OnTime for Domino Roles(権限)設定マニュアル

for Domino(Ver.7.7-) Roles(権限)設定マニュアル ステップバイステップ OnTime Group Calendar Direct Shop 2021/03/30

目次 1. 権限の説明とRolesビューとRole文書について p. ３ 1. 2. 3. p. ４ p. ８ p.１１ 2. Role文書の設定例 デフォルト権限の設定 特定のグループ内のメンバー間の権限の設定と除外設定 特定のユーザーに対しての権限の設定 3. メールDBのACLやプリファレンスで設定された権限の反映可否 4. リソース予約DBで｢所有者による制限｣設定したリソース用のRole文書 （参考）単体のリソース予約でロール設定結果による機能一覧 表1.「所有者による制限」が「－なし－」の場合 表2.「所有者による制限」で「所有者や指定されたユーザー」の場合 表3.「所有者による制限」で「所有者や指定されたユーザー」でない場合 2 p.１４ p.１７ p.１９ p.２０ p.２１

1.OnTimeにおける権限の説明とRolesビューとRole文書について Role文書 メールDBや リソース予約DB Role OnTimeは権限についてもDominoに準拠して動作するよう設 計されています。 Dominoでは見ようとする予定の存在するメールDBやリソー ス予約DBにその権限を設定しています。 OnTimeでは更に役割付与という考え方を元にして、 ・使用する(見る)人が ・表示される(見られる)人の予定を ・どのような権限を持って見るか で設定します。 RolesビューのRole文書で権限を設定しAdminコマンドで処理 することで各User文書に権限設定を展開しOnTimeで有効な 権限を機能させます。メールDBに影響を与えません。 その際、メールDBやリソース予約DBで設定された権限も反 映させることで両方の権限をマージして利用できます。 Role Members Members the Role has selected Access to OnTime Admin コマンド Role文書の設定が関係するUser文 書に反映されます。 同時にメールDBやリソース予約 DBのプリファレンス(ACL)の権限 も適宜User文書に反映されます。 GlobalSettings文書 「Disable use of ACLs from」 で反映 / 非反映を設定 User文書 User文書 Assigned Assigned Access to this personCalendar Access to this personCalendar Roles have granted … Delegated access in ... 使用する人のUser文書 Roles have granted … 補足） 1. 複数のRole文書の設定が各User文書に反映されます。 2. Global Settings文書でメールDBやリソース予約DBで設定 された権限を個別に無効にすることも可能です。 Delegated access in ... 予定を表示される人のUser文書 3

2.Role文書の設定例 1.デフォルト権限の設定 -1 まずはデフォルトの権限を設定します。 OnTimeは初回インストールするとRolesビューに 「 All Users 」のデフォルト設定が自動作成されます。 左サイドメニューでRolesビューを選択し、All Users文書を編 集画面で開きます。 開くと左下図の様に表示されます。 4

2.Role文書の設定例 1.デフォルト権限の設定 -2 Role Members - Domino(Notes User names)Read entries details に * を指定します。 Members the Role has selected access to – Domino(Notes Group or User names) – Read entries details に * を指定します。 全員が全員の予定を件名含め参照できるようになりま す。 除外したいユーザーがいる場合はExcluded欄にその ユーザー名やグループ名を指定して除外できます。 その他各項目の権限については別紙「Configマニュア ル」の1-5.Roles(権限) のページを参照してください。 5

2.Role文書の設定例 1.デフォルト権限の設定 -3 文書保存後にAdminコマンドを実行して反映します。 実行後、左下図のようなメッセージが表示されます。 6

2.Role文書の設定例 1.デフォルト権限の設定 -4 対象のUser文書を開くと付与したロールが反映されて いることが確認できます。 「Assigned」の「Role Member」欄に記載されているの が、このユーザーが保持しているロール権限、 「Access to this･･･」の「Roles have granted the following access」欄に記載されているのが、このユーザーに対 しての権限保持ロールを示しています。 ちなみに右の「Delegated access in the personal calendar(Preferences/ACL)」はメールDBで設定された権 限を示しています。 前述のようにOnTime上での権限はOnTimeで設定され たRole文書による権限とメールDBで設定された権限と マージした結果で機能します。このユーザー例の場合、 既にメールDBで全員（-Everyone-）にCreate,Edit and Delete entriesの権限が付与されているのでRole文書で どのような設定をしようが既に誰でもこのユーザーの 予定は作成･編集･削除が可能です。 7

2.Role文書の設定例 2.特定のグループ内のメンバー間の権限の設定と除外設定 -1 Role文書は個別にいくつでも作成できます。 各Role文書はUser文書に反映されますが、Role文書の 数だけ全て反映できます。 今回は営業1課内は全員が全員の予定を作成・編集・ 削除ができるように、また「不在通知」もお互いに変 更できるように設定します。 但し例え同じ営業1課でも京都課長の予定は参照しか できないようにします。 まず組織構成を見てみます。Sel1Secグループがありま すので使用します。 Add RoleでRole文書を作成します。 8

2.Role文書の設定例 2.特定のグループ内のメンバー間の権限の設定と除外設定 -2 名前を営業一課、その他各設定を図のように設定します。 作成・編集・削除権限で京都課長を除外しておきます。 9

2.Role文書の設定例 2.特定のグループ内のメンバー間の権限の設定と除外設定 -3 Role文書を作成後、Adminコマンドを実行します。 User文書に反映された結果を確認します。 左上の図が営業1課の一般ユーザーのUser文書です。 自身が営業一課のRole Memberにアサインされている ことが確認できます。 また、自身の予定の作成・編集・削除と「不在通知」 の機能を営業一課に許可したことが確認できます。 ↑営業1課の一般ユーザーのUser文書 ↓営業1課の京都課長のUser文書 左下の図が営業1課の京都課長のUser文書です。 同様に自身が営業一課のRole Memberにアサインされ ていることが確認できます。 しかし「不在通知」の機能しか営業一課に許可してい ないことが確認できます。 10

2.Role文書の設定例 3.特定のユーザーに対しての権限の設定 -1 次は、京都課長・大阪課長に静岡部長の予定を作成・ 編集・削除ができる権限を準備します。 Dominoディレクトリにグループが無いと仮定して、 ユーザー名を直接Role文書に指定します。 事前に対象となるUser文書の状態を確認しておきます。 左上の図が京都課長のUser文書、 左下の図が静岡部長のUser文書です。 ↑京都課長 ↓静岡部長 11

2.Role文書の設定例 3.特定のユーザーに対しての権限の設定 -2 Role文書は左図のように設定します。 Role文書を作成後、Adminコマンドを実行します。 12

2.Role文書の設定例 3.特定のユーザーに対しての権限の設定 -3 処理後の京都課長のUser文書を確認するとRole Memberの営業課長権限Roleにアサインされていること が確認できます。 同様に静岡部長のUser文書を確認すると営業課長権限 Roleに作成・編集・削除の機能を許可したことが反映 されています。 ↑京都課長 ↓静岡部長 13

3.メールDBのACLやプリファレンスで設定された権限の反映可否 -1 メールDBのACLやプリファレンスで与えた権限は OnTimeのUser文書に反映され、機能します。 例として、個別に岡山さんが福岡さんに作成編集権限 を与えるためにプリファレンスに設定したとします。 岡山さんのメールDBのプリファレンスを開き、福岡さんを代 理アクセス許可の欄に追加します。 Task Commands の Sync と Admin を実行します。 14

3.メールDBのACLやプリファレンスで設定された権限の反映可否 -2 岡山さんのUser文書にはメールDBのプリファレンス (ACL)の設定が反映されています。 しかし、このように一般ユーザーが権限を自由に編集 することで思わぬ事故につながる可能性もあります。 そのため、OnTimeはメールDBのプリファレンスで付 与した権限を無効にする設定があります。 GlobalSettings文書で「Disable use of ACLs from」の 「Mail Files」にチェックをつけます。 もう一つの項目の「Room & Resources」はリソース予 約DBのACLを使用しない設定です。詳細は「4.リソー ス予約DBで｢所有者による制限｣設定したリソース用の Role文書」を参照してください。 15

3.メールDBのACLやプリファレンスで設定された権限の反映可否 -3 Task Commands の Admin を実行します。 設定変更なのでAdminコマンドを実行します。 再度岡山さんのUser文書を確認すると、メールDBから の権限情報が見えなくなっています。 16

4.リソース予約DBで｢所有者による制限｣設定したリソース用のRole文書 -1 Notes/Dominoのリソース予約DBにはリソース文書で 「所有者オプション」を指定できます。 しかし、その権限をそのまま利用すると、例えば「所有 者による制限」がかかったリソースは所有者でなければ OnTimeのビュー上で表示できなくなります。 本機能はリソース予約DBの「所有者による制限」を尊 重して、「所有者による制限」が設定されたリソースに 対して閲覧権限を設定する専用ロールです。本機能を使 用する場合は、以下のいずれかを指定してください。 1. リソース予約DBのACLでサーバー以外の一般ユーザーに 権限を「なし」にする。 2. 左図のようにGlobalSettings文書で「Disable use of ACLs from」の「Room & Resources」にチェックを つけて、リソース予約DBのACLは使用しない設定にする。 上記のいずれかを設定をする事でリソース予約DBのACL は適用されないのでこの時点では誰も権限を持たないこ とになります。全ての権限をRolesで指定してください。 17

4.リソース予約DBで｢所有者による制限｣設定したリソース用のRole文書 -2 左上の図の「Add Role for Restricted」ボタンは「所有 者による制限」で制限がかかっているリソースに対し て閲覧権限を設定する専用ロールを追加できます。 「Add Role for Restricted」ボタンをクリックします。 開くと左下の図のようになります。 通常Notes/Dominoでは閲覧ができなくなる「所有者に よる制限」がかかった会議室やリソースをこのロール を使用して適宜「予約時間だけ」もしくは「予約の詳 細」を閲覧できるようにすることが可能です。 指定した結果の機能一覧は次ページの「（参考）単体 のリソース予約で、ロール設定結果による機能一覧」 を参照してください。 18

（参考）単体のリソース予約でロール設定結果による機能一覧 -1 表1.「所有者による制限」が「－なし－」の場合 ★ご注意ください 以下の表は前述の通り、リソース予約DBのACLでEveryoneの権限を「なし」に設定 または OnTimeでは使用しない設定 の場合の機能 一覧です。 次の３表はリソース予約DBのリソース文書で下図の「所有者による制限」の設定によって振る舞いが変わります。 それぞれ3パターンから該当する状態をご確認ください。表内の▲・△については３ページ後に記載しています。 表１ 「所有者による制限」が「－なし－」の場合 表示機能 与えられる機能 OnTimeのロー ル名 Create, Edit and Delete entries Create and Edit own Entries Read entries details View schedule information 内部名称 ビューで予約 の表示 作成編集機能 ダイアログ 自分の作成した 他人の作成した 自分の予約の編 単体のリソース 他人の予約の編 会議招集でリ リソースの表示 予約の詳細表示 予約の詳細表示 集削除ができる 予約ができる 集削除ができる ソースの利用 Editor ○ ○ ○ ○ ○ Author ○ ○ ▲ ○ ○ Reader ○ ○ ○ BusyTimer ○ ○ ロール設定無し No Access 19 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

（参考）単体のリソース予約でロール設定結果による機能一覧 -2 表2.「所有者による制限」で「所有者や指定されたユーザー」の場合 表２ 「所有者による制限」で「所有者や指定されたユーザー」の場合 付与する機能によって以下の２つから選択してください。 表示機能 与えられる機能 OnTimeのロー ル名 Create, Edit and Delete entries Create and Edit own Entries Read entries details View schedule information 内部名称 ビューで予約 の表示 作成編集機能 ダイアログ 自分の作成した 他人の作成した 自分の予約の編 単体のリソース 他人の予約の編 会議招集でリ リソースの表示 予約の詳細表示 予約の詳細表示 集削除ができる 予約ができる 集削除ができる ソースの利用 Editor ○ ○ ○ ○ ○ Author ○ ○ ▲ ○ ○ Reader BusyTimer ロール設定無し No Access 20 ○ ○ ○ ○ ○

（参考）単体のリソース予約でロール設定結果による機能一覧 -3 表3.「所有者による制限」で「所有者や指定されたユーザー」でない場合 表３ 「所有者による制限」で「所有者や指定されたユーザー」でない場合 付与する機能によって以下の３つから選択してください。 アクションボタン「Add Role for Restricted」から作成してください。 表示機能 与えられる機能 OnTimeのロー ル名 内部名称 Role for Restricted Read entries details Role for Restricted View schedule information Create, Edit and Delete entries Create and Edit own Entries Read entries details View schedule information ロール設定無し 作成編集機能 ダイアログ ビューで予約の 自分の作成した 他人の作成した 自分の予約の編 単体のリソース 他人の予約の編 会議招集でリ リソースの表示 表示 予約の詳細表示 予約の詳細表示 集削除ができる 予約ができる 集削除ができる ソースの利用 Reader ○ △ BusyTimer ○ △ ○ Editor Author Reader BusyTimer No Access 21 ○ △ ○ △

（参考）単体のリソース予約でロール設定結果による機能一覧 -4 ▲について 他人の作成した予約の詳細を閲覧できるかどうかは GlobalSettings文書で切り替えできます。 左図[Prevent viewing details for other peoples bookings]の チェックの有無で閲覧権限が変わります。 「Yes」にチェックを入れると閲覧制限をかける事がで きます。 「Yes」のチェックを外すと閲覧できるようになります。 △について OnTimeでは操作ができますが、DominoのR&RMgrが辞 退するので、結果的に使用できません。 22