dejirenにおける『アクセス権』と関連セキュリティについて

このページでは、dejiren のアクセス権の考え方と、その他関係のある事項について説明します。

もくじ

dejirenのアカウントについて

  • dejiren のアカウントは、テナント単位でシステム管理者が登録した、個人のメールアドレスを用いた形式のものです、
  • アカウントは個人単位で発行・管理されるものであり、他者との共用は容認されていません。
  • すべてのアカウントは、何らかのロールに属し、そのロールに許可されている機能が利用できます。
  • 契約しているライセンス数を超えたアカウントの登録は行えません。
  • ユーザーアカウントは無効化することが可能です。ただし、無効化していてもライセンス上では使用中の件数として計上されます。
  • ユーザーを削除すると、そのユーザーの「わたしのVA」は消失します。
    ユーザーを削除してもチャットやルーム上での投稿や投稿者名表示は残ります。(「不明なユーザー」などにはなりません。)

▲上へもどる

ログインについて

ログイン操作

  • dejiren にログインする際は、アカウントとパスワードを入力する必要があります。
  • アカウントやパスワードの誤入力など、複数回ログイン操作を失敗すると、その後一定時間対象アカウントでのログイン操作ができなくなります。

▲上へもどる

ログインパスワードについて

  • パスワードは、テナント単位のシステム管理者により指定された複雑性要件を満たすものを各ユーザー自身が設定して利用します。
  • 複雑性要件は、文字数、文字種の組み合わせが指定できます。
  • 文字数制限は8文字未満には出来ません。
  • 文字種はいずれも半角の、英文字大文字・小文字、数字、記号から指定できます。
  • パスワードには有効期限の指定などはありません。

▲上へもどる

2段階認証について

  • ログインはテナント単位のシステム管理者による設定で、2段階認証を必須とすることが可能です。
  • 2段階認証を有効にすることで、ユーザーアカウントのメールアドレス宛に、dejirenシステムからワンタイムパスワード(6文字の半角数字)が送信され、各ユーザーはアカウント、パスワードにつづいてワンタイムパスワードを入力しなければなりません。
  • ワンタイムパスワードは、1度ログインに成功すると30日間は再び確認がなされないように設定することは可能です。ただし、ブラウザのセッション保有状態により、それより短い期間でワンタイムパスワードの入力が必要になることもあります。(ブラウザのシークレットモードの利用など)

▲上へもどる

管理画面へのアクセス

  • dejiren の各管理画面にアクセスする際には、そのセッションの初回アクセスの際に、dejiren アカウントとパスワードを入力する必要があります。
  • これは dejiren の通常ユーザー使用画面 (チャット・ルーム・アプリVA)画面にログイン済みである場合でも同様で、別途 dejiren アカウントとパスワードを入力する必要があります。
  • 管理画面にアクセスするためのアカウントとパスワードは通常時に dejiren を利用される際のものと同一です。
  • VA管理画面、システム管理画面はログイン状態で無操作が一定時間続いた場合、再度ログインし直す必要が生じます。

▲上へもどる

ロールによる権限の違い

  • dejiren にはロールと呼称する権限の単位があります。
  • 各ユーザーが使用できる機能は、ユーザーが属するロールにより異なります。

  ロールについて

▲上へもどる

VAやdejirenデータベースの格納フォルダー・所有者・アクセス権

  • VA と VA が格納されるフォルダーと、
    dejirenデータベースには、それぞれ所有者とアクセス権の設定が可能であり、
    VA、dejiren データベースに対して、どのような操作が行えるのかは
    保管場所 − オブジェクト (VAやdejirenデータベース) の
    所有者・アクセス権・ロールの組み合わせにより決定します。

  VA のアクセス権(リンク情報要修正)

  dejirenデータベースのアクセス権(リンク情報要修正)

  • dejirenデータベースは、レコード単位でアクセス権を制御することも可能です。
  • dejirenデータベースにはファイルを保存することが出来ますが、保存できるファイル形式に制限はありません。但し、ファイルの名称によっては正常に保存できない場合があります。
    ファイル容量上限は、テナントの契約ユーザー数により変動し、チャット、ルームなど他の機能での使用料とも影響しあいます。(契約ユーザー数×10GBをテナント内の全ユーザーと機能で案分)

▲上へもどる

VA と dejirenデータベースの特権モード

  • VA と dejirenデータベースにはそれぞれ特権モードがあります。

  VA管理モード(リンク情報要修正)

  • 通常時はアクセス権を付与されていない VA や dejirenデータベースは
    閲覧・編集できないだけでなく、アクセス権の設定によってはその存在自体が許可者以外には不可視状態となります。
  • 運用上、アクセス権限を保有するユーザーではなく管理者ユーザーが VA や dejirenデータベースに何らかの対処をしなければならないケースを想定して、特権モードである「VA管理モード」が用意されています。
  • 特権モード時には、通常時には閲覧できない VA や dejirenデータベーステーブルを閲覧確認することが可能になります。
  • 特権モードでの閲覧可能対象には、個人専用の VA である「わたしのVA」も含まれます。
  • 特権モードにおいても初期状態では閲覧確認のみが可能ですが、所有者・アクセス権限保有者が何らかの理由で対処できないケースや緊急時に備え、特権モードでは VA管理者が VA や dejirenデータベース、各フォルダーのアクセス権を変更することが出来るようになっています。
  • VA管理者は、自身に制御権がない VA などに対して、特権モードでアクセス権を自分にも割り当てることで、対象を編集することが可能となります。

▲上へもどる

チャット、ルームについて

  • チャット、ルームともに投稿可能な文字列メッセージの内容に制限はありません。但し、1投稿につき最大10,000文字までの入力が可能です。
  • 投稿可能なファイル種別に制限はありませんが、1ファイルあたりの最大サイズは1GBです。1投稿につき最大10件程度までの添付ファイルを受け付けますが、添付されるファイルのサイズにより正常に扱えない場合があります。また、exe等の実行ファイルについてはそのまま投稿されないことをお奨めします。

チャットのアクセスについて

  • チャットは最大8メンバーまでの相互メッセージのやり取りが可能な仕組みです。
  • 8メンバーにはユーザー自身のほか、テナント内の他のユーザー、そして VA が指定可能です。
  • メンバーはチャットを登録したときに確定され、途中で退出させたり新しく他のユーザーや VA をチャットメンバーにすることは出来ません。
  • メンバーはチャット内に投稿されたファイルをダウンロードすることが可能です。
  • チャットメッセージをエクスポートする機能はありません。
  • チャットにはオーナーという位置づけはありません。
  • 上記により、チャットメンバー以外にメッセージ情報やチャット内に投稿されたファイルを閲覧することはもちろん、チャット不参加者には当該チャットの存在自体を認識することができません。
  • システム管理者ロールに属するユーザーを始め、特権で制御できるものではありません。

▲上へもどる

ルームのアクセスについて

  • ルームは、テナント内の一般利用者ロール以上に属するすべてのユーザーが自由に作成可能な、メッセージをやり取りするための空間です。
  • ルームには、テナント内の誰でも出入り自由のオープン形式のルームと、ルームオーナーが統御可能なクローズ形式のルームがあります。
  • 最初にルームを作成したユーザーがルームオーナーとなり、メンバー参加させるユーザーやユーザーグループ、VA を指定します。
  • ルームオーナーは、自分以外のユーザーをオーナーに追加することも可能で、オーナー権限を持つユーザーはルームの運用途中でもメンバーを追加したり退出させることが可能です。
  • 退出自由に設定しているルームでは、メンバーユーザーが任意のタイミングでルームから退出することも可能です。
  • メンバーであるユーザーは、自分の他に誰がそのルームにどの権限で(オーナー・メンバーの別)参加しているのかを確認することが出来ます。
  • メンバーであるユーザーは、ルームに参加している VA の操作権限があれば、その VA を使用することが出来ます。
  • ルームに投稿されたファイルを、メンバーユーザーはダウンロードすることが可能です。
  • ルーム内のメッセージをエクスポートする機能はありません。
  • オープン形式のルームをクローズ形式に変換することは可能ですが、クローズ形式のルームをオープン形式に変換することは出来ません。
  • オープン形式のルームでは、テナント内の不特定多数のユーザーが、ルーム内に投稿・格納された情報を確認することが可能です。
    クローズ形式のルームでは、メンバーユーザー以外にはルーム内の情報はもとより、ルーム自体の存在を認識することがありません。
  • ルーム種別の如何に関わらず、途中参加したメンバーは、そのルーム内のメッセージを遡って閲覧可能です。
  • 投稿済みのメッセージは、投稿者自身のみ編集(改訂)・削除(投稿取り消し)することが可能です。
  • ルームについてもシステム管理者ロールに属するユーザーを始め、特権で制御できるものではありません。
  • ルームオーナーのユーザーアカウントをdejirenのシステム管理上で削除してしまうと、オーナーが不在のルームになってしまいます。異動や離職の際には適切な後任者にルームオーナーを移管する必要があります。
  • コラボレーション機能により、他のテナントのメンバーとメッセージをやり取りする「コラボレーションルーム」を設けることが可能です。コラボレーションの実現には、テナント相互の承認が必要です。
    複数社間チャット コラボレーション機能
    VAはコラボレーションルームに参加させることはできません。したがってテナント横断でVAを利用することはできず、VAにより他テナントに情報が漏えいすることはありません。

▲上へもどる

接続元IPアドレス制限

dejirenは、契約テナント単位で接続もIPアドレスを制限することが可能です。

  • アクセス制限設定は「ユーザー画面」「システム管理画面」それぞれに設定可能です。
  • 登録したIPアドレスからの接続のみを許可します。(許可対象IPアドレス登録。制限対象IPアドレス登録はできません。)
  • 対象アドレスは、IPv4/IPv6のCIDR形式のものを指定可能です。DNS形式は非対応です。
  • WAN接続に固定IPアドレスでご利用の場合のみ有効です。WANアドレスがDHCPによる都度払い出しの場合にはご利用いただけません。
  • スマホからのご利用の場合には、たとえばVPN接続でお客様のネットワークに接続してからWANにアクセスすることで、拠点の固定IPアドレスからの接続となります。

接続元IPアドレス制限設定

▲上へもどる

#アクセス権 #ACL #ロール #役割 #所有者 #オーナー #編集権限 #管理権限 #セキュリティ #保護

前の説明
一覧に戻る
次の説明