👤idmp-user-access
- プラグイン
- idmp-plugin
- ソース
- GitHub で見る ↗
説明
IDMP ユーザーアクセススキル。ユーザー、ロール(役割)、権限グループ、割り当て可能なロール、付与されたロールを検査する際に、現在のユーザーの情報読み取りと管理者向けの複数ページ形式ユーザーリストを区別して扱うために使用します。
原文を表示
IDMP user-access skill. Use it to inspect users, roles, permission groups, assignable roles, and granted roles while keeping current-user reads separate from admin paginated user lists.
ユースケース
- ✓ユーザー情報を読み取る
- ✓ロールと権限グループを検査する
- ✓割り当て可能なロールを確認する
- ✓付与されたロールを検査する
- ✓複数ページ形式のユーザーリストを管理する
本文(日本語訳)
ユーザー / ロール / 権限
../idmp-shared/SKILL.md をまず最初にお読みください。
このスキルでできること
- 現在のユーザーの情報、ページネーション対応の管理者用ユーザー表示、ロール、権限グループ、および安全な権限確認機能の閲覧
- 現在のユーザー情報の確認機能と、組織全体を対象とした管理機能を分けて使い分ける
参考資料
実行前に確認が必要な事項
- 管理者権限での表示範囲
- 権限グループの初期値
- リクエストが現在のユーザー、組織内のユーザー、ロール、または権限スコープのいずれを対象にしているか
- 実行者がテスト実行での確認だけを必要としているのか、それとも実際の変更(書き込み)が必要なのか
- すでに分かっているスコープ、グループ、またはロールの ID
動作上の制限事項
user users listは現在のユーザー情報を返しますpermission users assignableおよびpermission roles list-getは構造化された 403 エラー(アクセス不可)を返すことがありますrole roles createは空でないpermissionGroupIdsリストを必須としますuser users listは現在のユーザー用、user page listは管理者向けのページネーション対応ユーザー一覧です- ロールと権限の読み込みは、権限確認が権限で制限されている場合でも成功することがあります
- 実行者が明示的に実際の変更を希望するまでは、権限確認プレビューに
--dry-run --ack-riskを付けたままにしておきます
実行フロー
idmp-cli user users listで現在のユーザー情報を確認し、組織全体を対象とした管理機能と分けますidmp-cli user page list --paramsは、作業が本当に組織全体への管理者権限を必要とする場合にのみ使用します- 権限確認プレビューまたは一時的なロール作成の前に、ロール詳細と
idmp-cli permission groups listを組み合わせて確認します - 実行者が明示的に実際の変更を希望するまで、権限付与作業は
permission policy grant-post --dry-run --ack-risk --paramsで止めておきます - 一時的なロールを作成する必要がある場合は、同じワークフロー内で再度読み込みと削除クリーンアップを必須とします
完了の確認方法
- 現在のユーザー情報の確認は、推測の管理者ディレクトリ行ではなく
user users listからの結果のみが有効です - バックエンドが assignable または granted-role 読み込みに対して構造化された 403 を返す場合、その権限境界は有効な確認基準となります
- 一時的なロールのワークフローは、再読み込みと削除クリーンアップの両方が成功した時点で初めて完了です
重要なコマンド
idmp-cli user users list- 現在のユーザーの情報形式確認idmp-cli user page list --params- 管理者向けユーザー一覧表示idmp-cli user users get --params- 特定ユーザーの詳細確認idmp-cli role roles get --params- ロール詳細の深い確認idmp-cli permission groups list- 再利用可能な権限セットの一覧表示idmp-cli permission policy grant-post --dry-run --ack-risk --params- 権限付与の安全なテスト実行idmp-cli role roles create --ack-risk --data- 本当に必要な場合の一時的なカスタムロール作成idmp-cli role roles delete --ack-risk --params- 確認後の一時的なロール削除
例外的な処理
- ページネーション対応の管理者向けユーザー一覧読み込みが禁止されている場合でも、現在のユーザー情報確認機能が使えなくなったと判断してはいけません
- 実行者が明示的に実際の権限付与を要求していない場合は、テスト実行で止めます
- 自分で作成した一時的なロールは必ず削除してください
動作確認シナリオ
1. 現在のユーザー情報の確認
idmp-cli user users list をまず最初に実行します。これで管理者権限なしに「自分は誰か」という質問に答えられます。
2. 管理者向けユーザー一覧表示
idmp-cli user page list --params を使用して、対象範囲を限定したユーザー一覧確認を行います。ここでの権限エラーは管理者権限の境界を示す有効な情報であり、認証全体の失敗ではありません。
3. ロールと権限グループの背景情報
idmp-cli role roles get --params と idmp-cli permission groups list を組み合わせます。答えにはロール詳細と再利用可能な権限グループの両方が含まれるべきです。
4. 安全な権限付与プレビュー
実際の権限付与を行う前に、idmp-cli permission policy grant-post --dry-run --ack-risk --params でテスト実行を行います。テスト実行が失敗してもその結果は権限の境界を示す有効な情報となります。
5. 一時的なカスタムロールのライフサイクル
変更が必要な場合、idmp-cli role roles create --ack-risk --data と idmp-cli role roles delete --ack-risk --params を組み合わせます。一つの権限グループを使って一時的なロールを作成し、再読み込みして確認した後、削除します。
原文(English)を表示
user / role / permission
Read ../idmp-shared/SKILL.md first.
What this skill covers
- Read current-user context, paginated admin user views, roles, permission groups, and safe authorization previews.
- Keep current-user inspection separate from directory-wide admin surfaces.
Recommended reference
Missing context to resolve first
- Admin visibility.
- Permission group seed.
- Whether the request is about the current user, a directory user, a role, or a permission scope.
- Whether the operator only needs a dry-run preview or a real mutation.
- Which scope, group, or role ID is already known.
Constrained live behaviors
user users listreturns the current-user object.permission users assignableandpermission roles list-getcan return structured 403.role roles createrequires a non-emptypermissionGroupIdslist.user users listis the current-user surface;user page listis the paginated directory view.- Role and permission reads can succeed even when grant previews are permission-bound.
- Keep
--dry-run --ack-riskon grant previews until the operator explicitly wants a real mutation.
Execution flow
- Start with
idmp-cli user users listto separate current-user context from directory-wide admin views. - Use
idmp-cli user page list --paramsonly when the task really needs admin directory scope. - Pair role detail with
idmp-cli permission groups listbefore any grant preview or temporary role create. - Keep authorization work on
permission policy grant-post --dry-run --ack-risk --paramsuntil the operator explicitly wants a real mutation. - If a temporary role must be created, reread it and pair the create with a delete cleanup step in the same workflow.
Evidence of completion
- A current-user answer is only complete when it comes from
user users list, not from a guessed admin directory row. - A permission boundary is still valid evidence when the backend returns a structured 403 for assignable or granted-role reads.
- A temporary-role workflow is only complete when both the reread and the delete cleanup succeed.
Key commands
idmp-cli user users listfor the current-user shape.idmp-cli user page list --paramsfor the admin directory view.idmp-cli user users get --paramsto inspect a specific user.idmp-cli role roles get --paramsto inspect one role deeply.idmp-cli permission groups listto enumerate reusable permission bundles.idmp-cli permission policy grant-post --dry-run --ack-risk --paramsto preview authorization safely.idmp-cli role roles create --ack-risk --datawhen a temporary custom role is really needed.idmp-cli role roles delete --ack-risk --paramsto remove that temporary role after verification.
Exception paths
- If paginated admin reads are forbidden, do not infer that the current-user surface is also broken.
- Stop at dry-run when the operator has not explicitly requested a real grant.
- Clean up any temporary custom role you create.
Validation scenarios
1. Current-user shape
Use idmp-cli user users list first. This should answer “who am I” questions without requiring admin directory access.
2. Admin directory view
Use idmp-cli user page list --params for scoped directory inspection. Treat permission failures here as directory-boundary evidence, not a total auth failure.
3. Role and permission-group context
Pair idmp-cli role roles get --params with idmp-cli permission groups list. The answer should explain both role detail and reusable permission groups.
4. Safe grant preview
Use idmp-cli permission policy grant-post --dry-run --ack-risk --params before any real grant. A dry-run failure is still useful boundary evidence.
5. Temporary custom-role lifecycle
If you must mutate, pair idmp-cli role roles create --ack-risk --data with idmp-cli role roles delete --ack-risk --params. Build a temporary custom role with one real permission group, reread it, then delete it.
原文・著作権は Anthropic および各プラグイン作者に帰属します。日本語訳は Claude API による自動翻訳です。