ユーザ管理#
本ページでは、オーガニゼーション(以下 org)と、グループ、ユーザの考え方を図示します。オーガニゼーション、グループもあわせてご覧ください。
ユーザ、オーガニゼーション、グループの構成
- オーガニゼーションの配下にグループを作成できる
- ユーザは複数のオーガニゼーション・グループに所属できる
- グループに所属しているユーザはそのグループのオーガニゼーションにも所属することになる
- オーガニゼーションに所属しているが、グループには所属しないユーザも存在する
- 初回登録時や全グループから削除された、または全グループから退会した場合
- オーガニゼーションに1つも所属していないユーザも存在する
- 初回登録時や、全オーガニゼーションから削除された、または全オーガニゼーションから退会した場合
グループ数・ユーザ数の上限と料金体系について
・グループ数の上限は特にありません。グループの数は料金計算には関係しません。
・ユーザ数の上限は特にありません。ユーザの数は料金計算には関係しません。
ユーザの権限管理#
ユーザには用途に応じて権限を設定できます。 各権限と可能な操作は以下のとおりです。
| 権限種類 | CSIRTプランのみ | 権限説明 |
|---|---|---|
| オーナ | ー | すべての閲覧・変更ができる |
| CSIRT | ✓ | 課金関係・オーガニゼーションユーザ管理以外の閲覧・変更ができる |
| グループセット管理者 | ✓ | 該当のグループセットとグループセットに含まれるグループの設定と基本画面を閲覧・変更できる |
| グループセットメンバ | ✓ | 該当のグループセットとグループセットに含まれるグループの基本画面を閲覧・変更できる |
| グループセット閲覧権限のみ | ✓ | 該当のグループセットとグループセットに含まれるグループの基本画面を閲覧できる 例外的に可能な変更操作は、「タスクコメントの投稿・編集・削除」と「グループセットからの脱退」のみ |
| グループ管理者 | ー | 該当グループの設定と基本画面を閲覧・変更できる |
| グループメンバ | ー | 該当グループの基本画面を閲覧・変更できる |
| グループ閲覧権限のみ | ー | 該当グループの基本画面を閲覧できる 例外的に可能な変更操作は、「タスクコメントの投稿・編集・削除」と「グループからの脱退」のみ |
| グループ招待者 | ー | グループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ |
ユーザの権限設定#
オーガニゼーション内でのユーザの権限設定は、「オーガニゼーション設定 > メンバ」から行います。 メンバページには、オーガニゼーションに所属しているすべてのユーザが表示されています。 ユーザ名の右にある「ユーザ設定変更」ボタンから、権限の設定を行えます。
オーナ権限#
オーナ権限を持つユーザはオーガニゼーション設定の表示や請求先変更、各グループへの所属など、オーガニゼーション内のすべての設定を変更できます。 この権限を持つと、すべてのグループセット、すべてのグループでの閲覧、編集、設定が可能です。 CSIRT 権限との違いは、支払い設定やオーガニゼーション情報変更を含めて、オーガニゼーション設定がすべて行えることです。
参照権限
オーガニゼーション設定はオーナ権限をもつユーザしか行えません。
CSIRT権限#
CSIRT 権限は端的に言えば、請求業務権限・オーガニゼーション情報変更権限のないオーナ権限となっています。 オーナ同様に、ユーザの権限の変更や各グループへの所属確認、グループセットでデータ閲覧などが可能です。 この権限を持つと、すべてのグループセット、すべてのグループでの閲覧、編集、設定が可能です。
オーナ権限と違い、支払い設定やオーガニゼーション情報変更などのオーガニゼーション設定の一部は行えません。
CSIRT プラン限定
CSIRT 権限は CSIRT プランを契約しているオーガニゼーション限定の機能です。
グループの権限設定#
グループの権限(グループ管理者権限)はグループ設定の メンバ から行います。
メンバ ページにはグループに所属しているすべてのユーザが表示されています。
ユーザ名の右にある「権限変更」から、 権限付与の設定を行えます。
グループセットの権限設定#
CSIRT プラン限定
グループセットは CSIRT プランを契約しているオーガニゼーション限定の機能です。
グループセットの権限(グループセット管理者権限)はグループセット設定の メンバ から行います。
メンバページにはグループセットに所属しているすべてのユーザが表示されています。
ユーザ名の右にある「権限変更」から、 権限付与の設定を行えます。
グループセットの権限を持つと、設定されているグループセットおよびそのグループセットに所属しているすべてのグループでの閲覧、編集が可能です。 グループセット管理者権限はグループセットの設定だけでなく、所属しているグループの設定もグループ管理者として変更可能です。
複数のユーザを複数のグループに参加させる場合、グループセットを作成し、グループセットのメンバにすると一括で権限を付与できます。
グループセット⇒グループの権限の継承について#
基本的には、グループセットで付与された権限はグループ権限に継承されます。
しかし、ユーザが複数のグループセットに所属していたり、グループ自体にも直接所属していたりするなど、状況によってはどの権限が最終的に適用されるのか分かりにくいケースがあります。 ここでは、そのような例外的なパターンにおける権限の決定ルールについて解説します。
パターン1: ユーザが、あるグループを含む複数のグループセットに、異なる権限で所属している場合#
あるグループ(例: グループ1)が、複数のグループセット(例: グループセット1, 2, 3)に含まれています。 ユーザ A さんが、これらのグループセットそれぞれに対して、異なる権限で所属しています。
この場合、ユーザ A さんのグループ1における権限は、所属する各グループセットで与えられた権限のうち、最も強い権限 が適用されます。
例えば以下のケースでは、A さんのグループ1における権限は 管理者権限 となります(グループセット1の権限が最も強く、それが適用されるため)
- グループ1は、グループセット1, 2, 3 に含まれている。
- A さんは、以下の権限で各グループセットに所属している。
- グループセット1: 管理者権限
- グループセット2: メンバ権限
- グループセット3: 閲覧権限のみ
パターン2: ユーザが、グループ自体と、そのグループを含むグループセットの両方に、異なる権限で所属している場合#
ユーザ A さんが、あるグループ(例: グループ1)自体と、そのグループ1を含んでいるグループセット(例: グループセット1)の両方に所属しており、それぞれで異なる権限が設定されています。
この場合、ユーザ A さんのグループ1における権限は、グループセットで与えられている権限に関わらず、グループ自体に直接設定された権限 が適用(優先)されます。
例えば以下のケースでは、A さんのグループ1における権限は 閲覧権限のみ となります(グループ自体に設定された権限が、グループセットの権限よりも優先されるため)
- グループ1は、グループセット1, 2, 3 に含まれている。
- A さんは、以下の権限で各グループセットに所属している。
- グループセット1: 管理者権限
- グループセット2: メンバ権限
- グループセット3: 閲覧権限のみ
- 加えて、Aさんはグループ1自体に「閲覧権限のみ」で所属している。
ユーザの登録#
まだアカウントが無い状態から FutureVuls にオンラインサインアップして、オーガニゼーションとグループを作成するまでを説明します。
画面からサインアップして Org/グループを作成する際の流れはチュートリアルを参照してください。
ユーザの追加#
未登録なユーザをグループに招待する#
FutureVuls に一度もログインしたことがない未登録なユーザを招待して、グループに参加するまでを説明します。 招待には2つのパターンがあります。
ID/パスワード形式 もしくは Google認証でログインするユーザを招待する#
上図の OrgA / GrpA のグループ管理者が「グループ設定」の「メンバ」から、ユーザ追加 > 外部の人を招待します。 SSO ユーザとして招待のチェックは入れないでください。
招待されたメールアドレス宛に「仮パスワード」の記載されたメールが送付されますので、招待された方は記載された情報を元に FutureVuls へログインしてください。 ログイン後ユーザ設定画面に自動遷移し「承諾」ボタンを押下すると、招待された OrgA / GrpA に参加済みの状態となります。
SAML連携でログインするユーザをグループに招待する#
この招待をするにはSAML連携の設定が完了している必要があります。 SAML 連携は CSIRT プランでのみご利用可能です。
上図の OrgA / GrpA のグループ管理者が「グループ設定」の「メンバ」から、ユーザ追加 > 外部の人を招待します。 そして、SSO ユーザとして招待のチェックを入れます。
招待されたメールアドレス宛にログイン URL が記載されたメールが送付されますので、招待された方はその URL よりアクセスし、ログインしてください。 このURLは以降のSSOログインでも利用するため、ブックマークすることを推奨します。 ログイン後ユーザ設定画面に自動遷移し「承諾」ボタンを押下すると、招待された OrgA / GrpA に参加済みの状態となります。
未登録なユーザをオーガニゼーションに招待する#
FutureVuls に一度もログインしたことがない未登録なユーザをオーガニゼーションに招待するまでを説明します。 招待には2つのパターンがあります。
ID/パスワード形式 もしくは Google認証でログインするユーザを招待する#
OrgA のオーナ(オーガニゼーションの管理者)が「オーガニゼーション設定」内の「メンバ」から、「ユーザ追加」ボタンでオーガニゼーションへメンバを招待します。
招待されたメールアドレス宛に「仮パスワード」の記載されたメールが送付されますので、招待された方は記載された情報を元に FutureVuls へログインしてください。 ログイン後ユーザ設定画面に自動遷移し「承諾」ボタンを押下すると、招待された OrgA に参加済みの状態となります。
招待したユーザはグループに配属されておらず脆弱性情報等を確認できない状態のため、グループへの招待をしてください。
SAML連携でログインするユーザをオーガニゼーションに招待する#
この招待をするにはSAML連携の設定が完了している必要があります。 SAML 連携は CSIRT プランでのみご利用可能です。
OrgA のオーナ(オーガニゼーションの管理者)が「オーガニゼーション設定」内の「メンバ」から、「SSO ユーザ追加」ボタンでオーガニゼーションへメンバを招待します。
招待されたメールアドレス宛にログイン URL が記載されたメールが送付されますので、招待された方はその URL よりアクセスし、ログインしてください。 このURLは以降のSSOログインでも利用するため、ブックマークすることを推奨します。 招待したユーザはグループに配属されておらず脆弱性情報等を確認できない状態のため、グループへの招待をしてください。
本登録済みOrg未参加のユーザをグループに招待する#
FutureVuls に本登録済みかつ、まだ今回招待する対象の Org には所属していない人をグループに招待する流れを説明します。
上図の OrgA / GrpA のグループ管理者が「グループ設定」の「メンバ」から、ユーザ追加 > 外部の人を招待します。
招待されたユーザ宛にメールが送付されます。 招待された方は FutureVuls にログイン後、ユーザ設定画面で「承諾」ボタンを押下すると、招待された OrgA / GrpA に参加済みの状態となります。
Org所属済みのユーザを他のグループに招待する#
FutureVuls に本登録済みかつ Org 参加済みなユーザを、同一 Org の他のグループに招待する流れを説明します。
上図の OrgA / GrpA のグループ管理者が「グループ設定」の「メンバ」から、ユーザ追加 > このオーガニゼーションから選択 にてユーザを選択し招待します。
招待されたユーザ宛にメールが送付されます。 招待された方は FutureVuls にログイン後、ユーザ設定画面で「承諾」ボタンを押下すると、招待された OrgA / GrpA に参加済みの状態となります。
登録済のユーザをSAML連携でログイン可能にする#
既に FutureVuls 登録済の各ユーザが SSO 可能になる方法を説明します。
この操作はSAML連携の設定が完了している必要があります。 SAML 連携は CSIRT プランでのみご利用可能です。
所属組織のポリシーに応じて、下記2パターンどちらかをご参照ください。
ユーザに今までのログイン方法を許可しつつ、SSOも可能にする#
この場合、SAML連携の設定完了後、設定画面に表示されているログイン URL を各ユーザに共有してください。 各ユーザはその URL から SSO ログインが可能になります。 このURLは以降のSSOログインでも利用するため、ブックマークすることを推奨します。
ユーザに今までのログイン方法を許可せず、SSOのみログイン可能にする#
SAML連携の設定完了後、次の手順に従ってください。
- オーガニゼーション設定 > セキュリティを開く
- SSO 設定にて、「SSO ユーザのみ招待する」が有効になっていることを確認する
- オーガニゼーション設定 > メンバを開く
- 「SSO ユーザ追加ボタン」を押す
- SSO ログインに限定したいユーザのメールアドレスをすべて入力し送信する
入力したメールアドレス宛にログイン URL を記載したメールが送付されますので、招待された方はその URL よりアクセスし、ログインしてください。 このURLは以降のSSOログインでも利用するため、ブックマークすることを推奨します。 以降、送信したメールアドレスのユーザは SSO ログインのみ可能になります。
なお、FutureVuls 未登録のユーザ招待はグループ単位でも可能です。 グループ管理者とオーガニゼーション管理者が異なり、グループ管理者が意図せず SSO ユーザ以外を招待するケースを防ぐため、下記より SSO ログインのみ許可する設定が可能です。 所属組織のポリシーに応じてご利用ください。
- 「オーガニゼーション設定」内の「セキュリティ」から、「SSO 設定」を開きます
- 「SSO ユーザのみ招待する」のスイッチを ON にします
ユーザの削除#
ユーザをグループから削除する#
ユーザ管理者があるユーザをグループから削除する場合を説明します。
グループ管理者が「グループ設定」の「メンバ」からメンバを削除します。 削除されたユーザは上図の GrpA からは削除されますが、OrgA には残ったままとなります。
グループ管理者が、ある一般ユーザを OrgA の全グループから削除した場合は、そのユーザは OrgA には所属しますが OrgA のどのグループにも所属していない状態となります。 一般ユーザは自分からグループには参加出来ないため、以下のいずれかを選択してください。
ユーザをOrgから削除する#
オーガニゼーションオーナーが「オーガニゼーション設定」>「メンバ」よりメンバを削除します。 削除されたユーザは上図の OrgA からは削除されます。オーガニゼーションに1つも所属していない状態になった場合でも、FutureVuls には残ったままとなります。 オーガニゼーションに1つも所属していないユーザは以下のいずれかを選択することになります。
FutureVulsから退会する#
FutureVuls の利用を完全に終了する場合は、「解約方法」のマニュアルに従って、ユーザアカウントの削除などの手続きをしてください。