# 権限 ## 概要この **Permissions** メニューでは、RADIUSaaS Admin Portal と RADIUSaaS REST API へのアクセスを制御できます。 {% hint style="success" %} RADIUSaaS は、RADIUSaaS Admin Portal へのログイン時の認証に複数の IDP をサポートしています。 RADIUSaaS は、独自の管理者 ID を保存または管理しません。そのため、管理者は自身の ID を使って作業できる利便性を享受でき、追加のアカウントを設定する必要がありません。 {% endhint %}

{% hint style="info" %} ロールの割り当ての変更およびユーザートークンの無効化は、次をクリックした後にのみ有効になります **保存**. {% endhint %} ## サポートされている IDP 「 **Allowed Authentication Providers** 」では、RADIUSaaS がサポートする IDP のいずれでも（複数を含む）有効化できます： * Apple（Apple ID） * DigitalOcean（ユーザーのメールアドレス） * Entra ID（ユーザープリンシパル名） * Google（プライマリメールアドレス）さらに、「 **Custom OICD Provider** 」では、独自の OpenID Connect プロバイダーを構成して、他の IDP（例：Okta や主権 Azure クラウド（GCC、GCC High、...））を利用できます。 ## ロール ### 管理者ここに入力された ID またはアカウントは、RADIUSaaS Admin Portal に **完全な読み取りおよび書き込み権限** でサービスへアクセスできます。これらの権限には以下が含まれます： * 表示 [ダッシュボードおよびログ](/ja/ptaru/insights.md) * 表示、追加、変更、削除 [ユーザー](/ja/ptaru/users.md) * 表示、追加、変更、削除 [RADIUS サーバー証明書](/ja/ptaru/settings/settings-server.md#server-certificates) および [信頼された証明書](/ja/ptaru/settings/trusted-roots.md) クライアント認証および RadSec 用 * 表示、追加、削除 [プロキシ](/ja/ptaru/settings/settings-proxy.md) * 権限を含むその他の設定の表示および変更 * 管理 [RADIUSaaS REST API アクセストークン](#access-tokens) * すべての [API エンドポイント](/ja/sono/rest-api.md) および CRUD 操作へのアクセス ### 閲覧者ここに入力された ID またはアカウントは、RADIUSaaS Admin Portal に **完全な読み取り権限** でサービスへアクセスできます。これらの権限には以下が含まれます： * 表示 [ダッシュボードおよびログ](/ja/ptaru/insights.md) * 表示 [ユーザー](/ja/ptaru/users.md) * 表示、追加、変更、削除 [RADIUS サーバー証明書](/ja/ptaru/settings/settings-server.md#server-certificates) および [信頼された証明書](/ja/ptaru/settings/trusted-roots.md) クライアント認証および RadSec 用 * 表示 [プロキシ](/ja/ptaru/settings/settings-proxy.md) * その他の設定を表示（権限は表示できません） * すべての [API エンドポイント](/ja/sono/rest-api.md) - **読み取り操作のみに制限** ### ユーザーここに入力された ID またはアカウントは **できません** RADIUSaaS Admin Portal にアクセスすることはできませんが、 [**My Invited Users**](/ja/ptaru/gashitayz.md) ポータルにはアクセスでき、そこで [ユーザー](/ja/ptaru/users.md) を作成して BYOD またはゲストアクセスに利用できます。 ### ユーザートークンを無効化 RADIUSaaS Admin Portal への認証時に、許可された各 ID はアクセス（ベアラー）トークンを取得し、ブラウザーの Cookie ストアにキャッシュされます。トークンの有効期間は 30 日です。さらに、RADIUSaaS にはこれらのアクセストークンを更新する権限があります。セキュリティインシデント発生時には、RADIUSaaS 管理者は **以前に発行されたすべてのアクセストークンを無効化** できます。これは最小発行日時を現在時刻に設定することで行います。

## 技術連絡先 {% hint style="info" %} この機能は、RADIUSaaS の将来のリリースにおける通知機能の準備段階である点にご注意ください。 {% endhint %} インスタンスに関連するメール通知を受け取る技術連絡先を最大 5 件追加できます。各連絡先についてイベントレベルを選択できます。

イベントレベル	イベント例
情報	インスタンスへの予定された更新。
警告	証明書の有効期限が近づいている、または ISP で問題が発生しており、インスタンスに影響する可能性があります。
重大	インスタンスの中断。

## アクセストークンアクセストークンは、 [RADIUSaaS REST API](/ja/sono/rest-api.md).

### 追加新しいアクセストークンを作成するには、次の手順に従ってください： 1. 次をクリックします **追加** 2. 意味のある **名前** をアクセストークンに指定します 3. 次の [**ロール**](#roles) 4. を選択してアクセストークンの有効期間を設定します 5. 次をクリックします **作成**\ ![](/files/2f61dcc8a1a8c1706ec589e05b3f72e188fc60a6)
6. アクセストークンをクリップボードにコピーし、安全な場所に保存してください。\ ![](/files/b2bf495cb47fa5e0757701f74401feb78dc4f91d) 7. 次をクリックします **閉じる** ### **削除** アクセストークンを削除するには、表内で対象を見つけてごみ箱アイコンをクリックします：

## 権限への同意ポータルにログインできるように、さまざまな ID プロバイダーから選択してください。 {% tabs %} {% tab title="Entra ID" %} 初めて RADIUSaaS Admin Portal にログインする Microsoft Entra ID（Azure AD）アカウントは、RADIUSaaS に対して限定された一連の [Azure tenant 内の権限](https://docs.radiusaas.com/ja/ptaru/settings/pages/2173bb33f43187722411c13dee06c144588f5957#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to). 同意を提供する方法は 2 つあります： * **ユーザー同意**\ 各ユーザーは、初回のポータルログイン時に同意を承認します。 * **管理者同意**\ 管理者は、組織を代表してすべてのユーザーに対する同意を承認できます。 ### ユーザー同意以前に管理者によって組織を代表する同意が与えられていない場合、ユーザーには権限要求ダイアログが表示されます：

ユーザーは Microsoft の [My Apps](< https://myapps.microsoft.com>).

管理者は Azure Portal（**Microsoft Entra ID** > **Enterprise Applications** > **RADIUS as a Service**):

### 管理者同意各ユーザーに同意を求める代わりに、管理者は初めて RADIUSaaS Web ポータルにログインする際に、組織を代表してすべてのユーザーへの同意を付与できます：

または、管理者は Azure portal（**Microsoft Entra ID** > **Enterprise Applications** > **RADIUS as a Service**）で組織を代表して同意を付与できます。Azure Portal では、管理者は同意を確認または取り消すこともできます：

{% endtab %} {% tab title="Apple" %} Apple ID を使用して RADIUSaaS にログインする場合は、 **非表示にしない** ようにしてください。メールアドレスを

{% hint style="warning" %} このダイアログでメールを非表示にすることを選択した場合、ポータルにログインできなくなります。その場合は、 **account.apple.com** の **Sign in with Apple** セクションで RADIUSaaS アプリを削除する必要があります {% endhint %} {% endtab %} {% tab title="Digital Ocean" %} Digital Ocean では、ログインできるようにするために、チーム上でアプリケーションを承認する必要があります：

{% endtab %} {% tab title="Google" %} Google では、アカウント上の限定的なデータにアプリケーションがアクセスすることを許可する必要があります。

{% endtab %} {% tab title="Custom OIDC Provider（Okta）" %} カスタム OIDC プロバイダーに対して提供する必要がある具体的な情報は、選択する ID プロバイダーによって異なります。以下の **例** は **Okta**.

Okta 管理コンソールでは、次の詳細で新しいアプリ統合を作成する必要があります： | サインイン方法 | OIDC - OpenID Connect | | ---------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | アプリケーションの種類 | Web アプリケーション | | サインインリダイレクト URI |

上記の RADIUSaaS ダイアログで提供されます
例：

| 統合を対象のユーザーグループに割り当てて保存してください。これで、このアプリケーションから RADIUSaaS に入力するために必要な情報を取得できます：この **表示名** は自由に選択でき、ログイン時に表示されます。 Okta では、 **認証 URL** は次の形式になります： `https://`**`{YourOrga}`**`.okta.com/oauth2/v1/authorize` Token URL も同様に構成され、次のようになります： `https://`**`{YourOrga}`**`.okta.com/oauth2/v1/token` この **クライアント ID** および **クライアントシークレット** はアプリケーション自体でコピーおよび作成できます：

「 **クライアントスコープ** `openid email` 」にはが必要です。これは、OpenID 認証を使用しており、ログインしたユーザーのメールアドレスを読み取る必要があることを Okta に伝えます。保存してこのプロバイダーを許可した後、ログインページから認証に使用できるようになります：

{% endtab %} {% tab title="Custom OIDC Provider（Entra ID）" %} 特定のシナリオで必要な場合（例： **GCC High** tenant）、自分で作成した Entra ID アプリ登録を使用して RADIUSaaS ポータルに認証することもできます。 #### 準備アプリ登録を作成する前に、RADIUSaaS ポータルの **Permissions** セクションからリダイレクト URL をコピーしてください。URL は **Custom OIDC Provider** 編集ダイアログの上部にあります：

Click on the Edit button to find the redirect URL

Copy the redirect URL from the dialogues header

### アプリ登録の作成 Entra ID で、 **App Registrations** に移動し、新しい登録を作成します：

わかりやすい **名前** を登録用に選択し、前の手順でコピーしたリダイレクト URI を **Web** タイプとして追加します。 #### API 権限の追加作成した登録で、 **API permissions** に移動し、 `email` および `openid` を Microsoft Graph から **Delegated** 権限として追加します。また、tenant に対して管理者同意を付与していることも確認してください：

#### クライアントシークレットの追加 RADIUSaaS がこの登録を使用できるようにするには、登録の **Certificates & Secrets** セクションでクライアントシークレットを作成します。後で使うためにシークレットの値をコピーしてください。

#### 登録の詳細を記録後で登録の **クライアント ID** および tenant 固有のいくつかの URL が必要になります。これらは登録の概要ページで確認できます：

#### ユーザーの割り当てこのアプリ登録をサインインに使用できるようにするには、管理対象のエンタープライズアプリケーションにそれらのユーザーを追加してください。これは Entra ID の **Enterprise Applications** にあり、アプリ登録と同じ名前になっています。アプリ登録の概要にもこれへのリンクがあります。

Assign users to allow them to use the application

### RADIUSaaS で OIDC プロバイダーを構成する RADIUSaaS ポータルに戻り、Permissions セクションに移動してカスタム OIDC プロバイダーを編集し、必要な情報を入力します：

| フィールド | 説明 | | ------------- | ------------------------------------------- | | 表示名 | この名前はログインページに表示されます | | 認証 URL | `OAuth 2.0 認可エンドポイント（v2）` 登録のエンドポイントから | | Token URL | `OAuth 2.0 トークンエンドポイント（v2）` 登録のエンドポイントから | | クライアント ID | アプリ登録のクライアント ID です。概要ページで確認できます | | クライアントシークレット | 以前に作成したクライアントシークレット | | クライアントスコープ | 認証時に要求される情報を定義します。 `openid email` ここに入力します。 | 構成を保存した後、カスタムプロバイダーを許可し、このプロバイダーにいくつかのユーザーを追加してください。これで、プロバイダーを使用して RADIUSaaS ポータルにログインできるはずです:

{% hint style="warning" %} Entra 管理者が最初にこのログインを使用して、自分のテナントに対して再度同意する必要がある場合があります。これは一度だけ行えば十分です。 {% endhint %} {% endtab %} {% endtabs %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/ja/ptaru/settings/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.