![Control知恵袋](http://service.allconnect.jp/wp-content/uploads/2019/01/chiebukuro_title.png)
Connectサービス便り:Vol. 2
2019.02.28
2019.02.28
知恵袋・第2回「ロール」
![Angowl](http://service.allconnect.jp/wp-content/uploads/2019/01/Angowl.png)
はじめに
「ロール」とは、直訳すると「役割」ですが、わかりやすく言えば「権限」と理解してください。
Controlではユーザーアカウントに対して必ず「ロール」を付ける必要があります。
例えば、サーバを管理する人にはサーバルームに入れる権限(ロール)を与えるようなものです。
Controlではユーザーアカウントに対して必ず「ロール」を付ける必要があります。
例えば、サーバを管理する人にはサーバルームに入れる権限(ロール)を与えるようなものです。
┃「ロール」って何?
実は、既に「ロール」機能を利用されていると思います。
管理者メニューのセキュリティページを開くと、すでに「Administrator」と「Host」という名前の「ロール」があるはずです。
![「Administrator」と「Host」の主な違いは、管理者メニューを見る権限と共有ツールの管理権限があるか無いかです](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen01.png)
![Host権限が「カモ」(右上)のWeb画面は、この図のように、管理者メニューのない画面が表示されます](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen02.png)
![Administrator権限の「トモ」(右上)は上図で「カモ」が見える画面とは違い、左下に管理者メニューのリンク、右上のメニューには「ツール管理」のリンクがあります](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen03.png)
┃応用:特定のセッションタイプのみ利用できるロールを作成
![Angowl](http://service.allconnect.jp/wp-content/uploads/2019/01/Angowl_mono.png)
サポート機能しか利用できない権限、つまり「ロール」を作成してみましょう。
セキュリティページで「ロール作成」リンクをクリックします。
![「ロール作成」リンクをクリックします](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen04.png)
![ロールの作成画面が立ち上がります。下図のように、グローバル権限[CreateSupportSession]にレ点を付け、スコープ権限では[SupportSessionGroups]を左の一覧から選択して、[ViewSessionGroup(セッショングループを見る)]、[JoinSession(接続する)]、[EndSession(終了する)]、[EditSession(編集する)]を選択します](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen05.png)
![yajirushi](http://service.allconnect.jp/wp-content/uploads/2019/02/yajirushi_red_rl.png)
※詳しくは、図の左下のリファレンスを表示リンクをクリックして、確認してください。
![「リファレンス表示」をクリックすると権限の内容を確認できます](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen06.png)
![yajirushi](http://service.allconnect.jp/wp-content/uploads/2019/02/yajirushi_red_lr.png)
![この「ロール」が与えられたユーザーはサポート機能のみ利用可能な状態になります](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen07.png)
┃応用:特定のセッショングループのみ利用できるロールの作成
![Angowl](http://service.allconnect.jp/wp-content/uploads/2019/01/Angowl_mono.png)
さらに権限を絞り、サポートページの特定のセッショングループしか利用できない「ロール」を作成したい場合は、
「スコープ権限」で左の一覧からセッショングループを選択して、与えたい権限を右の「設定可能な項目」から☑選択します。
下図の例では、サポートページの My Sessions しか利用できない「ロール」を作成します。
下図の例では、サポートページの My Sessions しか利用できない「ロール」を作成します。
![この「ロール」が与えられたユーザーは、下図のようにサポートページの[My Sessions]グループしか利用ることができません](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen08.png)
![yajirushi](http://service.allconnect.jp/wp-content/uploads/2019/02/yajirushi_red_lr.png)
![[My Sessions]だけが見える状態](http://service.allconnect.jp/wp-content/uploads/2019/03/chiebukuro_002_screen09.png)
●例1:特定のユーザーは顧客の承諾がなくても接続できるようにする
![Angowl_mini_mono](http://service.allconnect.jp/wp-content/uploads/2019/02/Angowl_minipointer_mono.png)
「設定可能な項目」で、[HostSessionWithoutConsent]に☑チェックを入れることで、画面接続前に承諾プロセスを経由せずに接続することができます。
●例2:セッションは作成できるが削除(終了)できないようにする
![Angowl_mini_mono](http://service.allconnect.jp/wp-content/uploads/2019/02/Angowl_minipointer_mono.png)
「設定可能な項目」で、[EndSession]のチェックを外すことで、セッションを削除することができなくなります。
管理者がセッションの経緯を確認するまで削除させたくない場合に有効です。
●例3:ホストページからコマンドを実行できないようにする
![Angowl_mini_mono](http://service.allconnect.jp/wp-content/uploads/2019/02/Angowl_minipointer_mono.png)
「設定可能な項目」で、[RunCommandOutsideSession]のチェックを外すことで、ホストページからDOSコマンドを実行できなくなります。
┃応用:LDAPまたはSAMLの場合
![Angowl](http://service.allconnect.jp/wp-content/uploads/2019/01/Angowl.png)
前項までは、内部認証でユーザー管理をした場合を紹介しました。
AD/LDAPまたはSAML認証を利用する場合は、Control側の「ロール」名と外部ユーザーソース側の「グループ権限」名が一致するようにしてください。
”さあ、このようなロールを作成して、さらに精密なセキュリティ体制を構成してみましょう!”