パーミッショングループを使用すると、特定のグループのメンバーシップに基づいて、1つのステップで複数のユーザーにパーミッションのセットを割り当てることができ、Amplitude組織のプロビジョニングと管理のプロセスを合理化できます。
たとえば、「マーケティングチーム」や「支払いチーム」などのグループを作成し、それらにユーザーを追加して、個々のチームメンバーではなく、各グループにプロジェクト権限を割り当てることができます。 グループに割り当てられた人には、グループに割り当てたアクセス許可レベルがあります。 ユーザーは複数のグループに割り当てることができ、特定のグループメンバーのアクセス許可レベルを変更する唯一の方法は、グループからユーザーを削除することです。
始める前に
- この機能は、エンタープライズのお客様のみが利用できます。
- グループを編集できるのは、組織内の管理者だけです。
- 先に進む前に、Amplitudeのユーザー権限モデルをよく理解しておく必要があります。
グループを作成する
新しいグループを作成するには、次の手順に従ってください:
- 「設定」>「メンバーとグループ」に移動します。
- 「グループ」タブで、「+新しいグループ」をクリックします。 [新しいグループの作成]ペインが開きます。
- [全般]タブで、必要に応じて、グループに名前を付け、説明を追加します。
- 必要に応じて、[チームスペース]プルダウンから、グループメンバーを自動的に追加するチームスペースを選択します。 選択したチームスペースの既存のメンバーは、このグループに自動的には追加されません。
- ドロップダウンから適切なグループタイプを選択します。
- 次に、[+プロジェクトの追加]をクリックして、このグループがアクセスするプロジェクトを選択します。 グループにはプロジェクトをいくつでも追加できます。
- 各プロジェクトについて、適切なプロジェクトの役割を選択します。 すべてのグループメンバーには、そのプロジェクトの役割に関連付けられている権限レベルがあります。
注意:グループメンバーがすでに個別に、または別のグループを介してプロジェクトにアクセスできる場合、Amplitudeは、所有している最高レベルの権限に従ってプロジェクトを処理します。 たとえば、ユーザーがグループAを介してプロジェクトの「メンバー」の役割を持っているが、プロジェクトへの「マネージャー」アクセスを許可するグループBの一部でもある場合、ユーザーはこのプロジェクトへのマネージャーアクセスを持ちます。 その他のシナリオ例については、以下をご覧ください。
- 次に、「メンバー」タブを開き、「+メンバーの追加」をクリックします。 追加するユーザーをドロップダウンから選択します。 メンバーを追加する準備がまだできていない場合は、この手順を今のところスキップすることもできます。
- 「保存」をクリックして、グループの作成を終了します。
グループを編集する
グループのアクセス許可レベルの変更、グループメンバーの追加または削除、グループに関連付けられたグループタイプまたはチームスペースの変更、またはプロジェクトのグループへの追加はいつでも可能です。
グループからメンバーを削除するには、[メンバー]タブに移動し、メンバー名の横にあるボックスをオンにします。 次に、[削除]をクリックします。
特定のプロジェクトに対するグループの権限レベルを変更するには、[全般]タブに移動し、プロジェクト名の横にあるチェックボックスをオンにします。 [プロジェクトロールの編集]ドロップダウンをクリックしてグループに適切なプロジェクトロールを選択するか、[プロジェクトアクセスの削除]をクリックして、このグループのメンバーからのプロジェクトへのアクセスを禁止します。
新しいユーザーを招待するときにグループを割り当てます
新しいユーザーを組織に招待する場合は、[アクセスの割り当て]手順で、ユーザーをグループに割り当てたり、個々のプロジェクトのアクセス許可を割り当てたりすることができます。
ユーザー権限を割り当てるときに考慮すべき点
ユーザー権限は、グループ経由で割り当てることも、ユーザー管理を介して個別に割り当てることもできます。 管理者は、ユーザー権限を割り当てる方法を決定することをお勧めします。それが一方の方法であるか、他方の方法であるか、または2つのハイブリッドであるかは関係ありません。 次の表には、組織に最適な方法を決定するための情報が含まれています。
方法 |
長所 |
短所 |
---|---|---|
グループ |
アクセス許可を整理し、簡単に拡張できます。 将来、他のアクセス許可モデルと統合します。 |
ユーザー権限に対する個々のオーバーライドを管理するのが難しくなります。 例外のために新しいグループを作成する必要があります。 |
ユーザー管理 |
各ユーザーのカスタマイズされたアクセス許可。 |
大規模な管理が難しい。 整理しにくい。 |
ハイブリッド |
両方の方法の利点-1回限りの場合に個別に割り当てられた権限に加えて、組織と規模。 |
どの割り当てが真実の源であるかを知ることは困難です。 |
組織でサードパーティのIDおよびアクセス管理ソフトウェア(Okta、G Suite、SailPointなど)を使用している場合、将来的にこれらをAmplitudeと統合できます。 Amplitude内に、組織の会社構造および標準の権限と役割のセットに合わせたグループを設定することを検討してください。 アクセス管理の統合は、グループ経由でのみ管理できます。
シナリオ例
ユーザーが単一のプロジェクトに対して複数のアクセス許可レベルを持っている場合(グループメンバーシップまたは個別の割り当てのいずれかを通じて)、ユーザーは利用可能な最高のアクセス許可レベルを享受できます。
例A:Olegは、プロジェクトにメンバーのアクセス許可を提供するグループに割り当てられます。
- ユーザー管理を使用して、Olegを個別に上位の役割にアップグレードできます。
- 後でOlegを下位レベルのメンバーの役割に再割り当てすることにした場合は、Olegを個別にそのアクセス許可レベルにダウングレードできます。
例B:アキコは、マネージャーレベルの権限を持つグループのメンバーシップを通じてプロジェクトのマネージャーです。
- ユーザー管理を介してアキコをメンバーまたはビューアに個別にダウングレードすることはできません。
ユーザーがグループから削除されると、グループを介して付与されたアクセス許可が取り消されます。 ユーザーがユーザー管理を介してプロジェクトのアクセス許可も持っている場合、それらのアクセス許可はそのまま残ります。
例C:マルコには、プロジェクトAの視聴者権限が個別に割り当てられています。彼はまた、グループメンバーシップを通じて、プロジェクトAおよびプロジェクトBのマネージャー権限を付与されています。
- マルコはプロジェクトAとプロジェクトBのマネージャーです。これは、彼に付与された最高の権限レベルだからです。
- マルコがグループから削除された場合、彼はプロジェクトAのビューアーになります。
- 後でMarcoがグループに追加された場合、彼はユーザー指定およびグループ指定のすべてのアクセス許可の結合を回復します。この場合、彼は再びプロジェクトAおよびプロジェクトBのマネージャーになります。
例D:タイラーには、個別に割り当てられたプロジェクトアクセス許可はありませんが、プロジェクトAのメンバーアクセス許可を付与するグループに割り当てられます。
- タイラーがグループから削除されると、組織内のコンテンツにアクセスできなくなります。