Skip to main content

デバイスのユーザー管理と権限の処理

デバイスのユーザー管理をサポートするデバイスの場合、デバイスエディターには次のものが含まれます。 ユーザーとグループアクセス権 タブ。デバイスから提供されている場合は、ここでデバイスのユーザー管理を表示したり、同期モード (オンラインモードではない) で編集したりできます。ここでは、コントローラーに対する特定の権限を定義済みのユーザーグループに付与または拒否できます。次に、ユーザーがコントローラーにログインするには、ここで定義した認証情報が必要になります

デバイスのユーザー管理は、デバイスの説明ですでに設定できます。

注記

にとって CODESYS Control for <device> SL バージョン 3.5 以上の SP17 では、ユーザー管理は [強制適用] デフォルトでは通信ポリシーとして設定されています。3.5 SP14 までさかのぼる古いバージョンでは、これを明示的に有効にして適用する必要があります。古いバージョンでも、非常にシンプルなユーザー管理しかできません

ヒント

のコマンドに注意してください オンライン→セキュリティ。現在ログインしているコントローラーのユーザーアカウントを簡単に追加、編集、または削除できます。

ヒント

そのためには アクセス権 デバイスエディターに表示されるタブ、対応するタブ CODESYS オプションはデバイスエディターで有効にし、デバイスの説明でロック解除する必要があります。デバイスエディターのダイアログが表示されない場合は、コントローラーのベンダーに問い合わせてください

権限はグループにのみ付与でき、個々のユーザーには付与できません。したがって、すべてのユーザーはグループのメンバーでなければなりません。既定のユーザーグループがあらかじめ定義されています (下記参照)。これらのグループと追加のグループとユーザは、のデバイスエディタで設定されます ユーザーとグループ タブ。コントローラーでユーザー管理を設定したら、そのコントローラーに対する権限を設定できます。

デバイスのユーザー管理がまだ「アクティブ」になっていない場合は、次のいずれかの操作で有効にできます。

  • のデバイスエディタで同期モードに切り替えます ユーザーとグループ タブ。

  • を使用して新しいユーザーを追加します オンライン → セキュリティ → デバイスユーザーの追加 コマンド。

  • 次の場合に有効にするかどうかを確認するメッセージが表示されたら同意する 接続を確立し、コントローラーに初めてログインする

ヒント

のために CODESYS Control デバイスの場合、ユーザー管理はデフォルトで適用されます。

のデバイスユーザー管理におけるデフォルトユーザーグループ CODESYS Control

次の定義済みユーザーグループがあります。

  • 管理者:すべての権限。

    PLCに初めてログインすると、デバイスのユーザー管理を有効にしてから、PLCでユーザーを作成するように指示されます 管理者 グループ。このユーザーとして、追加のユーザーやグループを設定したり、権限を付与したりできます。

  • 開発者:ダウンロード、オンライン変更、デバッグ、強制の権限

  • サービス:IECアプリケーションのバックアップと復元、IECアプリケーションの更新(ブートプロジェクトの転送)、IECアプリケーションのプログラミング/デバッグは不可

  • 視聴:読み取り専用

権限

コントローラの個々のオブジェクトに対して実行される次のアクションに対して、アクセス権を付与できます。

  • 削除を追加

  • 変更

  • 意見

  • 実行する

コントローラ上のオブジェクトは通常、1つのコントローラコンポーネントにのみ割り当てられます。

各オブジェクトは、リストされているすべてのアクションを使用できますが、通常、オブジェクトには次のアクションのアクセス許可のみが必要です。

  • 意見

  • 変更

オブジェクトはツリー構造で編成されています。 2種類のオブジェクトには2つのルートオブジェクトがあります。

  • Runtime objects → Device: これらのオブジェクトでは、コントローラでオンラインアクセスを持つすべてのオブジェクトが管理されるため、権限を制御する必要があります。 デバイス → ユーザー管理 オブジェクトはこことその下にも存在します。 Access Rights オブジェクト、 Groups オブジェクト、および Users オブジェクト。その下に Groups オブジェクトには、すべての定義済みのユーザーグループがあり、そのグループにユーザーグループの権限を付与できます。詳細については、以下を参照してください。 オブジェクトの概要

  • File system objects → /: これらのオブジェクトでは、コントローラの現在の実行ディレクトリのフォルダに権限を付与できます。

子オブジェクトは、ルート オブジェクトからアクセス権を継承します (また、 Device また "/ユーザー グループのアクセス許可が拒否されているか、親オブジェクトに明示的に付与されている場合、これはすべての子オブジェクトに影響します。

単一の権限を明示的に許可または拒否するか(緑のプラス記号または赤のマイナス記号)、または「ニュートラル」(明るい灰色の文字)のままにすることができます。ニュートラルとは、許可が明示的に付与も拒否もされていないことを意味します。この場合、親オブジェクトの権限が適用されます。

オブジェクトの階層全体で許可が明示的に付与または拒否されていない場合、定義により拒否されます。その結果、最初はすべての許可が拒否されます (例外: View アクション)。最初に、この許可は、すべてのユーザー グループに対して明示的に付与されます。 Device ランタイム オブジェクトと同様に、"/" ファイル システム オブジェクト。これにより、子オブジェクトで明示的に拒否されない限り、すべてのオブジェクトへの読み取りアクセスが許可されます。

オブジェクトの概要表については、以下を参照してください。 タブ:アクセス権

デバイスユーザー管理用のエディターでの作業については、次の手順を参照してください。

ユーザー管理を編集または表示するためのコントローラーへの初回ログイン

要件:コントローラーへの接続が設定されている。コントローラーはデバイスのユーザー管理をサポートしていますが、まだ有効になっていません。

  1. まず、コントローラーとの通信を「暗号化」に設定して、ユーザー管理を転送するときにネットワーク内の他の参加者に資格情報を漏らさないようにします。これは、のデバイスエディタで可能です コミュニケーション設定 タブまたは セキュリティ画面 表示。詳細については、以下を参照してください。 証明書による通信の暗号化とセキュリティポリシーの変更

  2. デバイスツリーでコントローラーオブジェクトをダブルクリックし、デバイスエディターで以下を選択します。 ユーザーとグループ タブ。をクリックします。 rdncy_icon_update_framed.png ボタン。

    デバイスのユーザー管理を行うべきかどうかを尋ねるダイアログが開きます。 アクティベート

  3. クリック はい ダイアログプロンプトを確認します。

    The デバイスユーザーの追加 ダイアログが開きます。

  4. 次に、デバイスユーザーを作成して、このユーザーとしてユーザー管理を編集します。この場合は、 管理者 グループが使用可能です。を定義します。 名前[パスワード] ユーザー用。パスワードの強度が表示されます。パスワード変更に関する設定オプションにも注意してください。デフォルトでは、パスワードはユーザーがいつでも変更できます。を使用してください。 _cds_icon_password_manager.png ボタンをクリックして認証情報をに保存します パスワードマネージャー

    クリック OK 確認のため。

    The デバイスユーザーのログオン ダイアログが開きます。

  5. 指定します ユーザー名パスワード 定義したばかりのユーザーの場合。

    クリックした後 OK 確認のため、デバイスのユーザー管理がエディタービューに表示されます。これには、のユーザーが含まれます Administrator 定義したばかりのグループ。ユーザー名はウィンドウのタスクバーにも次のように表示されます。 デバイスユーザ

コントローラのユーザー管理で新しいユーザーを設定する

要件:コントローラーにはデバイスユーザー管理があります。対応するアクセスデータがあります。

  1. デバイスツリーで、コントローラーデバイスオブジェクトをダブルクリックします。を選択します。 ユーザーとグループ タブ。

  2. クリック rdncy_icon_update_framed.png ボタン(同期)を使用して、ユーザー管理構成をコントローラーからエディターにロードします。デバイスにまだログインしていない場合は、 デバイスユーザーのログオン ユーザー名とパスワードを入力するためのダイアログが開きます。

    デバイスのユーザー管理構成がエディターに表示されます。

  3. の中に ユーザー 表示、クリック 追加

    The ユーザーを追加する ダイアログが開きます。

  4. 新しいユーザーの名前を指定し、そのユーザーをグループに割り当てます。これは、ユーザーに最低限必要な「デフォルトグループ」としてカウントされます。ユーザーは後で他のグループに割り当てることができます。定義して確認する パスワード ユーザーのために。ユーザーがパスワードを変更できるかどうか、およびユーザーが最初のログイン時にパスワードを変更する必要があるかどうかを定義します。クリック わかった 確認するために。

    新しいユーザーがに表示されます ユーザー 新しいノードとして表示し、 グループ 選択したデフォルトグループの新しいサブエントリとして表示します。

ヒント

これらの指示に従って、新しいユーザー グループを グループ 意見。ユーザー グループごとにランタイム システム オブジェクトが自動的に作成され、 アクセス権 の下のタブ UserManagement 物体。これにより、段階的または制限付きの管理者グループを設定できます。たとえば、ビジュアライゼーション ユーザー グループに既存のユーザーを追加できるだけで、新しいユーザーを作成したり、既存のユーザーのパスワードを変更したりできないビジュアライゼーション管理者グループを設定できます。

詳細については、以下を参照してください。 オブジェクトの概要

コントローラのユーザ管理におけるコントローラオブジェクトへのアクセス権の変更

要件:コントローラーにはデバイスユーザー管理があります。対応するアクセスデータがあります。

  1. デバイスツリーで、コントローラーデバイスオブジェクトをダブルクリックします。をクリックします。 アクセス権 タブ。

  2. クリック rdncy_icon_update_framed.png ボタン(同期)を使用して、権限管理構成をコントローラーからエディターにロードします。デバイスにまだログインしていない場合は、 デバイスユーザーのログオン アクセスデータを入力するためのダイアログが開きます。

    デバイスの権限構成がエディターに表示されます。

    _cds_img_device_user_management_access_rights.png

  3. オブジェクトツリーで、アクセス権を左に変更するオブジェクトを選択します。

    の中に 権限 ビューを表示すると、構成されているすべてのユーザーグループに対するこのオブジェクトのアクセス許可が表に表示されます。

  4. 変更するテーブルの右側をダブルクリックします。

    オブジェクトに子オブジェクトがある場合は、子オブジェクトの権限を変更するかどうかを尋ねるダイアログが表示されます。

  5. クリック はい また 番号 プロンプトを閉じます。

    権限はから切り替えられます _cds_icon_grant.png に「付与」 _cds_icon_right_denied.png 「拒否」、またはその逆。テーブルセルの記号はそれに応じて変化します。明示的に設定された権限は、緑または赤の記号として表に表示されます。親オブジェクトから継承された権利は灰色の記号で表示されます。

保存されたユーザー管理をオフラインモードでDUM2ファイルからコントローラーに転送して有効にする

ヒント

V3.5 SP16以降では、パスワードで暗号化するファイル(* .dum2)を使用してユーザー管理をエクスポートします。

  1. デバイスツリーでコントローラデバイスオブジェクトをダブルクリックします。

    デバイスエディタが開きます。

  2. クリック ユーザーとグループ タブ。

  3. クリック _cds_icon_open_file_framed.png ボタン。

    ローカルファイルシステムからファイルを選択するためのダイアログが開きます。

  4. ファイルを選択します (<file name>.dum2) ローカル ファイル システムから目的のユーザー管理を選択し、 開ける 確認するために。

    The パスワードを入力する ダイアログが開きます。

  5. ユーザー管理ファイルのエクスポート時に割り当てられたパスワードを指定します( _cds_icon_save_to_disc_framed.png ボタン)。

    注意: を使用したデバイス ユーザー管理のインポートは、 *.dum2 ファイルは、デバイス上の既存のユーザー管理を完全に上書きします。後でデバイスに再度ログインするには、最近インポートしたユーザー管理からの認証データが必要です。

    パスワードが正しく入力されると、ダウンロードしたユーザー管理ファイルの構成がエディタービューに表示されます。

  6. 必要に応じて構成を編集します。たとえば、ユーザーパスワードを変更するか、新しいユーザーを追加します。

    すべての変更はすぐにデバイスにダウンロードされます。

ユーザー管理を無効にする

重要

ユーザー管理を無効にすると、コントローラーのネットワーク内のすべてのユーザーがコントローラーに再びアクセスできるようになります。そのため、これは正当な例外的な場合や、使用するクライアントがユーザー管理を一切サポートしていない場合にのみ行ってください

ヒント

ユーザー管理を有効にするには、少なくとも 1 つ CODESYS V3.5 SP16 開発システムが必要です。つまり、まだ有効になっていない強制ユーザー管理の場合、古い開発システムには接続できません

強制されているアクティブなユーザー管理を「オプション」にリセットするには、次の手順に従います。

  1. デバイスツリーで、コントローラーをダブルクリックします。 コミュニケーション設定 タブをクリックし、 ネットワークをスキャン 次に、コントローラーに接続します。

  2. コミュニケーション設定 タブを選択し、 [デバイス]ランタイムセキュリティポリシーの変更 コマンド。注:このメニューは、デバイスにログインしていない間しか使用できません。

  3. の中に ランタイムセキュリティポリシーの変更 ダイアログの デバイスユーザー管理 エリア、選択 ユーザー管理 (オプション) として 新しいポリシー そしてクリック OK

    デバイスユーザー管理のセキュリティポリシーは「オプション」に設定されています。

  4. コントローラーに接続し、 オンライン メニューをクリックして Originデバイスをリセット コマンド。これにより、まだアクティブなユーザー管理が削除され、コントローラーにはオプションのユーザー管理のみを使用するように設定されます。注: CODESYS V3.5.16.20 以降では、実行時にブートアプリケーションを削除操作から除外できます Originデバイスをリセット

このセクションの内容: