ガイドAPIリファレンス
ガイド
  1. アイデンティティおよびアクセス管理
  2. 承認を管理する

権限と組織設定を管理する

リクエスト、権限、組織設定を使用すると、組織内のユーザーとアプリへのアクセスを管理できます。

サービスリクエスト

HEREプラットフォームサービスに対して実行できるリクエストには次の2種類があります。

権限

HEREプラットフォームへのアクセスを制御する権限には次の3種類があります。

  • unscoped - プロジェクト外のサービスとリソースへのアクセス権が付与されます。
  • scoped - プロジェクトでリンクまたは作成されたサービスおよびリソースへのアクセス権が付与されます。
  • linkable - スコープアクセス用にプロジェクトにリンクできるサービスとリソースを表しています。

組織の設定

これらの設定では、組織内のユーザーとアプリに対して、どの種類のリクエストにおいてどのカテゴリーの権限が利用可能かを定義します。

次の3つのオプションを使用できます。

  • open
  • strict
  • closed

Open

open設定を有効にした場合:

組織内のすべてのユーザーとアプリは、サブスクリプションを通じて組織で利用できるすべてのサービスとリソースにアクセスできます。

スコープなしのリクエストでは以下にアクセスできます:

  • 範囲外のアクセス許可によってサービスとリソースが利用可能になります。
  • 呼び出し元がメンバーとなっているプロジェクトに対して、プロジェクトスコープ対象の権限に基づいて利用可能なサービスとリソース。
  • リンク可能な権限に基づいて利用可能なサービスとリソース (実際にどのプロジェクトにもリンクされていない場合でも)。

スコープ対象のリクエストでは以下にアクセスできます:

  • 範囲外のアクセス許可によってサービスとリソースが利用可能になります。
  • スコープ対象プロジェクトのスコープ対象の権限によって利用可能なサービスとリソース。
  • スコープ対象プロジェクトにリンク可能なサービスとリソース (実際にどのプロジェクトにもリンクされていない場合でも)。
📘

組織の動作に影響を与えることなく、プロジェクト内でのユーザーのアクセスを制限できます。これにより、ユーザーは組織に追加されたすべてのリソースに引き続きアクセスできるようになります。プロジェクトを引き続き使用して、プロジェクト内のリソースの使用状況を追跡することもできます。

厳密

🚧

注意

strict設定は、HEREプラットフォームとプロジェクトの構成に精通しており、リソースに対する追加のアクセス制御を必要とするユーザーを対象としています。

strict設定を有効にした場合:

組織内のすべてのユーザーとアプリは、サブスクリプションを通じて組織で利用できるすべてのサービスとリソースにアクセスできます。ほとんどの場合、プロジェクトを適切に構成し、正しいプロジェクトスコープ対象のリクエストを使用することが要件となります。

  • スコープ対象外のリクエストを使用すると、スコープ対象外の権限を使用して利用可能なサービスとリソースにアクセスできます。
  • スコープ対象のリクエストを使用すると、スコープ対象プロジェクトのスコープ対象の権限を通じて利用可能なサービスとリソースにアクセスできます。

リンク可能な権限によってのみ利用可能なサービスとリソースにアクセスするには、プロジェクトを適切に構成し、リソースをプロジェクトにリンクし、適切なプロジェクトメンバーを追加する必要があります。

この設定により、組織内の管理者とリソース所有者は、サービスとリソースにアクセスできるユーザーやアプリを制限するための、強力かつきめ細かい制御が可能になります。

プロジェクトでは、リソースに対するユーザーアクセス間の境界を設定できます。これにより、組織管理者はリソースを分離し、特定のユーザーとアプリのみが特定のリソースにアクセスできるように設定できます。以下はその例です。 例:

  • コスト削減のため、特定のリソースを1つのプロジェクトに制限する必要があります。たとえば、HERE Map Attributesなどのリソース (パイプライン、カタログ、サービス、スキーマ) を制限すると、そのリソースはこのプロジェクトにリンクされているアプリIDしか利用できなくなります。プロジェクトスコープ対象のトークンを使用せずにこのサービスにアクセスすると、「拒否判定」が下されます。
  • ユーザーがプロジェクト内のリソースにアクセスできないように制限する必要があります。strict組織設定を使用している場合、ユーザーがプロジェクトに追加されていないと、そのユーザーはそのプロジェクトにリンクされているリソースにアクセスできません。
📘

管理者権限を持つユーザーは、いつでも自分専用のプロジェクトを作成し、そのプロジェクトにリソースを追加してそれらのリソースにアクセスできます。

Closed

📘

closed設定が有効になっている場合、組織内のすべてのユーザーとアプリは、デフォルトではリソースやサービスへのアクセスが制限されます。組織サブスクリプションを通じて利用可能なリソースとサービスは、アクセスフィルターを通じてIDに対してのみ提供できます。

デフォルトでは、closed組織設定では以下のアクションが実行されます。

  • スコープ対象外のリクエストまたはスコープ対象のリクエストを使用するすべてのIDによるアクセスをすべてブロックします。
  • オーバーライドするには、IDにアクセスフィルターを明示的に割り当てる必要があります。
  • 組織管理者とその他の役割には、役割に割り当てられているアクセスフィルターを通じて、あらかじめいくつかのオーバーライドが組み込まれています。
  • アクセスフィルターはユーザーまたはアプリに割り当てることができます。

アクセスフィルターの詳細については、ドキュメントを参照してください。

20 日前の更新