メンバーとアプリ権限
TODO(内部向け・リリース前に対応して削除)
Section titled “TODO(内部向け・リリース前に対応して削除)”Keelson では、アプリへのアクセスをワークスペース単位で制御します。 ワークスペースのメンバーになっているユーザーは、そのワークスペース内のすべてのアプリにアクセスできます。
このページでは、メンバーの管理方法、ロールの違い、参加方法について説明します。
アクセス制御の仕組み
Section titled “アクセス制御の仕組み”Keelson のアクセス制御は、ワークスペースへの所属で決まります。
- ワークスペースに参加しているメンバーは、そのワークスペースのアプリすべてにアクセスできる
- ワークスペースに参加していないユーザーは、どのアプリにもアクセスできない
ログインの仕組みについては 認証とログイン を参照してください。
ワークスペースのメンバーには、4 種類のロールがあります。
| ロール | コンソール | アプリ利用 | メンバー管理 |
|---|---|---|---|
| Owner | すべての機能 | 可 | すべてのロールを管理できる |
| Admin | すべての機能 | 可 | Owner 以外を管理できる |
| Builder | 読み取りのみ | 可 | 不可 |
| App User | アクセス不可 | 可 | 不可 |
ワークスペースの全権限を持ちます。メンバーの追加・削除、ロールの変更、アプリの管理など、すべての操作が可能です。 ワークスペースには最低 1 人の Owner が必要です。
Owner とほぼ同等の権限を持ちますが、Owner ロールのメンバーを管理することはできません。 チームの管理者に適したロールです。
Builder
Section titled “Builder”コンソールを閲覧できますが、メンバー管理などの変更操作はできません。 アプリの開発・デプロイを行うメンバーに適したロールです。
App User
Section titled “App User”デプロイされたアプリを利用できますが、コンソールにはアクセスできません。 アプリのエンドユーザーに適したロールです。開発者枠を消費しません。
メンバーの参加方法
Section titled “メンバーの参加方法”ワークスペースにメンバーが参加する方法は 3 つあります。
管理者がメールアドレスを指定してメンバーを招待します。 招待時にロールを指定でき、招待されたユーザーがリンクを承認するとメンバーになります。
招待の操作方法については メンバーを招待する を参照してください。
ドメイン自動参加
Section titled “ドメイン自動参加”企業のメールドメインを登録すると、そのドメインのメールアドレスを持つユーザーが自動的にワークスペースに参加できます。
- DNS TXT レコードによるドメインの所有権確認が必要です
- 自動参加したメンバーには App User ロールが付与されます
- Gmail や Outlook など、パブリックなメールドメインでは利用できません
- 1 つのドメインにつき、自動参加を設定できるワークスペースは 1 つだけです
社内メンバーを一括でオンボーディングしたい場合に便利です。
企業のメールドメインに対して承認制ポリシーを設定すると、ユーザーが参加をリクエストし、管理者が承認する形でメンバーになれます。
- ユーザーがアプリにアクセスすると、参加リクエストが作成されます
- Owner または Admin がリクエストを承認すると、App User としてメンバーになります
- 承認されるまでアプリにはアクセスできません
自動参加ほどオープンにしたくないが、招待の手間を減らしたい場合に適しています。
ドメインポリシー
Section titled “ドメインポリシー”ドメインごとの参加ポリシーは、コンソールから設定できます。
| ポリシー | 動作 | ドメイン検証 |
|---|---|---|
| 招待のみ(デフォルト) | 招待されたユーザーだけが参加できる | 不要 |
| 自動参加 | 対象ドメインのユーザーが自動で参加できる | 必要(DNS TXT) |
| 承認制 | 参加リクエスト → 管理者承認で参加できる | 必要(DNS TXT) |
ドメインポリシーを変更しても、既存メンバーのステータスには影響しません。
メンバーのブロック
Section titled “メンバーのブロック”不要になったメンバーは、コンソールからブロックできます。
- ブロックされたメンバーは、ワークスペース内のすべてのアプリにアクセスできなくなります
- アカウントの削除ではなく、アクセス権の無効化です
- 最後の Owner をブロックすることはできません
- 自分自身をブロックすることはできません
退職者や異動メンバーのアクセスを停止する場合に使います。
アクセスできないときの確認ポイント
Section titled “アクセスできないときの確認ポイント”ワークスペースに参加しているか
Section titled “ワークスペースに参加しているか”ワークスペースのメンバーになっていないユーザーはアプリにアクセスできません。管理者に招待を依頼してください。
メンバーがブロックされていないか
Section titled “メンバーがブロックされていないか”以前は参加していたが、ブロックされている可能性があります。コンソールのメンバー一覧で確認してください。
正しいアカウントでログインしているか
Section titled “正しいアカウントでログインしているか”複数の Google / Microsoft アカウントを使い分けている場合、ワークスペースに登録されていないアカウントでログインしている可能性があります。
承認待ちになっていないか
Section titled “承認待ちになっていないか”承認制のワークスペースでは、管理者が参加リクエストを承認するまでアクセスできません。
IP 制御でブロックされていないか
Section titled “IP 制御でブロックされていないか”メンバーシップの問題ではなく、ネットワークの制限でアクセスできない場合があります。
よくある質問
Section titled “よくある質問”ワークスペースに参加すればすべてのアプリを使えますか?
Section titled “ワークスペースに参加すればすべてのアプリを使えますか?”はい。現在、アクセス制御はワークスペース単位です。メンバーはワークスペース内のすべてのアプリにアクセスできます。
App User と Builder の違いは何ですか?
Section titled “App User と Builder の違いは何ですか?”App User はデプロイされたアプリだけを利用できます。Builder はコンソールの閲覧もできますが、メンバー管理などの変更操作はできません。
自動参加したメンバーのロールを変更できますか?
Section titled “自動参加したメンバーのロールを変更できますか?”はい。自動参加時は App User ロールが付与されますが、Owner または Admin がコンソールからロールを変更できます。
メンバーをブロックするとどうなりますか?
Section titled “メンバーをブロックするとどうなりますか?”そのメンバーはワークスペース内のすべてのアプリにアクセスできなくなります。ブロックは即時反映されます。