権限の設定
AI-Public のセキュリティはロールと権限に基づいて機能します。
アカウントとロール
アカウントは初回ログインが成功した後に自動で作成されます。アカウント作成時にサーバー上で��基本ロールを決定するトークンが追加されます。これらのロールは後で権限を持つ管理者によって変更できます。初期トークンは通常以下のとおりです。
- 従業員 (はい/いいえ): 従業員リストのメールアドレスと一致する場合に「はい」に設定されます。
- 拠点 Admin (はい/いいえ): 初期は通常「いいえ」に設定され、後で付与されます。
- 環境 Admin (はい/いいえ): 初期は通常「いいえ」に設定され、後で付与されます。
- スーパ Admin (はい/いいえ): 初期は通常「いいえ」に設定され、(最初のスーパ Admin を除き)後で付与されます。
ロールの変更
スーパ Admin、環境 Admin、拠点 Admin は、自己のロールとロール管理権限に応じてロールを付与できます。通常の階層は以下のとおりです。
- スーパ Admin は他のすべてのロール(環境 Admin、拠点 Admin、従業員)を付与できます。
- 環境 Admin は自分の環境内で拠点 Admin や従業員などのロールを付与できます。
- 拠点 Admin は自分の拠点/スコープ内で従業員のロールを付与できます。
- 従業員 はロールを付与できません。
ロールの変更は、サーバー上の関連トークンを変更することを伴います。
権限ロール
管理画面では、スーパ Admin または環境 Admin が各ロールごとに権限を調整できます。権限を設定できる対象ロールは以下です:スーパ Admin、環境 Admin、拠点 Admin、従業員、ゲスト。
ロール「ゲスト」は、ログインしていないユーザーに付与される権限を指します。ログインしていないユーザーは、環境の基礎データを最低限閲覧できる必要があります。さもなければログイン画面で選択を行えません。ゲストロールへ追加権限を付与する場合は極力慎重にしてください!
コレクション
権限はコレクションごとに設定されます。コレクションとは、類似データの集合です。例として「組織」と「チャット」というコレクションがあります。
デフォルトデータベースに対する権限設定
権限は、スーパ Admin のみがデフォルトデータベースに設定できます。
テナントデータベースに対する権限設定
ロール(スーパ Admin、環境 Admin、拠点 Admin、従業員、ゲスト)を選択した後、管理者はテナントデータベースの各コレクションごとに権限を調整できます。
Read 権限
Read 権限は、データベースからデータを読み取ることができる権利を指します。
権利は段階的に設定できます:
- 個別レコードのみ:ユーザーがレコードの一意の UUID を知っている必要があります
- 自身のレコード:ユーザー自身が作成したレコードのみ
- 共有レコード:ユーザーと共有されているレコード
- 管理者監督下のレコード:マネージャーまたは管理者(例:環境 Admin、拠点 Admin)の監督下にあるレコード。例えば特定の部門やプロジェクトに関連するチャット
- テナントレコード:AI-Public のあるテナントの全レコード
- 全レコード:AI-Public の全レコード
このデータベース構造上、AI-Public の各テナント(顧客)は独自のデータベースを持つため、テナントデータベースで権限を設定する際は「Tenant records」はオフになります。
View 権限
ここでは、該当ロール(スーパ Admin、環境 Admin、拠点 Admin、従業員)が管理画面のタイルを�表示できるかどうかを設定します。
Create, Update, Delete 権限
レコードの作成、更新、削除を行う権限で、コレクションごとに設定可能です。権利は段階的に設定できます。
- 自分のレコード:ユーザー自身が作成または所持するレコード
- テナントレコード:テナントの全レコード
- 全レコード:AI-Public の全レコード
このデータベース構造上、AI-Public の各テナントは独自データベースを持つため、テナントデータベースで権限を設定する際に「Tenant records」をオフにします。