システム管理者は、複数のユーザーを作成できます。作成したユーザーには、「ブログを作成する」「エントリーを投稿する」「テンプレートを管理する」など、さまざまな役割を与えられます。システム管理者は役割(権限)の管理以外にも、ユーザー・パスワードの再発行といったユーザー管理が可能です。
Movable Type Enterpriseは役割に基づく権限決定システムを採用しています。各ブログには、複数の投稿者に、さまざまなアクセス権限を割り当てることができます。つまり、ユーザーに、ある「役割」やアクションを遂行できるかできないかを指定することで、適切なアクセス権限を割り当てられます。例えば、完全に信頼できるユーザーが1人いるとします。このユーザーにはすべての権限を与えて、あなたのブログに投稿し、テンプレートや投稿者の権限、カテゴリーの編集といった特権も許可できます。また、あまり信頼できないユーザーには、エントリーの投稿と、投稿者自身が投稿したエントリーの編集のみ許可する、といったことも可能です。
Movable Type Enerprise 1.5では、複数のユーザーを束ねたグループと、複数の書き込み権限を束ねたロールを利用できることになりました。 グループを使う事で、従来は一人一人のユーザーに対して行っていたブログの権限割り当てを、グループに対して行う事で、一括して権限の割り当てをすることができるようになりました。 また、ロールを使う事で、従来はシステム管理者、ブログの管理者しかなかった「役割」を自由に作成することができるようになりました。
ユーザー管理、およびパスワードを使ったログイン時のユーザー認証は、通常はMovable Type Enterpriseが行っています。LDAP(Lightweight Directory Access Protocol)に対応したディレクトリ・サービスを使ってユーザー管理をしている場合、ユーザー/グループをディレクトリ・サービス側で一元管理し、かつ認証にディレクトリ・システムを使う事が可能です。前者を「通常モード」、後者を「LDAPモード」と呼びます。モードの切り替えは「mt-config.cgi」で行います。
通常モードでユーザー管理・ユーザー認証を用いる場合は、全てのユーザー情報をMovable Type Enterprise上に格納する必要があります。 ユーザー情報の編集においては、通常の画面からの編集に加えて一括してユーザー情報の登録・変更が可能なモードがあります。 詳細は「ユーザー管理(一括編集モード)」をいご覧ください。
Movable Type Enterpriseでは、LDAPに対応したディレクトリ・サービスと連携して、ユーザー管理・ユーザー認証を行う事ができます。この連携によって、システム管理者はユーザー管理をディテクトリ・サービスに一元化し、運用負荷を削減することができます。LDAPモードを選択した場合、デフォルトではユーザー管理・ユーザー認証の双方を連携させる設定になります。
デフォルトでLDAPモードを選択した場合は、全てのユーザー情報、グループ情報はディレクトリ・サービス側で管理されます。 Movable Type Enterpriseの管理機能はディレクトリ・サービス側の情報との不整合を防ぐために、使用できなくなります。もし、Movable Type Enterpriseの管理機能を利用したい場合は、ディレクトリ・サービスをユーザー認証のみに用いることもできます。
以下が、LDAPモード(ディレクトリ・サービスと連携した際)における通常モードとの主な違いになります。