アイデンティティ領域 — ユースケース
エンティティ: ユーザー
利用規約
| # | ユースケース | 補足 |
|---|---|---|
| 1 | 利用規約に同意する | サービス利用の前提条件。代行モデルの企業はユーザー登録時に同意(課金は代行事業者に一括請求されるため発生しない)。規約バージョンと同意日時を記録 |
認証
| # | ユースケース | 補足 |
|---|---|---|
| 2a | ユーザーアカウントを作成する | 自発的な登録。ユーザー列挙防止のため登録済み/未登録で応答を変えない |
| 2b | 招待からアカウントを作成する | 管理者からの招待リンク経由。リンクを開くことがメールアドレスの所有権確認を兼ねる |
| 2c | メールアドレスの所有権を確認する | アカウント作成後の非同期確認 |
| 3 | ログインする | |
| 4 | ログアウトする | |
| 5 | パスワードを変更する | |
| 6 | パスワードをリセットする | メールによるリセットフロー |
| 7 | MFA(TOTP)を設定する | 管理者・代行事業者は必須 |
| 8 | MFA で認証する | |
| 9 | セッションを管理する | 同時セッション数の上限管理。古いセッションの自動切断 |
| 10 | 認証トークンをローテーションする |
認可
| # | ユースケース | 補足 |
|---|---|---|
| 11 | ロールを割り当てる | employee / tenant_admin / agency_staff / agency_admin / sys_support / sys_admin |
| 12 | ロールに基づいてアクセスを制御する | |
| 13 | テナントスコープのアクセス制御を行う | テナント境界を越えたデータアクセスを防止する |
インパーソネーション
| # | ユースケース | 補足 |
|---|---|---|
| 14 | 代行事業者が従業員としてインパーソネーションする | 機密フィールドマスキング、申告変更不可、全操作監査ログ |
| 15 | システムサポートが企業管理者としてインパーソネーションする | マスク付き |
外部連携
| # | ユースケース | 補足 |
|---|---|---|
| 16 | SCIM 連携で外部 IdP からユーザーを同期する | プロビジョニング / デプロビジョニング |
監査
| # | ユースケース | 補足 |
|---|---|---|
| 17 | 全操作の監査ログを記録する | who / what / when / where |
| 18 | 監査ログを参照する | フィルタ・検索 |