ここでは、New Relicユーザーが特定の機能や特定のアカウントにアクセスする方法について説明します。
権限の主な制御方法:ユーザータイプとロール
ユーザーがアクセスできるNew Relicの機能については、主に2つの設定があります。
- ユーザータイプ:New Relic Oneの価格設定を使用している組織では、ユーザーのユーザータイプは請求要素です。ユーザータイプとは、ユーザーがアクセスできる最大許容機能を設定するものです。これは、New Relicの期待される職務に基づいたかなりの長期設定を意図しています。
- 割り当てられたロール:ユーザーのユーザータイプが決定されると、ロールを使用してユーザーのアクセスをより正確に制御できます。ロールとは機能のセットで、きめ細かなNew Relic機能(たとえば、New Relic APMの設定を変更する機能)です。ロールはアクセス権限を介してユーザーグループに割り当てられます。
ユーザーのユーザータイプと割り当てられたロールの関係について考える別の方法:ユーザーのユーザータイプがすべてのロール制限を上書きします。例:基本ユーザーには、広範なNew Relicアクセス権を持つロールが割り当てられますが、ユーザータイプに関連する制限は、ロールが付与されたアクセスよりも優先されます。
このドキュメントは、ロール関連のアクセス権に重点を置いています。ユーザータイプについては、ユーザータイプを参照してください。
アクセス権限により、ユーザーグループのNew Relicへのアクセス権を与えます
New RelicユーザーがNew Relicのアカウントまたは機能にアクセスできるようにするには、ユーザーはグループに属し、そのグループに関連付けられたアクセス権限を持っている必要があります。アクセス権限は、ユーザーのグループに次のような権限を与えます。
ProまたはEnterpriseエディションを使用する組織は、組織内に複数のアカウントを持つことができ、アクセス権限を作成し設定することができます。Standardエディションの組織は、その組織で1つのアカウントのみ許可され、アクセス権限の作成や設定をすることができません。
最初にNew Relicにサインアップすると、組織にはデフォルトのユーザーまたは管理者グループに関連付けられたアクセス権限が組み込まれます。たとえば、管理者グループには、組織関連およびユーザー管理関連の高度な管理者機能を含む、グループ内のすべてのユーザーに広範なNew Relicアクセス権限を付与するいくつかのアクセス権限があります。
以下は、アクセス権限がどのように機能するか、また、より大規模な組織にどのように関連しているかを示す図です。
アクセス権限を使用して、ユーザーグループへの特定のロールと特定のアカウント(または組織全体)を付与する方法を示す図。
アクセス権限を作成および管理する方法については、以下を参照してください。
グループ
New Relic Oneのユーザーモデルでは、「グループ」はユーザーのグループを表します。ユーザーをグループに入れると、複数のユーザーを同時に管理できます。たとえば、自動ユーザー管理機能使用している場合は、IDプロバイダーサービスからユーザーのカスタムグループ(たとえば、外部コンサルタント)をインポートし、そのグループにアクセス権を割り当てて、それらのユーザーに特定のアカウントでの特定のロールを与えることができます。
New Relicユーザーは、機能やアカウントにアクセスするために、少なくとも1つのグループに割り当てる必要があります。また、そのグループにはアクセス権限も必要です。
グループはユーザーのNew Relic権限を制限するものではありません。実際の機能を含むグループに割り当てられたロールです。
2つのデフォルトグループがあります(以下を参照)。また、ProおよびEnterpriseの組織は、カスタムグループを作成できます。
ユーザーとグループは、認証ドメイン内にあります。ここで、ユーザーの追加と管理方法(SCIMプロビジョニングなど)と、ユーザーがNew Relicにログインする方法に関連する設定を制御します。
デフォルトのユーザーグループ
2つのデフォルトのユーザーグループがあります。
- ユーザー:このグループでは、ユーザーはオブザーバビリティおよびモニタリングの使用と設定ができますが、請求の管理や他のユーザーの管理などのアカウントレベルのタスクを実行することはできません。これは、すべての製品管理者ロールにアクセスできます。このロールは、当社のオブザーバビリティプラットフォームツールへのアクセスを提供しますが、アカウントレベルの機能へのアクセスを提供する組織マネージャーおよび認証マネージャーロールはありません。
- 管理者:組織レベルの管理者機能など、すべての機能を持っています。これは、すべての製品管理者、請求ユーザー、組織マネージャー、および認証ドメインマネージャーの標準ロールを持つことと同じです。
ユーザーのグループを変更するには、ユーザー管理UIを使用します。
ロール
ロールとは、機能のセットです。当社には、以下に説明するデフォルトのロールがあります。ProまたはEnterpriseエディションの組織もカスタムロールを作成できます。
ロールおよび機能を表示するには、組織を使用してUIに移動し、ロールをクリックします。ロールUIには、アカウントスコープのロールが表示されますが、組織スコープのロール(組織マネージャーおよび認証ドメインマネージャーは表示されません。
標準(デフォルト)ロール
当社にはいくつかの「標準ロール」が用意されています。このロールはデフォルトで利用でき、一般的に必要とされる機能セットを満たしています。
重要
一部の標準ロールでは、カスタムロールを作成するときに選択できない機能は非表示になっています。カスタムロールで複製できる唯一の標準ロールは標準ユーザーおよび読み取り専用で、その他のすべてには一部の非表示機能があります。
標準ロールに含まれるもの:
標準ロール | 範囲 | 説明 |
|---|---|---|
全製品アドミン | アカウント | オブザーバビリティプラットフォーム機能への管理者レベルのアクセスを提供しますが、組織レベルおよびユーザー管理機能は提供しません。つまり、このロールにはユーザーの管理(認証ドメインマネージャーロール)および組織/アカウント構造設定の管理(組織マネージャーロール)、および請求の管理(請求ユーザーロール)を除くすべてのNew Relic機能が含まれます。 注:標準ユーザーロールは、基本的には、すべての製品管理者ロールからオブザーバビリティ機能の設定機能を差し引いたものです。 |
標準ユーザー | アカウント | オブザーバビリティプラットフォーム機能へのアクセスを提供するが、これらの機能を設定するための権限(たとえば、Syntheticモニターの安全な認証情報を設定する機能)がなく、組織レベルおよびユーザー管理の権限がありません。 注:標準ユーザーロールは、基本的にはすべての製品管理者ロールであり、プラットフォーム機能を設定するロール機能はありません。 |
請求ユーザー | アカウント | サブスクリプションと請求設定を管理する機能、およびプラットフォームの他の部分への読み取り専用アクセスを提供します。複数のアカウントを持つ組織の場合、請求はプライマリ(最初に作成された)アカウントで集計されます。そのため、このロールをそのプライマリアカウントに割り当てると、組織全体の請求権限が付与されます。 |
組織マネージャー | 組織 | 組織構造、名前、優先傾向など、組織設定を管理する機能が提供されます。最近のNew Relic Oneのユーザーモデルへの切り替えにより、このロールには現在、数機能しかありませんが、時間の経過とともにさらに追加されることになります。 このロールを付与する方法については、ユーザー管理機能の追加を参照してください。 |
組織の読み取り専用 | 組織 | 組織レベルの設定を表示する機能が提供されます。このロールを付与する方法については、ユーザー管理機能の追加を参照してください。 |
認証ドメインマネージャー | 組織 | New Relic Oneのユーザーモデルのユーザーに、ユーザーを追加して管理し、認証ドメインを設定する機能を提供します。このロールを付与する方法については、ユーザー管理機能の追加を参照してください。 |
認証ドメインの読み取り専用 | 組織 | 組織のユーザーを表示し、認証ドメインの設定を表示する機能を提供します。このロールを付与する方法については、ユーザー管理機能の追加を参照してください。 |
読み取り専用 | アカウント | New Relicプラットフォームへの読み取り専用アクセスを提供します(合成モニターのセキュア資格情報を除く)。 |
v1ユーザーの管理 | アカウント | 2020年7月30日以前に存在し、元のユーザーモデルにユーザーがいるNew Relic組織の場合、このロールを使用すると、これらの「v1」ユーザーを管理できます。 |
ロールをグループに割り当てる方法およびカスタムロールを作成する方法の詳細については、ユーザー管理チュートリアルを参照してください。
機能
ロールは、標準ロールまたはカスタムロールのいずれであるかを問わず、機能のセットです。ロールおよび関連する機能を表示するには、組織を使用してUIにアクセスします。
一部の標準ロールでは、カスタムロールを構築するときに選択できない機能は非表示になっています。詳細については、標準ロールを参照してください。また、ロールUIには、アカウントスコープのロールが表示されますが、組織スコープのロール(組織マネージャーおよび認証ドメインマネージャーは表示されません。
カスタム機能があるロールの設定方法については、 ユーザー管理チュートリアルを参照してください。
ユーザーの管理
ユーザーを追加する方法、グループに割り当てる方法、カスタムグループおよびロールを作成する方法については、ユーザーの管理を参照してください。
アクセス権限の作成に関するヒント
ProおよびEnterpriseエディションの組織は、アクセス権限を作成および設定できます。(Standardエディションの組織は、アクセス権限についてあまり考慮する必要はありません。) アクセス権限を適切に実装するには、必要なグループ、それらのグループが持つべきロールおよびアカウントアクセスについて考慮する必要があります。
組織構造が比較的フラットで、ユーザーのすべてまたは多くが幅広い管理アクセス権とすべてのアカウントへのアクセス権を持っていても問題がない場合は、おそらく必要なアクセス権限は少数で済みます。たとえば、既存のデフォルトの管理者グループまたはユーザーグループに新しいアクセス権を追加し、それらのロールに他のアカウントへのアクセス権を付与するとします。また、ロールや権限に対してより詳細な定義が必要な場合は、特定のロール(標準ロールまたはカスタム定義のロール)にアクセスできる新規グループを定義するアクセス権を作成します。
アクセス権限およびカスタムロールの作成方法に関するチュートリアルは、ユーザー管理のチュートリアルを参照してください。一般的なユーザー管理タスクのその他の例は、タスクの例を参照してください。UIの動作については、ユーザー管理ビデオを参照してください。
アクセス権限の設定に関するヒント:
- まず、アクセス権限をどのように編成するか計画するとよいでしょう。アカウントをいくつお持ちですか? どのユーザーグループがどのロールとアカウントにアクセスできるようになりますか?デフォルトのグループとロールを使用するか、または独自のカスタムグループとロールを作成しますか?
- 自動ユーザー管理を使用してSCIMからユーザーをプロビジョニングした場合は、ユーザーにアクセス権を付与するためにアクセス権を作成する必要があります。
- 多数のアカウント(約20以上)を持つ組織でよく使用される設定は、プライマリアカウントでより多くの組織スコープのロール(組織マネージャー、認証ドメインマネージャー、請求ユーザー)を持つグループを設定し、その他のアカウントでは、より多くの製品スコープのロール(すべての製品管理者、標準ユーザー、カスタムロールなど)を持つグループを設定することです。
ユーザー管理の用語と定義
アカウントおよびロールへのユーザーアクセスの仕組みについては、ユーザーアクセスの説明を参照してください。ここでは、ユーザー管理用語の定義をいくつかご紹介します。
New Relicの組織は、アカウント、ユーザー、データをすべて含む組織を表すものです。詳細については、組織とアカウント構造を参照してください。
機能は、特定のきめ細かなNew Relic機能を使用または編集する機能です。機能の例:
- APM設定を変更する機能
- アラート条件を削除する機能
ロールは機能のセットです。これはユーザーに権限を与えるものです。当社のデフォルトの標準ロールにはさまざまな機能セットがあり、カスタム機能セットを持つカスタムロールも作成できます。特定のNew Relic機能を参照してください。
ユーザーグループには、1つ以上のロールが関連付けられています。ユーザーをグループに割り当てます。デフォルトのユーザーグループ(管理者とユーザー)がありますが、独自のグループも作成できます。
アクセス許可とは、ユーザーグループにロールと特定のNew Relicアカウントへのアクセス権を付与するものです。アクセス許可には基本的に、「このグループは、このNew Relicアカウントでこのロールを割り当てられます」と記述します。ユーザーをグループに追加しても、そのグループがアクセス許可に含まれていない限り、何も実行されません。
認証ドメインには、New Relicに追加され、同じ方法でNew Relicにログインする一連のユーザーが含まれます。たとえば、ユーザー名/パスワードでログインするユーザー用の認証ドメインと、SAMLでログインするユーザー用の認証ドメインが1つあるとします。
ユーザーが基本ユーザーである場合、これはロール関連の制限よりも優先されます。この詳細については、基本ユーザーおよびロールを参照してください。