# ロール単位のアクセス権限設定

Keeperアーキテクチャでは、**ロール**と**チーム**という2つの概念があり、これらは密接に関連していますが、異なる目的で使用されます。 **ロール**は、ユーザーに与えられる権限を定義します。これにより、どのユーザーがどの機能や設定を利用できるか、またどの管理者機能を持つかが決定されます。つまり、ロールはユーザーのできることとできないことを管理するためのものです。一方、**チーム**は、ユーザー間で特権アカウントやボルト内の共有フォルダなどを共有するために用いられます。チームを活用することで、一つのグループに属するユーザー全体に対して、簡単にロールを割り当てることができます。これにより、グループ内の全員に対してポリシーを一貫して適用することが可能になります。この**ロール単位のアクセス制御** (RBAC) により、組織はユーザーの職務範囲に基づいてアクセス権限を適切に設定したり、特定の管理機能を委任したりできるようになります。作成するロールの数は、ビジネスのニーズなどによって異なりますが、最もシンプルな設定では、デフォルトのロール「**Keeper管理者**」があり、これは組織のKeeperアカウントを最初に設定した管理者や管理権限を持つユーザーに適用されます。ロールを用いて、特定のポリシーを適用したり、管理コンソールへのアクセス権を割り当てたりすることができます。 {% hint style="info" %} アカウントが失われたりアクセスできなくなったりした場合に備えて、副管理者をKeeper管理者ロールに追加しておきましょう。また、一般従業員ロールなど追加でロールを作成しておきましょう。 {% endhint %} ![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F9XLkou1hljChfzA2jbbo%2F2023-09-12_09-57-52.png?alt=media\&token=23a616f1-8c87-4b9b-b690-cb24c411d20e) ロールベースアクセス制御の詳細については、以下の動画をご覧ください。 {% embed url="" %} アクセス制御と許可 {% endembed %} ## ロールの追加ロールの追加については、管理コンソールで手動で追加する方法、SCIMを介して自動的にマッピングする方法、Keeperブリッジを介してActive Directory/LDAPから直接割り当てる方法がご利用になれます。Active Directoryを介してユーザーを追加する方法については、[Keeper AD Bridge](https://docs.keeper.io/jp/enterprise-guide-jp/broken-reference)ガイドをご参照ください。手動でロールを追加する手順は以下の通りです。 1. 管理コンソール内で**「ロール」**タブを選択します。 2. ロールを割り当てたいノードに移動します。 3. **「+」**ボタンをクリックしてロールの追加を開始します。 4. 組織ツリーから適切なノードを探して選択します。もしくは、ルートノードを選択します。 5. 新しいロールの名前を入力し、**\[追加]**をクリックします。 6. ロールを作成した後、そのロールの強制ポリシーを設定します。 7. そのロールを割り当てたいユーザーを選択し、管理上の権限を設定します。 ![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FM2yvG3pms8fDv5gkZeRM%2F2023-09-12_10-03-50.png?alt=media\&token=0431ee7c-24c1-49fa-8f5a-b082ffa87b03) ## ロール強制ポリシーまず、設定したいロールを選択してから**強制ポリシー**ボタンをクリックします。以下の領域で強制ポリシーが設定されていることを確認します。 * ログイン設定 * 二要素認証 (2FA) * プラットフォーム制限 * ボルト機能 * レコード内パスワード * 作成と共有に関する設定 * インポートとエクスポート * KeeperFill * アカウント設定 * IPのホワイトリスト * Keeperシークレットマネージャー * 特権アクセス管理 (KeeperPAM) * アカウント移管 ![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2Fk5WV2e5q5vY1lkxKQsRW%2F2023-09-12_10-07-36.png?alt=media\&token=176d663e-8dca-46d5-a87f-9c30d03c887f) {% hint style="info" %} 強制ポリシーの詳細については、[こちらのページ](https://docs.keeper.io/jp/enterprise-guide-jp/roles/enforcement-policies)をご参照ください。 {% endhint %} ## チームとロールのマッピングチームとロールをマッピングすることで、既存のIDプロバイダを使用してユーザーをカスタム**ロール**の付与が可能な**チーム**に直接割り当てることが可能となります。チームとロールのマッピングを使用すると、ロールに割り当てられたチームのメンバーであるユーザーが、指定されたロールの施行を担うことになります。ユーザーは2回以上ロールのメンバーになることが可能で、1回目はユーザー - ロールのメンバーシップを通して、その後は (存在する場合)、ユーザー - チーム - ロールのメンバーシップを通してとなります。チームとロールのマッピングを使用するには、管理者がロールを個々のユーザーに対してではなく、をチーム全体に適用し、ロール強制ポリシーを使用して各チームに異なる要件や制限を設定できます。 {% hint style="info" %} 現在、管理ロールをチームにマッピングすることができません。これは管理者がうっかりユーザーの権限を昇格させてしまうのを防ぐためです。この仕様については今後のリリースに向けて検討中です。 {% endhint %}

### SCIMでのロールのマッピング Keeper管理コンソールでSCIM (System for Cross-Domain Identity Management) を設定する際、ロールが自動的に割り当てられることがあります。デフォルトでは、SCIMグループはKeeperのチームにマッピングされます。このオプションの接頭辞で始まるSCIMグループ名は、代わりにロールへの割り当てにマッピングされます。

### ロール適用の競合ユーザーが**複数のロールのメンバーであったり、さまざまなロールが適用されたチームのメンバーである場合**、ユーザーがメンバーとなっているすべてのロールで適用が満たされることになります。Keeperでは**最小権限のポリシー**が適用されるので、ユーザーが複数のロールのメンバーである場合は、実際のポリシーとしては**最も制限が厳しいポリシー**が適用されることになります。たとえば、ロールAでは他のユーザーへの共有が許可されず、ロールBではKeeperアカウント外での共有が許可されない場合、このユーザーは、ロールA (最小権限) で共有が許可されていないため、どのユーザーとの共有もできなくなります。 ### 強制適用ポリシー [次のセクション](https://docs.keeper.io/jp/enterprise-guide-jp/roles/enforcement-policies)では、ご利用いただける強制適用ポリシーについて解説します。