clay-enterprise-rbac
Clayのエンタープライズ向けSSO、ロールベースのアクセス制御、および組織管理を設定できます。SSO統合の実装、ロールベースの権限設定、またはClayの組織レベルの制御を構築する際に活用できます。「clay SSO」「clay RBAC」「clay enterprise」「clay roles」「clay permissions」「clay SAML」といったフレーズで起動します。
description の原文を見る
Configure Clay enterprise SSO, role-based access control, and organization management. Use when implementing SSO integration, configuring role-based permissions, or setting up organization-level controls for Clay. Trigger with phrases like "clay SSO", "clay RBAC", "clay enterprise", "clay roles", "clay permissions", "clay SAML".
SKILL.md 本文
Clay Enterprise RBAC
概要
Clay統合向けのエンタープライズグレードのアクセス制御を構成します。
前提条件
- Clay Enterprise層のサブスクリプション
- SAML/OIDCをサポートするアイデンティティプロバイダー(IdP)
- ロールベースアクセスパターンの理解
- 監査ログインフラストラクチャ
ロール定義
| ロール | 権限 | ユースケース |
|---|---|---|
| Admin | 完全アクセス | プラットフォーム管理者 |
| Developer | 読取/書込、削除不可 | 積極的な開発 |
| Viewer | 読取専用 | ステークホルダー、監査人 |
| Service | APIアクセスのみ | 自動化システム |
ロール実装
enum ClayRole {
Admin = 'admin',
Developer = 'developer',
Viewer = 'viewer',
Service = 'service',
}
interface ClayPermissions {
read: boolean;
write: boolean;
delete: boolean;
admin: boolean;
}
const ROLE_PERMISSIONS: Record<ClayRole, ClayPermissions> = {
admin: { read: true, write: true, delete: true, admin: true },
developer: { read: true, write: true, delete: false, admin: false },
viewer: { read: true, write: false, delete: false, admin: false },
service: { read: true, write: true, delete: false, admin: false },
};
function checkPermission(
role: ClayRole,
action: keyof ClayPermissions
): boolean {
return ROLE_PERMISSIONS[role][action];
}
SSO統合
SAML設定
// Clay SAMLセットアップ
const samlConfig = {
entryPoint: 'https://idp.company.com/saml/sso',
issuer: 'https://clay.com/saml/metadata',
cert: process.env.SAML_CERT,
callbackUrl: 'https://app.yourcompany.com/auth/clay/callback',
};
// IdPグループをClayロールにマッピング
const groupRoleMapping: Record<string, ClayRole> = {
'Engineering': ClayRole.Developer,
'Platform-Admins': ClayRole.Admin,
'Data-Team': ClayRole.Viewer,
};
OAuth2/OIDC統合
import { OAuth2Client } from '@clay/sdk';
const oauthClient = new OAuth2Client({
clientId: process.env.CLAY_OAUTH_CLIENT_ID!,
clientSecret: process.env.CLAY_OAUTH_CLIENT_SECRET!,
redirectUri: 'https://app.yourcompany.com/auth/clay/callback',
scopes: ['read', 'write'],
});
組織管理
interface ClayOrganization {
id: string;
name: string;
ssoEnabled: boolean;
enforceSso: boolean;
allowedDomains: string[];
defaultRole: ClayRole;
}
async function createOrganization(
config: ClayOrganization
): Promise<void> {
await clayClient.organizations.create({
...config,
settings: {
sso: {
enabled: config.ssoEnabled,
enforced: config.enforceSso,
domains: config.allowedDomains,
},
},
});
}
アクセス制御ミドルウェア
function requireClayPermission(
requiredPermission: keyof ClayPermissions
) {
return async (req: Request, res: Response, next: NextFunction) => {
const user = req.user as { clayRole: ClayRole };
if (!checkPermission(user.clayRole, requiredPermission)) {
return res.status(403).json({
error: 'Forbidden',
message: `Missing permission: ${requiredPermission}`,
});
}
next();
};
}
// 使用方法
app.delete('/clay/resource/:id',
requireClayPermission('delete'),
deleteResourceHandler
);
監査証跡
interface ClayAuditEntry {
timestamp: Date;
userId: string;
role: ClayRole;
action: string;
resource: string;
success: boolean;
ipAddress: string;
}
async function logClayAccess(entry: ClayAuditEntry): Promise<void> {
await auditDb.insert(entry);
// 疑わしいアクティビティをアラート
if (entry.action === 'delete' && !entry.success) {
await alertOnSuspiciousActivity(entry);
}
}
手順
ステップ1: ロールを定義する
組織的なロールをClayの権限にマッピングします。
ステップ2: SSOを設定する
IdPとのSAMLまたはOIDC統合をセットアップします。
ステップ3: ミドルウェアを実装する
APIエンドポイントに権限チェックを追加します。
ステップ4: 監査ログを有効にする
コンプライアンスのためにすべてのアクセスを追跡します。
出力
- 実装されたロール定義
- 設定されたSSO統合
- アクティブなパーミッションミドルウェア
- 有効になった監査証跡
エラー処理
| 問題 | 原因 | ソリューション |
|---|---|---|
| SSOログイン失敗 | コールバックURL不正 | IdP設定を確認 |
| 権限拒否 | ロールマッピング欠落 | グループマッピングを更新 |
| トークン有効期限切れ | TTL短い | トークンリフレッシュロジック |
| 監査ログギャップ | 非同期ログ失敗 | ログパイプラインを確認 |
例
クイック権限チェック
if (!checkPermission(user.role, 'write')) {
throw new ForbiddenError('Write permission required');
}
リソース
次のステップ
大規模な移行の場合は、clay-migration-deep-diveを参照してください。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- Brmbobo
- リポジトリ
- Brmbobo/Web2podcast
- ライセンス
- MIT
- 最終更新
- 2026/1/26
Source: https://github.com/Brmbobo/Web2podcast / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。