メインコンテンツまでスキップ

認可と職務分掌

Merlon は対話的ユーザーを JWT セッションで、非対話的クライアントを API キーで認証する。両方の経路に同一のロールモデルが適用される。導入組織は、これらのロールを自組織のアクセス制御・変更管理ポリシーにマッピングしなければならない。

権限AdminAnalystViewer
ホワイトリスト登録を申請する(whitelist:requestYesYesNo
ホワイトリスト登録を承認する(whitelist:approveYesNoNo
監査記録を読み取る(audit:readYesNoNo
ルールの作成・更新・インポート・有効化・無効化(rule:writeYesNoNo

ホワイトリストのワークフローでは、申請者が自身の申請を承認できないことが強制される。これにより、ホワイトリスト判断について、独立した一次申請と二次承認の統制が提供される。

ルールの有効化には現時点でアプリケーション内での作成者と有効化者の分離機能がない。プロダクト側の統制が導入されるまでは、組織側が IAM と変更管理プロセスでこの分離を強制しなければならない。ADR-0012 を参照。

認証設計と認証情報の取り扱いについては、設定リファレンス を参照。