表示 を選択するオプションが表示されます。

メンバーシップの有効期限

グループのメンバーシップ有効期限はベータ状態であり、ユーザーのエンロールメントでは利用できない場合があります。この機能を有効にしたい場合は、Palantir サポートにお問い合わせください。

特定のグループで メンバーシップを管理 できる場合は、新たなメンバーシップが一時的であることを要求できます。これは、以下のグループプロパティを設定することで行います:

  • **最新の有効期限:**すべての新しいメンバーシップは、この日付よりも前に有効期限が来る必要があります。
  • **最大期間:**すべての新しいメンバーシップは、指定した期間内に有効期限が来る必要があります。

これらのプロパティは、いずれかまたは両方を同時に設定することができます。両方が設定されている場合、最新の許可される有効期限は、2つのプロパティの中で最も制約が厳しいものになります。

さらに、メンバーシップを管理 の権限を持つ場合は、メンバーシップ有効期限日のプロパティが設定された一時的なメンバーをグループに追加できます。これらの一時的なメンバーは、最新の有効期限 または 最大期間 のプロパティが設定されていないグループに追加できます。

最新の有効期限 または 最大期間 のプロパティを持つグループに対するメンバーシップの要求を結果とする アクセスリクエスト は、最大の有効期限により制約されます。

プロジェクトへのアクセス

Details タブの隣にある Project access を選択して、選択したグループのプロジェクトアクセスの詳細を表示します。

Group project access

Project access ビューでは、グループ管理者がグループがアクセスできるすべてのプロジェクトとグループに付与された特定のプロジェクトロールを見ることができます。このビューは、ユーザーをグループに追加したり削除したりする際にどのようにアクセスが変更されるかを確認するのに特に役立ちます。

Show inherited permissions トグルはデフォルトで on になっており、すべてのネストしたグループを横断してグループがアクセスできるプロジェクトを探します。このトグルを off にすると、リストにはグループが直接適用されたプロジェクトのみが表示されます。

Project access tab

グループの名前の変更

メンバーシップを管理 の権限を持つユーザーは、グループの名前を変更できます。ユーザーがグループの名前を変更すると、以下のアクションが自動的に発生します:

  • 現在のグループの名前が変更され、グループIDは同じままです。
  • 元のグループ名に依存する可能性のあるアプリケーションをサポートするために、元の名前の新しいグループが作成されます。
  • 元のグループは新しく名前が変更されたグループのメンバーになります。

グループの連絡先情報の設定と使用

ユーザーが表示するための各プロジェクトの連絡先詳細を指定できます。これはプロジェクトまたはプロジェクト内のエンドースされたファイルの連絡先となります。連絡先詳細は、グループを選択してプロジェクトに指定され、プロジェクトとその中のすべてのエンドースされたデータセットに表示されます。

ファイルの連絡先情報

プロジェクトの連絡先詳細を設定するには、まずグループに連絡先詳細があることを確認します。これを行うには、グループを選択し、ページの Contact details セクションで Manage を選択します。連絡先詳細の管理には、グループの変更権限を持っていることが必要です。グループが Foundry Issues 経由で連絡を取るべきか、またはメールで連絡を取るべきかを定義できます。

グループの連絡先詳細の設定

連絡先情報が保存されると、特定のプロジェクトの連絡先としてこのグループを設定できます。プロジェクトに移動するには、サイドバーの Projects and files を経由し、 Actions メニューで Edit project contact を選択し、希望するグループを選択します。選択したいグループが表示されない場合は、まずそれに連絡先詳細が設定されていることを確認してください。

プロジェクトの連絡先詳細の設定

グラフの表示

Actions ドロップダウンを選択し、View graph を選択してネストしたグループの視覚化を表示します。グラフのノードを選択して、そのメンバーグループすべてをロードします。

view-graphgroup-graph-view

グループの権限を適用する

Group details ダッシュボードから Group Permissions ビューにアクセスします。Manage 権限を持つユーザーは、このセクションを使用して、個々のユーザーではなくグループにアクセス権限を付与でき、これにより権限がより透明で監査可能になります。

グループの権限を付与することは、特にプロジェクトの権限を割り当てる際に有用で、管理者は上述のプロジェクトアクセスタブを介してグループがアクセスできるプロジェクトを確認できます。Viewer、Editor、Ownerという各デフォルトロールのそれぞれに対して少なくとも3つのグループを持つプロジェクトの設定を推奨します。プロジェクトのデフォルトロールは Discoverer に設定すべきです。

Group project roles

Restricted View グループ名ポリシー

Restricted View を作成する際に グループ名 をポリシー項目の1つとして使用する場合は、グループ名に合致するようにグループのレルムを指定する必要があります。Platform Settings > Groups インターフェースでグループのレルムを確認し、Restricted View ルールエディターの下部でレルム名を変更できます。

Restricted view groups

Realms

ユーザーレルム

管理者は通常、Control Panel で外部レルムプロバイダー(SSO、SAMLレルム、ADFSなど)を設定します。必要に応じて、Foundry の Platform Settings には ID プロバイダーの内部実装が含まれています。この内部 ID プロバイダーは、外部の認証システムが適していないシナリオで使用できます。

グループの外部レルム

外部レルムは、ADFS のような外部システムから直接派生したグループです。Platform Settings の設定では、ID プロバイダーが割り当てられるレルムを定義します。

Foundry では外部レルムを変更することはできず、読み取り専用の状態で存在します。外部システムでのみ実行できる操作には、名前の変更、グループへのユーザーの追加、属性の変更、新しいグループの作成などがあります。外部レルムのグループは、Foundry でのほとんどの認証および認可関連の機能に最適です。これには以下が含まれます: * 任意および強制的なコントロールの割り当て、および * プラットフォームへのバイナリアクセスの有効化(例えば、特定のグループに所属するユーザーセットの許可または拒否)。

外部レルムのグループは読み取り専用の状態であるため、ユーザーは Foundry で外部レルムのグループに参加するためのアクセスをリクエストすることはできません。しかし、Control Panel では、ユーザーが外部レルムのグループへのアクセスをリクエストしようとしたときに受け取るメッセージを設定できます。Control Panel > Authentication > Your SSO > SAML > Manage > Attribute mapping > External group management に移動して、外部レルム用のカスタムメッセージとURLを設定します。カスタムメッセージとURLは、外部レルムと同じレルムのユーザーだけが見ることができます。以下は、管理者が内部の Jira インスタンスへのメッセージとリンクを追加した例です。

Create a custom message in Control Panel

カスタムメッセージが設定されると、その外部レルムのすべてのグループを表示するときに Platform Settings でこのメッセージを見ることができます。

View custom message in Platform Settings

ユーザーは、このグループにロールを付与するプロジェクトへのアクセスをリクエストしようとするときにメッセージを見ることができます。

external group request access

最後に、ログイン時の組織割り当てに外部レルムのグループを使用できます。多くの場合、顧客の SSO 経由で得られる情報が、ログイン時にユーザーを異なる組織にトリアージする入力となります。

すべての外部レルムのグループには組織が割り当てられている必要があります。組織が割り当てられていない場合、グループはその組織に関係なくすべてのユーザーに見えるようになります。

グループの内部レルム

Foundry で作成されたグループは内部レルムに割り当てられます。

内部レルムのグループは Foundry 内で変更できます。 Groups インターフェースで実行できる操作には、名前の変更、グループへのユーザーの追加、属性の変更、新しいグループの作成などがあります。内部レルムのグループは、Foundry レベルの機能へのアクセスを許可するのに最適で、例えば、サービスユーザーアカウントを内部レルムのグループにバンドルしてホワイトリスト化またはブラックリスト化する目的(例えば、サービスユーザーアカウントをユーザーアカウントの有効期限ルールから除外する)。

外部レルムのグループが使用されている場合、ユーザーを直接内部レルムのグループに割り当てることは避けてください。代わりに、ユーザーが追加/削除される外部レルムのグループを内部レルムのグループ内にネストするべきです。