アドオン SSO ダッシュボードでの Heroku ユーザーのロールの実装

最終更新日 2020年07月13日(月)

アドオンが、複数の共同作業者が存在する Heroku アプリにアタッチされている場合は、それらのすべての共同作業者がアドオン SSO 経由でそのアドオンのダッシュボードを開くことができます。アドオンでは、オプションで、これらの共同作業者に割り当てる独自の一連のロールを定義できます。これにより、アプリの所有者は、特定のダッシュボード機能へのアクセスを制限できます。

この記事では、アドオン所有権モデル​に違反することなく、アドオンダッシュボードのロールを作成して保持する方法について説明します。

最も重要なこととして、Heroku アドオンユーザーのシステム内にユーザー名やパスワードを決して作成しないでください​。常に​、アドオンユーザーはアドオン SSO​ 経由で認証してください。

常に新しい SSO ユーザーのデフォルトロールを設定する

共同作業者がアドオン SSO 経由でアドオンのダッシュボードを開いた場合は常に、システムへのリクエスト​に email​ パラメータが含まれます。これは、その共同作業者の Heroku アカウントに関連付けられているメールアドレスです。

SSO リクエストが正常に認証された場合は、次のようにします。

  • これが、このアドオンインスタンスに対して認証される最初のユーザーである場合は、そのユーザーに完全なダッシュボードアクセス許可を持つ “管理者” ロールを割り当てます。
    • “完全なダッシュボードアクセス許可” には、今後認証される他の​共同作業者のロールを変更する機能が含まれます。
  • これが、認証する最初のユーザーではない​新しいユーザーである場合は、そのユーザーに、アドオンのダッシュボードで意味のある “デフォルト” ロールを割り当てます (これは上記の “管理者” ロールと同じである可能性がある)。
  • このユーザーが前に認証されている​場合は、現在システムでそのメールアドレスに関連付けられているロールを割り当てます。

ユーザーにロールを割り当てたら、それをそのユーザーのメールアドレスと共にシステムに保存するようにしてください。

ダッシュボードは、ユーザーのロールが特定されると、そのロールのアクセス許可に従った UI を表示できます。

システムでは、特定のアドオンインスタンスに対して、常に少なくとも 1 人のアクティブユーザーが “管理者” ロールを持つ必要があるようにすることをお勧めします。そうしないと、どの​ユーザーもダッシュボードへのフルアクセスを持たないシナリオがより頻繁に発生する可能性があります。

システムでこの要件が適用されている場合でも、アドオンに関連付けられているアプリから、"管理者" ロールを持つすべてのユーザーが後で削除される可能性があることに注意してください。この場合、そのアプリの所有者は、アドオンプロバイダーが割り当てられるようにするサポートチケットを提出する必要があります。

チームが所有するアプリでロールを自動的に特定する

アプリが Heroku Team によって所有されている場合は、オプションで、「Syncing user access as an ecosystem partner​」(エコシステムパートナーとしてのユーザーアクセスの同期) で説明されているエンドポイントを使用して特定のユーザーがそのチームの “管理者” または “メンバー” のどちらであるかを判定できます。アドオンのダッシュボードで同様の 2 ロール構造が使用されている場合は、ユーザーのチームロールから適切なダッシュボードロールを簡単に特定できます。