New Relicユーザーを設定して管理するには、まずユーザー管理システムの仕組みに関する基本的な概念を理解する必要があります。
ユーザーアクセスの概要
ユーザーが製品機能にアクセスできるかどうかは、次の2つの要素によって制御されます。
- ユーザータイプ(ベーシックユーザー、コアユーザー、フルプラットフォームユーザー):ユーザーのユーザータイプは、対象ユーザーがNew Relicをどの程度使用すると予想されるかに基づきます。ユーザータイプは課金要素です。これは権限を設定するためのものではありません。詳細については、ユーザータイプを参照してください
- ロールベースのアクセス:これはユーザー権限の制御に使用し、本ドキュメントの残りの部分で説明します
これらは2つの個別のシステムです。New Relicの機能にアクセスできるようにするには、ユーザータイプとロールベースの権限の両方でそのアクセスが許可されている必要があります。ユーザータイプとロールの関係について詳しくは、ユーザータイプとロールを参照してください。このドキュメントの残りの部分で、ロールベースのアクセスについて説明します。
グループとロールによるNew Relicへのアクセスを制御する方法
New Relicでは、ユーザーgroupsにはrolesが含まれており、それらのロールにはpermissionsが含まれています。 New RelicユーザーがNew Relicの機能を使用するには、以下へのアクセス権が割り当てられているグループに属している必要があります。
ProまたはEnterpriseエディションを使用する組織は、組織内に複数のアカウントを持つことができ、カスタムロールとグループを作成できます。FreeエディションとStandardエディションでは、組織内で1つのアカウントのみ許可され、カスタムロールやグループを作成することができません。
New Relicへの初回サインアップでは、組織にはデフォルトのUserまたはAdminグループ用のビルトインロールとアカウント割り当てがあります。たとえば、 Adminグループには、そのグループのユーザーに、より高いレベルの管理権限など、幅広いNew Relicアクセスを付与するロール割り当てがいくつかあります。
ヒント
ユーザーがNew Relicにアクセスする方法を制御する場合は、こちらで認証ドメインを管理します。
Access management UIのビューで、デフォルトのグループ(AdminとUser )にロール、アカウント、管理設定へのアクセス権がどのように付与されるかを表示します。
以下は、グループアクセスがどのように機能するか、また、より大規模な組織にどのように関連しているかを示す図です。
グループが、そのグループのユーザーにロールとアカウントへのアクセス権を付与する方法を示す図。
グループの設定に関するヒントについては、ユーザー管理チュートリアルを参照してください。
グループ
New Relicで、ユーザーをgroupに配置すると、複数のユーザーを同時に管理できます。 たとえば、自動ユーザー管理機能を使用している場合は、IDプロバイダーサービスからユーザーのカスタムグループ(たとえば、External consultants ) をインポートし、そのグループにロールとアカウントを付与できます。
New Relicの機能にアクセスするには、ユーザーがロールと1つ以上のアカウントにアクセスできる、1つ以上のグループに属している必要があります。
グループはユーザーのNew Relic権限を制限するものではありません。グループに割り当てられたroleで、権限へのアクセスを許可します。
デフォルトでは、2つのシンプルなユーザーグループを使用できます(以下を参照)。また、ProおよびEnterpriseの組織は、カスタムグループを作成できます。
ユーザーとグループは、認証ドメイン内にあります。ここで、ユーザーのプロビジョニング方法(IDプロバイダー経由など)と、ユーザーのログイン方法に関連する設定を制御します。
デフォルトのユーザーグループ
2つのデフォルトのユーザーグループがあります。
- User:このグループのユーザーはオブザーバビリティおよびモニタリングの使用と設定ができますが、請求の管理や他のユーザーの管理などのアカウントレベルのタスクを実行することはできません。このロールは、当社のオブザーバビリティプラットフォームツールの制御を許可するAll product adminロールと、管理設定の組織製品管理者にアクセスできます。より高いレベルのアカウントおよびユーザー管理機能へのアクセスを許可するその他の管理設定にはアクセスできません。
- Admin:All product adminロールがあり、さらに使用可能なすべての管理設定があります。その結果、このグループは、より高いレベルの管理者機能を含むすべての機能にアクセスできます。
ユーザーが所属するグループを編集するには、 Access management UI に移動してグループを編集するか、 User management UI に移動してユーザーを編集します。
ロール
デフォルトのロールをいくつか用意していますが、プロまたはエンタープライズエディションの組織は独自のカスタムロールを作成できます。
ロールに関する重要なポイント:
- 追加的なロール:複数のロールが割り当てられているユーザーは、それらのロールによって付与されたすべての権限があります。たとえば、アカウントで
All product adminのロールを付与するグループと、同じアカウントでRead onlyのロールを付与する別のグループに属している場合は、両方のロールがあり、Read onlyのロールによって制限されません。 - ユーザーのアクセスは、ユーザータイプと権限によって付与されるアクセス権に基づいています(詳細を参照)。
- ロールはオブザーバビリティプラットフォームの機能を管理するのに対して、組織およびユーザー関連の管理者設定へのアクセスは管理設定によって管理されます。
ロールおよび権限を表示するには、 Access management UIに移動し、 Rolesをクリックします。
標準(デフォルト)ロール
アカウントスコープのstandard rolesがいくつかあります。これらのロールはデフォルトで利用でき、一般的なユーザー管理のユースケースを満たしています。
重要
標準ロールの一部には、公開されていない権限があるため、カスタムロールへの追加はできないことに留意してください。カスタムロールで複製できる唯一の標準ロールは、Standard userとRead onlyで、その他のすべてには非公開の権限があります。
これは、当社の標準ロールの表です。これらのロールをさらに理解するには、アクセス管理UIに移動してロールを選択します。
標準ロール | 説明 | ユーザータイプのガイドライン |
|---|---|---|
All product admin | このロールには、組織レベルの設定、ユーザー、請求を管理する機能をexcept、すべてのNew Relicプラットフォーム権限が含まれています。これは、プラットフォーム機能(設定を構成する機能など)の設定を許可するという意味で管理者ロールですが、組織レベルの管理者権限(管理者設定を要する権限)は提供しません。 このロールは、基本的には下記のStandard userロールに加えて、オブザーバビリティ機能を設定する機能が追加されています。 | 任意。推奨:コアまたはフルプラットフォーム。 |
Standard user | 当社のプラットフォーム機能(APM UIやUIなど)へのアクセスを提供しますが、これらの機能を設定するための権限や、組織レベルおよびユーザー管理の権限はありません。 アクセス管理UIを使用して、プラットフォーム全体の標準ユーザーロールに含まれる機能を表示します。 | 任意。推奨:コアまたはフルプラットフォーム。 |
Read only | New Relicプラットフォームへの読み取り専用アクセスを提供します(外形監視のセキュア資格情報とダッシュボードの権限を除く)。 | 任意。 |
ロールをグループに割り当てる方法およびカスタムロールを作成する方法の詳細については、ユーザー管理チュートリアルを参照してください。
管理設定
組織に限定されたロールであるさまざまなAdministrative settingsをグループに追加できます。ベーシックユーザーはこれらの設定を使用できません。
設定には以下の項目が含まれています。
Organization manager: アカウントの追加、組織とアカウントの名前の変更など、組織の設定に関連する権限。これには、特定のエンティティの削除など、機密性の高い監視タスクも含まれます。
Authentication domain manager: 認証ドメインの構成やグループとロールのカスタマイズなど、ユーザーの追加と管理に関連する権限。 このオプションには次のものが含まれます。
- Manage: ドメインの構成やユーザーの追加など、認証ドメインのあらゆる側面を管理できます。
- Read only:認証ドメインとユーザー情報を表示できます。
- Add users: ユーザー情報を表示し、組織にユーザーを追加できますが、その他の認証ドメイン設定や管理機能はありません。
- Read users: ユーザー情報のみ表示可能です。
Billing:ユーザーは請求と使用状況、データ保持期間を表示および管理できます。複数のアカウントを持つ組織の場合、請求はreporting account (通常は組織で最初に作成されたアカウント)に集約されます。
Organization product admin:組織スコープのオブザーバビリティ機能に関連する権限。これは、プラットフォーム機能の設定を可能にするという意味で管理者ロールです。これは、組織スコープのすべての製品管理者に相当します。
グループ管理者
Group adminロールをグループに追加できます。 このロールにより、選択した1つ以上のグループのユーザーを追加および削除できる権限がグループに付与されます。
この機能を使用すると、選択したユーザーに、特定のグループのユーザーを追加および削除する権限を与えることができます。 これは、より強力で組織を対象としたManage認証ドメイン設定をユーザーに付与するよりも望ましい場合があります。 たとえば、組織全体のユーザー管理権限を有する管理者が社内に1人か2人しかいない場合でも、さらに数人の管理者に特定のチームのユーザーを管理する権限を付与したい場合に、このロールが役に立ちます。
Group adminロールを使用するには、ユーザーは少なくとも 1 つの認証ドメイン管理者設定を有するグループに属している必要があります。
機能
ロールが持つ権限およびカスタムロールに追加できる権限については、権限を参照してください。
ユーザーの管理
ユーザーを追加する方法、グループに割り当てる方法、カスタムグループおよびロールを作成する方法については、ユーザーの管理を参照してください。
APIの使用
API経由でユーザー、グループ、ロールを管理する方法については、NerdGraphドキュメントを参照してください。
ユーザー管理の用語と定義
アカウントおよびロールへのユーザーアクセスの仕組みについては、ユーザー管理の概念を参照してください。ここでは、ユーザー管理用語の定義をいくつかご紹介します。
- New Relicのorganizationは、アカウント、ユーザー、データをすべて含む組織を表すものです。詳細については、 組織とアカウント構造を参照してください。
- permissionは、特定のきめ細かなNew Relic機能を使用または編集する機能です。詳細については、 権限を参照してください。
- roleは一連の権限です。これはユーザーに権限を与えるものです。デフォルトの標準ロールにはさまざまな権限があり、カスタム権限を持つカスタムロールを作成できます。
- ユーザーgroupには、1つ以上のロールが関連付けられています。 ユーザーをグループに割り当てます。 デフォルトのユーザーグループ(AdminとUser )があり、独自のグループも作成できます。
- authentication domainには、New Relicに追加され、同じ方法でNew Relic にログインする一連のユーザーが含まれます。
- ユーザーがベーシックユーザーの場合、これはロール関連の権限よりも優先されます。詳細については、ベーシックユーザーとロールを参照してください。