Keeper のロールにおけるポリシー設定は非常に細かい設定ができる反面、整理して理解するのが難しい部分ではあります。この記事では、異なるポリシー設定になっているロールを同時に割り当てられている場合における、それぞれの設定の適用ルールについて解説します。
基本的なルール
複数の設定項目が異なるロールが適用されている場合、基本的には以下のルールにのっとて権限が付与されます。
- Keeper が元々提供しているデフォルトのロール設定から変更した部分がある場合は、該当項目については変更後の権限が適用
- 同じ設定箇所を変更しており、その変更が同じ方向に設定を行なっている場合は、より制限がきつい方が優先
- 同じ設定箇所の設定を変更しており、それぞれ別の設定の場合は、どちらの設定が適用されるか保証されない
例1:共有フォルダの禁止
「記録とフォルダの共有を禁止」は初期設定では、「OFF」になっています。(上記の図を参照)
ここで、ロールAとロールBを考えてみます。
ロールA |
スタッフ向けロールで「共有フォルダ」の作成不可 |
ロールB |
マネージャー向けで「共有フォルダ」の作成化。 「記録とフォルダの共有を禁止」は「OFF」 |
このとき、両方のロールを付与されているユーザーがいた場合、「記録とフォルダの共有を禁止」は「ON」になります。これは、初期設定が「OFF」だったものに対して、変更後である「ON」が優先されるためです。
例2:パスワードの文字数の強制
Keeperではロールに適用するポリシーで特定のウェブサイトで利用するパスワードの生成ルールを強制することが可能です。例えば、以下の画像の例だと、google.comで利用するパスワードはそれぞれ、24文字と32文字というふうに設定されています。
この場合、両方のロールを付与された場合、ロールBの方がより強い設定になっているため、採用されます。
例3:パスワードの文字数と種類の組み合わせ
例2では、文字数のみが違っており、他の条件は一緒でした。では、文字の種類を含めて比較された場合はどうでしょうか。
この例だと、文字数としては、ロールBの方が長いですが、種類が少なくなっています。そのため、ロールAとロールBのどちらが明確に強い制限かを判別することができません。この場合、Keeperではどちらの条件を採用するかはランダムに決まります。
まとめ
複数のロールを付与されており、設定が競合している場合の設定の採用について解説しました。Keeperでは、細かい設定が可能な一方で複雑になりがちでもあります。まずは、シンプルな設定を持っているデフォルトロールを採用し、その上で、制限をかけていくのが良いのではと弊社では考えています。