# ユーザー・権限の管理 {#iam-overview}

## 組織とユーザーの関係 {#org-user-relationship}

Shisho Cloud byGMO / Takumi byGMO は **組織（Organization）** を中心に構築されています。ひとつのユーザーアカウントは複数の組織に所属でき、ひとつの組織には複数のユーザーが所属できます。組織とユーザーは多対多（Many-to-Many）の関係です。

```mermaid
graph LR
    subgraph Users[ユーザー]
        UA[ユーザー A]
        UB[ユーザー B]
        UC[ユーザー C]
    end
    subgraph Orgs[組織]
        OX[組織 X]
        OY[組織 Y]
    end
    UA --- OX
    UA --- OY
    UB --- OX
    UC --- OY
```

上図のように、同じユーザーが複数の会社・部門・プロジェクトの組織に同時にメンバーとして参加できます。同じユーザーであっても、所属する組織ごとに付与されるロールは独立して管理されます。

## 組織ごとに独立した RBAC {#per-org-rbac}

各組織では、所属するユーザーおよび複数ユーザーをまとめた **チーム** を対象に、**ロール** を付与して権限を制御する **ロールベースアクセス制御（RBAC）** を採用しています。各機能（診断・修正、Guard、Runner、管理画面の設定変更など）に対する操作可否は、その組織内でユーザーまたはチームに割り当てられたロールによって決まります。

ひとつのユーザーやチームに対して、**複数のロールを同時に割り当てる**ことができます。下図は組織 X におけるロール割り当ての一例です。

```mermaid
graph LR
    subgraph Org[組織 X]
        UA[ユーザー A]
        UB[ユーザー B]
        T1[チーム T]

        UA --> R_Owner[Owner]
        UA --> R_TakumiMgr[Takumi Manager]
        UB --> R_Member[Member]
        T1 --> R_Triager[Triager]
        T1 --> R_GuardUser[Takumi Guard User]
    end
```

ロール体系は組織ごとに独立しているため、別の組織では別のロール割り当てが存在します。たとえば組織 X では管理者ロール、組織 Y では閲覧専用ロール、というように、同じユーザーでも組織ごとに異なる権限を持たせられます。

## 詳細を掘り下げる {#dig-deeper}

掘り下げたいトピックに応じて、以下のページを参照してください。

- ユーザーをまとめてロール付与したい、部門ごとに権限を一括管理したい場合は **[チーム](/docs/ja/c/iam/team.md)** をご覧ください。
- どんなロールが用意されているのか、各ロールで何ができるのかを確認したい場合は **[ロールと権限](/docs/ja/c/iam/permission.md)** をご覧ください。
- 個人アカウントの認証強度を上げたい場合は **[多要素認証](/docs/ja/c/iam/mfa.md)** をご覧ください。
- 組織全体で SSO（SAML）を導入したい場合は **[SAML シングルサインオン](/docs/ja/c/iam/saml-config.md)** をご覧ください。