認可と職務分掌
Merlon は対話的ユーザーを JWT セッションで、非対話的クライアントを API キーで認証する。両方の経路に同一のロールモデルが適用される。導入組織は、これらのロールを自組織のアクセス制御・変更管理ポリシーにマッピングしなければならない。
| 権限 | Admin | Analyst | Viewer |
|---|---|---|---|
ホワイトリスト登録を申請する(whitelist:request) | Yes | Yes | No |
ホワイトリスト登録を承認する(whitelist:approve) | Yes | No | No |
監査記録を読み取る(audit:read) | Yes | No | No |
ルールの作成・更新・インポート・有効化・無効化(rule:write) | Yes | No | No |
ホワイトリストのワークフローでは、申請者が自身の申請を承認できないことが強制される。これにより、ホワイトリスト判断について、独立した一次申請と二次承認の統制が提供される。
ルールの有効化には現時点でアプリケーション内での作成者と有効化者の分離機能がない。プロダクト側の統制が導入されるまでは、組織側が IAM と変更管理プロセスでこの分離を強制しなければならない。ADR-0012 を参照。
認証設計と認証情報の取り扱いについては、設定リファレンス を参照。