Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Ncloud Single Sign-Onのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
参考
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
マネージドポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは Ncloud Single Sign-Onを利用できるようになります。Ncloud Single Sign-Onのマネージドポリシーについての簡単な説明は、次の通りです。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_SINGLE_SIGN_ON_MANAGER | Ncloud Single Sign-Onのすべての機能が利用できる権限 |
| NCP_SINGLE_SIGN_ON_VIEWER | Ncloud Single Sign-Onのリストを見る、照会機能のみを利用できる権限 |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Ncloud Single Sign-Onのユーザー定義ポリシーについての簡単な説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | グループ | アクションの説明 | 使用可能な条件キー |
|---|---|---|---|---|---|---|
| View | view/getApplicationList | view/getTenantDetail | - | Application | アプリケーションリスト確認 | - Principalプロパティ条件キー全体 |
| View | view/getApplicationDetail | view/getApplicationList | Application | Application | アプリケーション詳細情報を確認 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/accessApplication | - | Application | Application | Sub Accountでアプリケーションにログイン | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/createApplication | - | - | Application | 新しい Applicationを作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/updateApplication | view/getApplicationList view/getApplicationDetail |
Application | Application | 登録した Applicationを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deleteApplication | view/getApplicationList view/getApplicationDetail |
Application | Application | 登録した Applicationを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getConsentStatusList | view/getTenantDetail | - | Consent Status | 同意リストを確認 | - Principalプロパティ条件キー全体 |
| View | view/getConsentStatusDetail | view/getTenantDetail view/getConsentStatusList |
- | Consent Status | 同意履歴を確認 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/createTenant | - | - | Tenant | Tenant作成 | - Principalプロパティ条件キー全体 |
| Change | change/updateTenant | view/getTenantDetail | Tenant | Tenant | Tenant変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deleteTenant | view/getTenantDetail | Tenant | Tenant | Tenant削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/updateOrganizationEnable | view/getTenantDetail | Tenant | Tenant | Organization連携有無を変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/manageExternalIDP | view/getTenantDetail | Tenant | Tenant | External IdPのステータス変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/updateLoginSetting | view/getTenantDetail | Tenant | Tenant | ログイン設定を変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getAttributeMapper | view/getTenantDetail | Tenant | Tenant | ユーザープロファイル設定を確認 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getCertificate | view/getTenantDetail | Tenant | Tenant | 証明書リストを照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getPolicyList | - | Tenant | Tenant | PermissionSetポリシーリストを照会 | - Principalプロパティ条件キー全体 |
| View | view/getTenantDetail | - | Tenant | Tenant | Tenantを照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getServiceProviderDataDetail | view/getTenantDetail | Tenant | Tenant | Service Provider Metadataを照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/updateAttributeMapper | view/getTenantDetail | Tenant | Tenant | ユーザープロファイル設定を変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getUserList | view/getTenantDetail | - | User | Userリストを照会 | - Principalプロパティ条件キー全体 |
| View | view/getUserDetail | view/getUserList | User | User | User詳細情報を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/createUser | - | - | User | Userを作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/updateUser | view/getUserList view/getUserDetail |
User | User | User情報を変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deleteUser | view/getUserList view/getUserDetail |
User | User | Userを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/changeUserStatus | view/getUserList view/getUserDetail |
User | User | Userステータスを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/addUserToGroup | view/getUserList view/getUserDetail view/getGroupList view/getGroupDetail change/updateUser |
User | User | グループに Userを割り当て | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removeUserFromGroup | view/getUserList view/getUserDetail view/getGroupList view/getGroupDetail change/updateUser |
User | User | グループから Userを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/manageUserAllowSourceSetting | view/getUserList view/getUserDetail change/updateUser |
User | User | コンソールまたは APIにアクセスできる Source IPアドレスの確認・変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/expireActiveSession | view/getUserList view/getUserDetail change/updateUser |
User | User | Userの Active Sessionを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removeUserFromAssignment | view/getUserList view/getUserDetail change/updateUser view/getAssignmentList view/getAssignmentDetail |
User | User | Assignmentから Userを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getGroupList | view/getTenantDetail | - | Group | Groupリストを照会 | - Principalプロパティ条件キー全体 |
| View | view/getGroupDetail | view/getGroupList | Group | Group | Groupの詳細情報を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/updateGroup | view/getGroupList view/getGroupDetail |
Group | Group | Group情報を変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deleteGroup | view/getGroupList view/getGroupDetail |
Group | Group | Groupを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/addUserToGroup | view/getUserList view/getUserDetail view/getGroupList view/getGroupDetail change/updateGroup |
Group | Group | グループに Userを割り当て | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removeUserFromGroup | view/getUserList view/getUserDetail view/getGroupList view/getGroupDetail change/updateGroup |
Group | Group | グループから Userを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removeGroupFromAssignment | view/getGroupList view/getGroupDetail change/updateGroup view/getAssignmentList view/getAssignmentDetail |
Group | Group | Groupから Assignmentを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getPermissionSetList | view/getTenantDetail | - | Permission Set | Permission Setリストを照会 | - Principalプロパティ条件キー全体 |
| View | view/getPermissionSetDetail | view/getPermissionSetList | Permission Set | Permission Set | Permission Setの詳細情報を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/createPermissionSet | - | - | Permission Set | Permission Set作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/updatePermissionSet | view/getPermissionSetList view/getPermissionSetDetail |
Permission Set | Permission Set | Permission Setを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deletePermissionSet | view/getPermissionSetList view/getPermissionSetDetail |
Permission Set | Permission Set | Permission Setを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removePermissionSetPolicy | view/getPermissionSetList view/getPermissionSetDetail change/updatePermissionSet |
Permission Set | Permission Set | Permission Setに割り当てられたマネージドポリシーとユーザー定義ポリシーを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getAssignmentList | view/getTenantDetail | - | Assignment | Assignmentリストを照会 | - Principalプロパティ条件キー全体 |
| View | view/getAssignmentDetail | view/getAssignmentList | Assignment | Assignment | Assignment詳細情報を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/createAssignment | View/getAccountList View/getPermissionSetDetail |
- | Assignment | Assignmentを作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/updateAssignment | view/getAssignmentList view/getAssignmentDetail |
Assignment | Assignment | Assignmentを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/deleteAssignment | view/getAssignmentList view/getAssignmentDetail |
Assignment | Assignment | Assignmentを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getAccountList | - | - | Assignment | Organization内の Assignmentが付与されたアカウントを照会 | - Principalプロパティ条件キー全体 |
| Change | change/changeStatusAssignment | view/getAssignmentList view/getAssignmentDetail |
Assignment | Assignment | Assignmentのステータスを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/assignTargetToAssignment | View/getAssignmentList View/getAssignmentDetail Change/updateAssignment View/getUserList View/getUserDetail View/getGroupList View/getGroupDetail View/getIPACLList View/getIPACLDetail |
Assignment | Assignment | Assignmentに User、Group、IP ACLを割り当て | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/removeTargetFromAssignment | View/getAssignmentList View/getAssignmentDetail Change/updateAssignment View/getUserList View/getUserDetail View/getGroupList View/getGroupDetail View/getIPACLList View/getIPACLDetail |
Assignment | Assignment | Assignmentから User、Group、IP ACLを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/createIPACL | - | - | IP ACL | IP ACL作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | Change/updateIPACL | View/getIPACLList View/getIPACLDetail |
IP ACL | IP ACL | IP ACLを変更 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/deleteIPACL | View/getIPACLList View/getIPACLDetail |
IP ACL | IP ACL | IP ACLを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | View/getIPACLList | view/getTenantDetail | - | IP ACL | IP ACLリストを照会 | - Principalプロパティ条件キー全体 |
| View | View/getIPACLDetail | View/getIPACLList | IP ACL | IP ACL | IP ACLの詳細情報を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/addIPACLToAssignment | View/getIPACLList View/getIPACLDetail View/getAssignmentList View/getAssignmentDetail Change/updateIPACL |
IPACL | IPACL | Assignmentに IPACLを追加 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/removeIPACLFromAssignment | View/getIPACLList View/getIPACLDetail View/getAssignmentList View/getAssignmentDetail Change/updateIPACL |
IP ACL | IP ACL | Assignmentから IP ACLを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/addMFADevice | View/getUserList View/getuserDetail Change/updateUser |
User | User | USerの MFA Deviceを追加 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/deleteMFADevice | View/getUserList View/getuserDetail Change/updateUser |
User | User | Userの MFA Deviceを削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | View/getSpCertificateDetail | view/getTenantDetail view/getCertificate |
Tenant | Tenant | SP証明書を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/createSPCertificate | view/getCertificate view/getTenantDetail |
Tenant | Tenant | 新規 SP証明書を作成 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/downloadSPCertificate | view/getSpCertificateDetail view/getCertificate view/getTenantDetail |
Tenant | Tenant | SP証明書をダウンロード | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/activateSPCertificate | view/getCertificate view/getTenantDetail |
Tenant | Tenant | SP証明書を有効化 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/deleteSPCertificate | view/getCertificate view/getTenantDetail |
Tenant | Tenant | SP証明書を削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/manageSPNotificationSetting | view/getCertificate view/getTenantDetail |
Tenant | Tenant | SP証明書の期限切れ通知を設定 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/addIdPCertificate | view/getCertificate view/getTenantDetail |
Tenant | Tenant | 新規 IdP証明書を追加 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| View | view/getIdPCertificateDetail | view/getCertificate view/getTenantDetail |
Tenant | Tenant | IdP証明書を照会 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/deleteIdPCertificate | view/getCertificate view/getTenantDetail |
Tenant | Tenant | IdP証明書を削除 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | Change/manageIdPNotificationSetting | view/getCertificate view/getTenantDetail |
Tenant | Tenant | IdP証明書の期限切れ通知を設定 | - Principalプロパティ条件キー全体 - ncp:resourceTag |
| Change | change/tagTenant | view/getTenantDetail | Tenant | Tenant | Tenantにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagTenant | view/getTenantDetail | Tenant | Tenant | Tenantからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagApplication | view/getApplicationList view/getApplicationDetail |
Application | Application | Applicationにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagApplication | view/getApplicationList view/getApplicationDetail |
Application | Application | Applicationからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagUser | view/getUserList view/getUserDetail |
User | User | Userにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagUser | view/getUserList view/getUserDetail |
User | User | Userからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagGroup | view/getGroupList view/getGroupDetail |
Group | Group | Groupにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagGroup | view/getGroupList view/getGroupDetail |
Group | Group | Groupからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagPermissionSet | view/getPermissionSetList view/getPermissionSetDetail |
PermissionSet | PermissionSet | PermissionSetにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagPermissionSet | view/getPermissionSetList view/getPermissionSetDetail |
PermissionSet | PermissionSet | PermissionSetからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagAssignment | view/getAssignmentList view/getAssignmentDetail |
Assignment | Assignment | Assignmentにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagAssignment | view/getAssignmentList view/getAssignmentDetail |
Assignment | Assignment | Assignmentからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/tagIPACL | view/getIPACLList view/getIPACLDetail |
IP ACL | IP ACL | IP ACLにタグを指定します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
| Change | change/untagIPACL | view/getAIPACLList view/getIPACLDetail |
IP ACL | IP ACL | IP ACLからタグを削除します | - Principalプロパティ条件キー全体 - ncp:resourceTag - ncp:requestTag |
注意
特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。