ワークスペースロールとカスタムRBAC

Elidoには4つの組み込みワークスペースロールがあります。ほとんどのチームをカバーします。Businessのカスタムロールで「Admin」が多すぎて「Editor」が少なすぎる場合の微調整が可能です。

組み込みロール#

R = 読み取り、RW = 読み取り/書き込み、— = アクセスなし。マトリックスは簡略化されています — 詳細は以下の各エリアのノートを参照してください。

Owner. ワークスペースを作成した人と昇格された人が使うロールです。Ownerだけができること：

ワークスペースには常に少なくとも1人のOwnerが必要です。最後のOwnerが去ると、システムは最も在籍歴の長いAdminを自動的に昇格させます。

Admin. 請求アクセスなしの日常的なワークスペース管理。Adminはリンク、ドメイン、Webhook、メンバー、インテグレーションを管理します。請求ページを読むことはできますが、カードやプランを変更することはできません。

Editor. 個人の担当者のデフォルトです。リンクの作成/編集/削除、一括インポートの実行、QRコードの生成、Webhookの管理ができます。人を招待したり、ワークスペースの設定を変更したり、カスタムドメインを追加したりすることはできません。

Viewer. ダッシュボード全体で読み取り専用です。リンクとアナリティクスを見ることができます。アクションボタンをクリックすることはできません。ステークホルダー、監査人、読み取り専用のBI / Lookerユーザーに便利です。

Businessワークスペースは権限チェックリストでカスタムロールを定義できます。権限セット：

Settings → Roles → New role で作成します。名前を選んで、権限にチェックを入れて保存します。メンバーリストのメンバーの行から割り当てます。ロールは後で編集できます。変更は60秒以内に反映されます。

APIキーはロールに紐づいています。editor ロールのAPIキーはリンクを書き込めます。admin ロールのAPIキーはadminユーザーができることすべてができます。ワークスペースでの自分のロールより高いロールでキーを発行することはできません — APIは403で拒否します。

ユーザーを降格してもAPIキーは自動的に失効しません。発行時のロールを保持します。降格を強制するには、Settings → API keys → Manage user keys からユーザーのキーを明示的に失効させてください。

他の人に所有権を渡すには：

「ワークスペース移転」ウィザードはありません — すべてのOwnerは同等の権利を持ち、何人でもOwnerを持てます。クリーンな引き継ぎのために、まず新しいOwnerを昇格させ、アクセスを確認してから自分を降格させてください。

削除されたメンバーはすぐにダッシュボードへのアクセスを失います。個人のAPIキーは60秒以内に失効します。作成したリンクはワークスペースの所有物（ユーザーのものではない）として残るため、リンク側では何も壊れません。

削除されたユーザーによって作成された監査ログエントリは無期限に保持されます — 削除によって履歴が匿名化されることはありません。

ユーザーが自分で作成したリンクが見えないと言っている。 ロールを確認してください — Viewerに降格した場合、ワークスペースにいる間はリンクを見ることができますが、編集することはできません。フォルダからも移動させた場合は、フォルダへのアクセスを復元してください。

降格後もユーザーのAPIキーが機能する。 APIキーは元のロールを保持します。再発行を強制するには Settings → API keys からキーを失効させてください。

カスタムロールに必要な権限が不足している。 権限セットは固定されています（上記リスト参照）。本当に重要なものが欠けている場合は、ユースケースを添えて support@elido.app にメールしてください — 需要があれば権限セットに機能を追加します。

一括ロール変更。 SCIM APIを使用してください：IdPのグループメンバーシップがElidoのロールにマッピングされます。設定については SSO + SCIM を参照してください。SCIM制御のロールはダッシュボードで編集できません — IdPが指定するものになります。