役割ベースのアクセス制御モデルへの移行
役割ベースのアクセス制御モデルでは、権限を直接割り当てるのではなく、ストアや組織内のユーザーに役割を割り当てます。役割はストアや組織におけるユーザーのジョブを表し、そこにはユーザーがジョブを実行するための詳細な権限のリストがすべて含まれています。
デフォルトの役割
役割ベースのアクセス制御に移行すると、管理画面で以下の2種類の役割がすでに利用可能になります。
ビジネスで必要となる追加の役割を作成することもできます。
ユーザーアクセスの変更
既存のユーザー管理の許可がどのように影響を受けるかを理解するために、以下の例外を確認してください。
- ユーザー管理の許可は非推奨となりました。ユーザー管理の許可は、Shopify が管理する特定の役割にのみ付与されます。対象となるユーザーについて詳しくはこちら。
- 一部のユーザーには、Shopifyが管理する役割が自動的に割り当てられます。
- 利用可能なすべてのストアレベルの許可を持つユーザーは、自動的に管理者のストアの役割に移行されます。
- 組織レベルのユーザー管理の許可を持つユーザーには、自動的に組織管理者の組織の役割が割り当てられます。
- 組織内のストアの現在のストアオーナーである場合、役割ベースのアクセス制御モデルのストアオーナーの役割に自動的に移行されます。ユーザーの追加や削除、役割の変更など、ユーザーアカウントを管理できます。組織内のストアオーナーは、役割を作成または管理することはできません。組織内の他のストアへのアクセス権を持っているがストアオーナーではない場合、または組織レベルの機能へのアクセス権を持っている場合は、自動的に移行されません。組織オーナーまたは組織管理者が新しい役割を割り当てて、追加の許可を付与する必要があります。
役割ベースのアクセス制御モデルへの移行
ユーザーを役割ベースのアクセスモデルに移行するには、ユーザーに役割を割り当てます。ユーザーに役割を割り当てると、その役割は、ユーザーに直接割り当てられていた以前の許可を置き換えます。
まだ移行されていないユーザーとグループには、管理画面の設定にある[ユーザー] インデックスページに [以前のアクセス] バッジが表示されます。[以前のアクセス] でユーザーやグループを絞り込んだり並べ替えたりすると、移行が必要なすべてのユーザーとグループを表示できます。
個々の以前のユーザーを移行する
ユーザーの既存の以前の許可から新しい役割を作成するか、事前定義された役割または管理者の役割にユーザーを割り当てるか、新しい役割を作成することができます。
手順:
管理画面から、[設定] > [ユーザー] に移動します。
[以前のアクセス] バッジが付いているユーザーをクリックします。
[以前のアクセス] セクションで、いずれかのストア名の横にある
アイコンをクリックし、[役割を作成] をクリックします。
[既存のストアの許可から役割を作成] ダイアログで、以下の情報を追加します。
- 役割の名前を追加します。
- 任意:役割に説明を追加します。
- 任意:許可を調整します。
- [保存] をクリックして役割を作成します。
- 役割のストアアクセスを割り当てるストアを選択します。
- [完了] をクリックします。
- [保存] をクリックします。
- [以前の許可を置き換える] ダイアログで、[置き換えて保存] をクリックします。
以前の役割を持つユーザーの移行
組織にすでに役割があった場合、以前の役割は同じ名前のユーザーグループに自動的に変換されます。
ユーザーに以前の役割を割り当てることはできません。以前の役割はグループに変換されており、ユーザーの許可を制御しなくなりました。ユーザーに許可を割り当てる前に、以前の役割グループを移行する必要があります。
以前のアクセスグループのユーザーを移行するには、以前のアクセスユーザーグループに役割を割り当てます。ユーザーを事前定義された役割または管理者の役割に割り当てるか、新しい役割を作成できます。
手順:
管理画面から、[設定] > [ユーザー] に移動します。
[グループ] をクリックします。
移行する以前のグループをクリックします。
[以前のアクセス] セクションで、いずれかのストア名の横にある […] ボタンをクリックし、[役割を作成] をクリックします。
[既存のストアの許可から役割を作成] ダイアログで、以下の情報を追加します。
- 役割の名前を追加します。
- 任意:役割に説明を追加します。
- 任意:許可を調整します。
- [保存] をクリックして役割を作成します。
- 役割のストアアクセスを割り当てるストアを選択します。
- [完了] をクリックします。
- [保存] をクリックします。
- [以前の許可を置き換える] ダイアログで、[置き換えて保存] をクリックします。
以前のユーザーに役割を一括で割り当てる
管理画面の [ユーザー] インデックスページから、新しい役割を一括で割り当てることができます。[以前のアクセス] バッジが付いているユーザーを絞り込んだり、追加の絞り込みを適用したりできます。ユーザーリストの絞り込みについて詳しくはこちら。
手順:
管理画面から、[設定] > [ユーザー] に移動します。
アイコンをクリックし、[以前のアクセス] フィルターを選択します。
[役割を割り当てる] をクリックします。
ドロップダウンメニューから役割を選択し、[続行] をクリックします。
選択したユーザーにアクセスを許可するストアを選択します。
[完了] をクリックします。
SCIMによるユーザーのプロビジョニング
SCIM (System for Cross-domain Identity Management) を使用してShopifyにユーザーをプロビジョニングしている場合は、IDサービスプロバイダーでSCIMユーザーを役割ではなくグループに割り当てます。
IDに新しいグループを追加するには、まず管理画面でユーザーグループを作成し、次にIDサービスプロバイダーのユーザー割り当てにグループ名を追加します。
SCIM を通じてすでにプロビジョニングされている既存のユーザーを、新しいグループに移行する必要はありません。ただし、新しいユーザーに役割やグループを割り当てる場合、またはIDサービスプロバイダーを通じてユーザーの役割の割り当てを変更する場合は、まず管理画面の [ユーザー] 設定で以前の役割を移行するか新しいユーザーグループを作成してから、IDサービスプロバイダーでユーザーにそのグループを割り当てる必要があります。オプションのフィールドには引き続き [役割名 (任意)] というラベルが付いていますが、このフィールドが受け取る値はユーザーグループです。
新しいユーザーを以前の役割でプロビジョニングする場合は、管理画面でグループに新しい役割を割り当てて以前の役割のユーザーグループを更新してから、IDサービスプロバイダーでそのグループを割り当てます。IDサービスプロバイダーの役割フィールドには、ユーザーグループ名を使用してください。
ユーザーを新しい役割にプロビジョニングする場合は、管理画面で新しい役割を作成してユーザーグループに割り当ててから、IDサービスプロバイダーでそのグループを割り当てます。IDサービスプロバイダーの役割フィールドには、ユーザーグループ名を使用してください。
SCIM によるユーザー管理について詳しくはこちら。
よくある質問
役割ベースのアクセスモデルへの移行に関するよくある質問への回答を確認してください。
役割を編集または作成できないのはなぜですか?
役割を編集または作成できない場合は、以下のいずれかの理由が考えられます。
- 役割を管理する許可がありません。役割の作成や管理に必要な許可を持っているのは、オーナー、または管理者の役割を持つユーザーのみです。ユーザー管理の資格要件について詳しくはこちら。
- Shopify が管理する役割を持つユーザーを編集しようとしています。Shopify が管理する役割は編集できません。Shopify が管理する役割について詳しくはこちら。
ユーザー管理機能へのアクセスが必要な場合は、ユーザー管理アクセス権を持つユーザーに連絡してアクセスをリクエストできます。
以前のアクセス権を持つユーザーをすぐに移行する必要がありますか?
はい、以前のアクセス権を持つユーザーはできるだけ早く移行してください。移行はすでに開始されており、今後数週間にわたって継続されます。
固有の許可セットごとに、自動生成された役割が生成されます。同じ許可を共有するユーザーには、同じ役割が割り当てられます。ユーザーごとに異なる固有の許可セットが多数ある組織では、多くの新しい役割が自動生成されます。
アクセス制御を整理しておくために、期日までに手動でユーザーを移行することをおすすめします。
自動移行が開始されるとどうなりますか?
移行が開始されると、残りの以前のユーザーとグループの許可は自動的に役割に移行されます。同じ許可を共有するユーザーには、同じ役割が割り当てられます。ユーザーごとに異なる固有の許可セットが多数ある組織では、多くの新しい役割が自動生成されます。
これらの自動生成された役割を編集したり、削除して代わりに新しい役割をユーザーやグループに割り当てたりすることができます。自動生成されたすべての役割は、管理画面のユーザーインデックスページの最後に並べ替えられます。
一部のユーザーに組織管理者の役割が割り当てられたのはなぜですか?
廃止されたユーザーの組織の許可を持っていた、組織またはShopify Plusプランのストアの移行済みユーザーには、自動的に組織管理者の役割が割り当てられます。
ユーザーから組織管理者の役割を削除し、代わりに別の役割を割り当てることができます。
組織の管理者の役割について詳しくはこちらをご覧ください。
一部のユーザーに管理者の役割が割り当てられたのはなぜですか?
廃止されたユーザーのストアの許可を持っていた移行済みユーザーには、自動的に管理者の役割が割り当てられます。
ユーザーから管理者の役割を削除し、代わりに別の役割を割り当てることができます。
管理者の役割について詳しくはこちらをご覧ください。
ユーザーごとに許可が異なる場合、それぞれに役割を作成する必要がありますか?
いいえ、ユーザーごとに個別の役割を作成する必要はありません。以下の方法で役割を管理できます。
- 許可カテゴリーに基づいて役割を作成し、複数のユーザーが共有できるようにします。たとえば、[商品]、[カタログ]、[コンテンツ]、[ファイル] のストアの許可を持つマーチャンダイザーの役割を作成できます。商品在庫を管理するすべてのユーザーに、マーチャンダイザーの役割を割り当てることができます。
- 組織が Shopify Plus プランを利用している場合は、グループを使用して複数のユーザーに同じ役割を割り当てることができます。ユーザーのグループについて詳しくはこちら。
ユーザーが固有のアクセスを必要とする場合は、専用の役割を作成することもできますが、ほとんどの場合、明確に定義された役割の下でユーザーをグループ化することがベストプラクティスです。
デフォルトの役割を変更できますか?
Shopify が管理する役割はカスタマイズできません。管理画面に事前定義された役割がある場合は、それらの役割をカスタマイズできます。さまざまな役割カテゴリーについて詳しくはこちら。