iDempiere(アイデンピエレ)のユーザー管理とセキュリティ
ここでは、オープンソースのERP iDempiere(アイデンピエレ)のユーザー管理と権限管理及びユーザーの操作ログの管理について調査及び研究し、その成果をまとめています。
ユーザー管理概要
iDempiereのユーザー管理では、主にiDempiereにログインして操作する人をユーザー(User)として登録し管理します。iDempiereにログインして操作する人とは、従業員や経営者などの“社内の人”と取引先の担当者などの“社外の人”に2分する事ができます。iDempiereでは、“社外の人”となる取引先の担当者へもユーザーIDとパスワードを発行し、iDempiereにログインさせ操作できるようにも考えられています。
社外の人である取引先の担当者をiDempiereにユーザー登録しログインできるようにしているのは、iDempiereの機能の1つであるWeb-Store(EC-Site)にログインし、自由に買い物をしてもらうためです。そして、Web-Store以外の機能も一部取引先の担当者に開放して操作させる事により、互いの業務負荷を軽減したり、取引の履歴を取引先の担当者に自由に確認させる事ができるようにするためでもあります。
社外の人にはiDempiereへのログインを許可しない場合でも、取引先の担当者の情報はユーザー登録し管理します。その場合は、パスワードをユーザーマスタに設定しない事と「職責(Role)」を割り当てない事により、取引先の担当者はiDempiereにログインする事はできません。
ユーザーマスタには取引先マスタを設定するフィールドが1つあり、取引先マスタと結びつけられるようになっています。 “社内の人”の場合、通常は取引先マスタとユーザーマスタは1:1の関係になります。 “社外の人”の場合、取引先の担当者が複数人いる場合も考えられるので、取引先マスタとユーザーマスタは1:Nの関係にもできるようになっています。
ユーザーと職責(Role)の関係
iDempiere(アイデンピエレ)の権限は「職責(Role)」で管理され、職責をユーザーに割り当てる仕組みになっています。職責には業務メニューやデータのアクセスが許可される「組織(Organization)」などが設定できるようになっています。
データのアクセスが許可される組織は、職責とユーザーそれぞれに設定できるようになっており、どちらの設定を有効にするかは職責で設定します。
一人のユーザーには複数の職責を割り当てる事ができ、その場合はログイン時に選択する事になります。
職責の組織アクセス優先イメージ
「職責(role)」の「ユーザー組織アクセス優先(Use User Org Access)」フラグをOFFにすると職責に結びつけられた、組織を優先してデータアクセスが制御されます。
ユーザーの組織アクセス優先イメージ
「職責(role)」の「ユーザー組織アクセス優先(Use User Org Access)」フラグをONにすると ユーザーに結びつけられた、組織を優先してデータアクセスが制御されます。
【補足説明】職責とユーザーの組織アクセス制御の使い分けについて
組織へのアクセス制御は、職責と結びつく組織にするのか、ユーザーに結びつく組織にするのか「職責(Role)」の「ユーザー組織アクセス優先(Use User Org Access)」フラグの設定により選択する事ができます。
例えば、職責と結びつく組織へのアクセスを優先するようになっている職責は、本部(本社)など、部門毎に業務が異なっているケースに使用します。反対に、ユーザーと結びつく組織へのアクセスを優先するような職責は、店舗展開しているような業態で、行っている業務はどこの店舗でも同じであるようなケースに使用します。
▼ユーザー管理とセキュリティー
▼ユーザー管理
ユーザー(User)
ユーザーメール(My Profile)
パスワードポリシー設定(Password Rule)
パスワードをハッシュ化する(Convert password to hashes)
アカウントロック解除(Reset Locked Account)
▼権限管理
職責(Role)
職責ツールバーボタンアクセス設定
職責データアクセス設定(Role Data Access)
職責アクセス更新(Role Access Update)
職責をコピーして作成(Copy Role)
▼ログ管理
変更履歴監査(Change Audit)
プロセス監査(Process Audit)
セッション監査(Session Audit)
※このメニューはiDempiereに設定されているベースメニューをわかりやすいように再構成しています。
