Enterprise Team のユーザーとアプリケーションへのアクセスの管理
最終更新日 2023年12月20日(水)
Table of Contents
この機能は、Heroku Enterprise で使用できます。
ロールと権限
Enterprise Team の各ユーザーは、次のいずれかのロールを持ちます。
adminmemberviewercollaborator
Enterprise Team には、admin ロールを持つユーザーが少なくとも 1 人は必要です。チームに admin ユーザーが 1 人しかいない場合は、別の admin がチームに追加されるまで、そのロールを変更できません。
管理者は、ユーザーとアプリケーションへのアクセスを管理できます。管理者は、特定のアクセス許可を複数のユーザーに割り当てて、ユーザーが各自のロールに基づいて一連のアクションを実行することを許可できます。各ロールで使用できるアクセス許可については、「Enterprise Team のアクセス許可と許可されるアクション」を参照してください。
管理者に加えて、アプリに対する manage アクセス許可を持ったチームユーザーは、その特定のアプリに他のユーザーを追加して管理することができます。
Heroku Dashboard で Enterprise Team ユーザーを追加、削除、または変更する
admin ロールを持つ Enterprise Team ユーザーは、Heroku Dashboard でチームの Access (アクセス) ページからユーザーを追加、削除、変更できます。
共同作業者の追加
admin ロールを持つ Enterprise Team ユーザーは、Heroku Dashboard でチームの Access (アクセス) ページから共同作業者を追加または削除できます。
共同作業者としてユーザーを追加する場合は、共同作業するアプリを選択する必要があります。Enterprise Team のアクセスタブから共同作業者ユーザーを追加しても、“表示” のアプリアクセス許可しか付与されません。このアクセス許可はアプリケーションの Access (アクセス) タブから変更できます。SSO などのセキュリティ機能は、Enterprise Account の一部であるチームメンバーへの適用のみが可能であり、共同作業者のログインには適用できないことに注意してください。
アプリの manage 権限を持つユーザーは、アプリケーションの Access (アクセス) タブから Add member (メンバーの追加) を選択して共同作業者ユーザーを追加することもできます。
CLI を使用してユーザーを追加する
次の例は、チームユーザーを追加し、ロールを割り当てる方法を示しています。
$ heroku members:add joe@acme.com --team acme-widgets --role member
Adding joe@acme.com to acme-widgets as member... done
CLI を使用してユーザーのロールを変更する
members:set コマンドを使用して、既存のチームユーザーに割り当てられているロールを変更します。
$ heroku members:set joe@acme.com --team acme-widgets --role admin
Adding joe@acme.com to acme-widgets as admin... done
members:set コマンドは、admin および member ロールの割り当てにしか使用できません。アプリ固有の権限を持つチーム以外のユーザーには、そのユーザーが members:add を使用してチームに明示的に追加されるまで、別のロールを付与できません。
特定のアプリに対するユーザー権限の変更についての詳細は、「Using App Permissions in Heroku Enterprise Teams」(Heroku Enterprise Teams でのアプリの権限の使用) を参照してください。
CLI を使用してチームユーザーを削除する
Enterprise Team からユーザーを削除すると、ユーザーはチームにも、そのチームに関連付けられたアプリにもアクセスできなくなります。
members:remove コマンドを使用して admin および member ユーザーを削除できます。
$ heroku members:remove joe@acme.com --team acme-widgets
Removing joe@acme.com from acme-widgets... done
ユーザーがアプリ固有の権限も持っている場合、Heroku Dashboard でアプリの Access ページからその権限を削除できます。
多要素認証のステータスの表示
多要素認証 (MFA) は、Heroku プラットフォームの必須のセキュリティ機能です。ユーザーはログインのたびにユーザー名とパスワードに加えて確認コードを入力する必要があります。
ユーザーは、個々のアカウントで MFA を管理することができます。これらのユーザーが Enterprise Team に属している場合、Enterprise Team の管理者やその他のメンバーにはユーザーの MFA ステータスへの可視性が必要です。この可視性により、会社のセキュリティポリシーとガバナンスポリシーへの継続的な準拠が保証されます。
Enterprise Team の Access (アクセス) ページには、どのユーザーの Heroku アカウントに MFA または SSO があるかが示されます。ステータスに変更があると、すぐにステータスが更新されます。
SSO がサードパーティーの IdP で設定されている場合、Heroku の MFA ステータスの可視性は制限されます。MFA が IdP によって強制されていることを確認してください。
シングルサインオンのステータスの表示
シングルサインオン (SSO) は Heroku プラットフォームのセキュリティ機能で、チームのサインオンを集中化して会社が管理し、このシングルサインオンに認証を委任します。チームに対して管理者が SSO を有効化すると、ユーザーはログインするたびに会社の IdP にリダイレクトされます。
SSO が有効になっているユーザーは、IdP レベルで MFA を強制する必要があります。管理者には、SSO によるログインが MFA の要件に準拠するよう、IdP レベルでユーザーの MFA を有効化する責任があります。
Enterprise Team の Access (アクセス) ページでは、どのユーザーの Heroku アカウントで SSO が有効になっているか、また、MFA が IdP レベルで有効になっているかどうかを確認できます (後者のステータスはサードパーティプロバイダーによって制限されます)。
アプリのロック
Enterprise Team の管理者と、アプリの manage 権限を持つユーザーは、アプリを “ロック” してアプリケーションへのアクセスを凍結することができます。この機能により、新しく追加されたチームユーザーはアプリの詳細を表示できなくなります。アプリがロックされている場合、新しいチームユーザーを明示的にアプリに追加し、適切な権限を付与する必要があります。
アプリのロックは、アプリが完成レベル (本番環境ステータス) に達した段階で、意図しない変更からアプリを保護するために役立ちます。
Heroku CLI での操作
CLI を使用してアプリをロックするには、apps:lock コマンドを使用します。
$ heroku apps:lock --app myapp
Locking myapp... done
アプリのロックのステータスは list コマンドで確認できます。
$ heroku list --team acme
=== Apps in team acme
test
myapp (locked)
website-staging
website-prod (locked)
Heroku Dashboard での操作
アプリの 「Access」 (アクセス) ページに移動し、右上隅にある Lock App (アプリのロック) ボタンをクリックします。ロックされたアプリは、錠前アイコン付きでチームのアプリ一覧に表示されます。
ロックされたアプリへのアクセスの付与
チームの管理者と、ロックされたアプリの manage 権限を持つユーザーは、そのアプリに対するアプリ固有の権限をユーザーに付与できます。
アプリのロック解除
apps:unlock コマンドを使用して、ロックされたアプリのロックを解除します。
$ heroku apps:unlock --app myapp
Unlocking myapp... done
Heroku Dashboard で、アプリの 「Access」 (アクセス) ページからアプリのロックを解除することもできます。