SimpleDetail
📖 1 menit baca

ユーザーロール — Central Membership & SSO Hub

1. ドキュメントの目的

このドキュメントでは、Central Membership & SSO Hubシステムと相互作用するロール、各ロールの責任、そしてその制限について説明します。

2. ロールの一覧

システムには、3 つの主要なロールがあります:

  1. メンバー
  2. システム
  3. スーパーアドミン

3. ロール: メンバー

3.1 定義

メンバーは、Membership Hubのサービスを利用して、1 つ以上のSaaS製品にアクセスするために登録および利用するエンドユーザーです。

3.2 目的

メンバーは、システムを使用して:

  • アカウントを登録します。
  • 製品のライセンスを有効にします。
  • サブスクリプションの支払いを行います。
  • License-IDを表示します。
  • SSOを介してアプリケーションにログインします。

3.3 メンバーの主な権限

メンバーは:

  • 登録およびログインできます。
  • メールアドレスを確認できます。
  • プロフィールを表示および変更できます。
  • 利用可能な製品の一覧を表示できます。
  • 製品ごとのパッケージを表示できます。
  • 無料パッケージを有効にできます。
  • 有料パッケージのチェックアウトを行います。
  • 自分の有効なライセンスの一覧を表示できます。
  • 製品ごとのLicense-IDを表示できます。
  • ライセンスの有効期限を表示できます。
  • サブスクリプションを延長できます。
  • 支払い履歴を表示できます。
  • 請求書をダウンロードできます。
  • SSOを介してアプリケーションにログインできます。

3.4 メンバーの制限

メンバーは:

  • 他のメンバーのデータを表示できません。
  • システムの設定を管理できません。
  • 製品およびパッケージの一覧を管理できません。
  • パッケージの価格を変更できません。
  • スーパーアドミンパネルにアクセスできません。
  • JWTトークンを直接検証できません。

3.5 データ所有権

以下のデータは、所有するメンバーに接続されています:

  • プロフィール
  • ライセンス
  • 支払いトランザクション
  • 請求書
  • 通知の設定

4. ロール: システム

4.1 定義

システムは、バックエンドの機能を自動的に実行するプロセスです。包括して、決済ゲートウェイの統合、トークンの発行、通知の送信などです。

4.2 システムの責任

システムは、以下の責任を負います:

  • 決済ゲートウェイからのコールバックを受け取ります。
  • 支払い状況を検証します。
  • ライセンスを自動的に有効または無効にします。
  • License-IDを生成します。
  • SSO時にJWTトークンを発行します。
  • ライセンスの有効期限を計算します。
  • グレース期間を監視し、通知を送信します。
  • グレース期間が終了した後にアクセスを停止します。
  • オーディットログにすべてのプロセスを記録します。

4.3 システムの制限

システムは:

  • 有効な支払い確認なしに有料ライセンスを有効にできません。
  • ライセンスが非アクティブなユーザーにトークンを送信できません。
  • 定義されたプロセスなしにメンバーのデータを変更できません。
  • 支払いトランザクションのデータを削除できません。

5. ロール: スーパーアドミン

5.1 定義

スーパーアドミンは、Membership Hubプラットフォームを全体的に管理するための内部ロールです。

5.2 スーパーアドミンの責任

スーパーアドミンは、以下の責任を負います:

  • 登録されたSaaS製品の一覧を管理します。
  • 製品ごとのパッケージ(名前、価格、期間、機能)を管理します。
  • メンバーとライセンスのステータスを監視します。
  • 決済ゲートウェイの設定を管理します。
  • トランザクションレポートを表示します。
  • エラーログを表示します。
  • エスカレーションケース(サスペンド、手動リファンドなど)を処理します。

5.3 スーパーアドミンの権限

スーパーアドミンは:

  • すべてのメンバーの一覧を表示できます。
  • メンバーのアカウントとライセンスのステータスを表示できます。
  • メンバーのアカウントを手動で有効または無効にできます。
  • 製品とパッケージを管理できます。
  • システムの設定を管理できます。
  • 集約トランザクション統計を表示できます。
  • 収益レポートを表示できます。
  • エラーログとオーディットログを表示できます。
  • 特定の状況下で手動の管理アクションを実行できます。

5.4 スーパーアドミンの制限

スーパーアドミンは、デフォルトでは:

  • メンバーのパスワードを表示できません。
  • SaaSアプリケーション内の個人の財務データ(例:Notoのトランザクション)を変更できません。
  • 証拠と文書化された手順なしに機密データにアクセスできません。

6. ロールの概要

ロール 主な機能 メンバーのデータ所有権
メンバー 製品とサブスクリプションを管理 はい
システム バックエンドの自動プロセスを実行 いいえ
スーパーアドミン プラットフォームと運用を管理 いいえ

7. ロールのセキュリティ原則

  • 最小権限: 各ロールは、タスクに必要なアクセスのみを取得します。
  • データ所有権: メンバーのデータは、所有するメンバーと正当な理由のあるスーパーアドミンのみがアクセスできます。
  • オーディットトレイル: 重要な管理アクションはすべて記録されます。
  • 関心の分離: 認証、請求、ライセンスのプロセスは、論理的に分離されています。