IM-BPM for Accel Platform IM-BPM 仕様書 第13版 2020-04-01

4.1. 権限

IM-BPM for Accel Platformの権限について説明します。

4.1.1. ロール

IM-BPM for Accel Platformでは、標準で以下の4つのロールが用意されています。
  • IM-BPM管理者
  • IM-BPMユーザ
  • IM-BPMプロセス参照ユーザ
  • IM-BPM開発者

4.1.1.1. IM-BPM管理者 (im_bpm_manager)

IM-BPM for Accel Platformに関するすべての権限を有するロールです。
プロセスの管理からREST APIの呼び出しまですべての権限を有しています。

4.1.1.2. IM-BPMユーザ (im_bpm_user)

IM-BPM for Accel Platformを利用者を想定したロールです。
IM-BPMユーザは、IM-BPM管理者により用意された業務プロセスを実施する役割を持ちます。
IM-BPMユーザは、業務プロセスに対する操作、参照する権限は有していません。
IM-BPMユーザはタスクに関する操作のみがおこなえます。

4.1.1.3. IM-BPMプロセス参照ユーザ (im_bpm_process_reference_user)

IM-BPM管理者により用意された業務プロセスを参照する権限を有したロールです。
IM-BPMユーザロールと組み合わせて利用することを想定しています。
IM-BPMユーザロールと組み合わせることにより、実行されたプロセスインスタンスに対して以下のことを行うことができます。
  • 履歴の参照
  • 業務プロセス図の参照
  • オプショナルタスクの追加

4.1.1.4. IM-BPM開発者 (im_bpm_developer)

プロセスデザイナを利用してプロジェクトおよびプロセスを開発する権限を有したロールです。
プロジェクトに対して特定のサブジェクト(会社・組織・ロールなど)に認可を設定しておき、そのサブジェクトとIM-BPM開発者ロールを組み合わせて利用することを想定しています。
IM-BPM開発者は、自分の所属会社・組織などに応じて、許可されたプロジェクトについて許可された処理を行うことができます。

4.1.2. 認可

IM-BPM for Accel Platformでは、以下の4種類のリソース種別が用意されています。
  • IM-BPM REST API
  • 画面・処理
  • IM-BPM プロセスデザイナ プロジェクト
  • IM-BPM プロセスデザイナ REST API

4.1.2.1. IM-BPM REST API

IM-BPM for Accel Platformが提供するREST APIに関する認可リソース種別です。
IM-BPMに関するREST APIに関する権限設定を行うことが可能です。

コラム

Swagger UIを利用してAPIを実行する。

IM-BPM REST APIは全てWeb API Makerを利用しています。
その為、REST APIに対するSwagger定義が参照できます。
Swagger UIを利用することにより IM-BPMで提供されているAPIを画面上から確認、実行することが可能です。
http(s)://{HOST}:{PORT}/{CONTEXT_PATH}/swagger_ui/?url=/{CONTEXT_PATH}/api-docs/im_bpm_rest へアクセスすることにより確認がおこなえます。
※ プロトコル、HOST, PORT, CONTEXT_PATHは環境に合わせて置換してください。

注意

REST APIの権限に関して

IM-BPMが提供する画面はAjaxによりREST APIの呼び出しが行われています。
その為、REST APIの認可の設定次第では正常に画面が表示されなくなる場合があります。

4.1.2.2. 画面・処理

IM-BPM for Accel Platformが提供する画面に関するリソース種別です。
IM-BPM for Accel Platformデフォルトでは上記ロール、および、テナント管理者に対して認可設定が行われています。
プロセスデザイナについては、デフォルトではIM-BPM管理者とIM-BPM開発者に対して認可設定が行われています。

4.1.2.3. IM-BPM プロセスデザイナ プロジェクト

プロセスデザイナが提供するプロジェクトに関するリソース種別です。
プロジェクト別に設定し、IM-BPM開発者に対してどのプロジェクトのどのアクションを許可するかの権限設定を行うことが可能です。
以下の4つのアクションを保持しています。
  • 管理
  • 編集
  • デプロイ
  • 参照
IM-BPM管理者に対しては、デフォルトで全てのプロジェクトの全てのアクションが許可されています。

4.1.2.4. IM-BPM プロセスデザイナ REST API

プロセスデザイナが提供するREST APIに関する認可リソース種別です。
プロセスデザイナ画面から呼び出されるREST APIに関する権限設定を行うことが可能です。

4.1.3. 関係者権限

IM-BPM for Accel Platformでは、ユーザがプロセスインスタンスの関係者であるか、権限を確認する機構が用意されています。
IM-BPM管理者でないユーザが、プロセスインスタンスの関係者ではない場合、プロセスインスタンスの履歴画面や参照画面にアクセスした際にエラーが発生します。
また、IM-BPMユーザ/IM-BPMプロセス参照ユーザ向けの該当するREST APIにおいても、プロセスインスタンスの関係者ではないユーザが実行した際にエラーを返却します。

コラム

プロセスインスタンスについては、「プロセスインスタンス」 を参照してください。
ユーザがプロセスインスタンスの関係者になるには、以下の4つの契機が存在します。
  • 担当者
  • 処理対象ユーザ/処理対象グループ
  • 開始者
  • 参加者/参加グループ

4.1.3.1. 担当者

タスクの担当者になったユーザは、そのタスクを含むプロセスインスタンスの関係者として扱われます。
タスクが完了したあとも、プロセスインスタンスの関係者のままです。

コラム

タスクについては、「タスク」 を参照してください。

4.1.3.2. 処理対象ユーザ/処理対象グループ

タスクの処理対象ユーザになったユーザは、そのタスクを含むプロセスインスタンスの関係者として扱われます。
同様に、タスクの処理対象グループになったグループは、そのタスクを含むプロセスインスタンスの関係グループとして扱われます。
タスクが完了したあとも、プロセスインスタンスの関係者/関係グループのままです。
関係グループに所属しているユーザは、関係者権限チェックにおいて関係者と同等の権限を持つものとして扱われます。

4.1.3.3. 開始者

プロセスインスタンスを開始したユーザは、そのプロセスインスタンスの関係者として扱われます。

4.1.3.4. 参加者/参加グループ

プロセスインスタンスの進行状況とは独立して、プロセスインスタンスの参加者/参加グループという役割が存在します。
処理対象ユーザ/処理対象グループなどに指定されていない任意のユーザ/グループを、プロセスインスタンスに関係させるために用いることを想定しています。
プロセスインスタンスの参加者は、プロセスインスタンスの関係者として扱われます。
同様に、プロセスインスタンスの参加グループは、プロセスインスタンスの関係グループとして扱われます。
IM-LogicDesigner に用意されている以下のタスクを実行することで、任意のユーザ/グループをプロセスインスタンスの参加者/参加グループに追加することが可能です。
  • プロセスインスタンスの参加者の追加
  • プロセスインスタンスの参加グループの追加
関係グループに所属しているユーザは、関係者権限チェックにおいて関係者と同等の権限を持つものとして扱われます。

コラム

IM-LogicDesignerの詳細については、「IM-LogicDesigner仕様書」 を参照してください。
個別のタスクの詳細については、「付録」 - 「タスク一覧」 配下の以下のページを参照してください。