ideogram-enterprise-rbac
Ideogramのエンタープライズ向けSSO、ロールベースのアクセス制御、および組織管理を設定できます。SSO統合の実装、ロールベースのアクセス権限の設定、またはIdeogramの組織レベルの制御の構築時に利用します。「ideogram SSO」「ideogram RBAC」「ideogram enterprise」「ideogram roles」「ideogram permissions」「ideogram SAML」などのフレーズで起動できます。
description の原文を見る
Configure Ideogram enterprise SSO, role-based access control, and organization management. Use when implementing SSO integration, configuring role-based permissions, or setting up organization-level controls for Ideogram. Trigger with phrases like "ideogram SSO", "ideogram RBAC", "ideogram enterprise", "ideogram roles", "ideogram permissions", "ideogram SAML".
SKILL.md 本文
Ideogram Enterprise RBAC
概要
Ideogram統合向けのエンタープライズグレードのアクセス制御を構成します。
前提条件
- Ideogram Enterprise層のサブスクリプション
- SAML/OIDCをサポートするIdentity Provider (IdP)
- ロールベースアクセスパターンの理解
- 監査ログインフラストラクチャ
ロール定義
| ロール | 権限 | ユースケース |
|---|---|---|
| Admin | フルアクセス | プラットフォーム管理者 |
| Developer | 読み取り/書き込み、削除不可 | アクティブ開発 |
| Viewer | 読み取り専用 | ステークホルダー、監査人 |
| Service | APIアクセスのみ | 自動化システム |
ロール実装
enum IdeogramRole {
Admin = 'admin',
Developer = 'developer',
Viewer = 'viewer',
Service = 'service',
}
interface IdeogramPermissions {
read: boolean;
write: boolean;
delete: boolean;
admin: boolean;
}
const ROLE_PERMISSIONS: Record<IdeogramRole, IdeogramPermissions> = {
admin: { read: true, write: true, delete: true, admin: true },
developer: { read: true, write: true, delete: false, admin: false },
viewer: { read: true, write: false, delete: false, admin: false },
service: { read: true, write: true, delete: false, admin: false },
};
function checkPermission(
role: IdeogramRole,
action: keyof IdeogramPermissions
): boolean {
return ROLE_PERMISSIONS[role][action];
}
SSO統合
SAML構成
// Ideogram SAML設定
const samlConfig = {
entryPoint: 'https://idp.company.com/saml/sso',
issuer: 'https://ideogram.com/saml/metadata',
cert: process.env.SAML_CERT,
callbackUrl: 'https://app.yourcompany.com/auth/ideogram/callback',
};
// IdPグループをIdeogramロールにマッピング
const groupRoleMapping: Record<string, IdeogramRole> = {
'Engineering': IdeogramRole.Developer,
'Platform-Admins': IdeogramRole.Admin,
'Data-Team': IdeogramRole.Viewer,
};
OAuth2/OIDC統合
import { OAuth2Client } from '@ideogram/sdk';
const oauthClient = new OAuth2Client({
clientId: process.env.IDEOGRAM_OAUTH_CLIENT_ID!,
clientSecret: process.env.IDEOGRAM_OAUTH_CLIENT_SECRET!,
redirectUri: 'https://app.yourcompany.com/auth/ideogram/callback',
scopes: ['read', 'write'],
});
組織管理
interface IdeogramOrganization {
id: string;
name: string;
ssoEnabled: boolean;
enforceSso: boolean;
allowedDomains: string[];
defaultRole: IdeogramRole;
}
async function createOrganization(
config: IdeogramOrganization
): Promise<void> {
await ideogramClient.organizations.create({
...config,
settings: {
sso: {
enabled: config.ssoEnabled,
enforced: config.enforceSso,
domains: config.allowedDomains,
},
},
});
}
アクセス制御ミドルウェア
function requireIdeogramPermission(
requiredPermission: keyof IdeogramPermissions
) {
return async (req: Request, res: Response, next: NextFunction) => {
const user = req.user as { ideogramRole: IdeogramRole };
if (!checkPermission(user.ideogramRole, requiredPermission)) {
return res.status(403).json({
error: 'Forbidden',
message: `Missing permission: ${requiredPermission}`,
});
}
next();
};
}
// 使用例
app.delete('/ideogram/resource/:id',
requireIdeogramPermission('delete'),
deleteResourceHandler
);
監査証跡
interface IdeogramAuditEntry {
timestamp: Date;
userId: string;
role: IdeogramRole;
action: string;
resource: string;
success: boolean;
ipAddress: string;
}
async function logIdeogramAccess(entry: IdeogramAuditEntry): Promise<void> {
await auditDb.insert(entry);
// 不審なアクティビティに対してアラート
if (entry.action === 'delete' && !entry.success) {
await alertOnSuspiciousActivity(entry);
}
}
手順
ステップ1: ロールを定義
組織的なロールをIdeogramの権限にマッピングします。
ステップ2: SSOを構成
IdPとのSAMLまたはOIDC統合をセットアップします。
ステップ3: ミドルウェアを実装
APIエンドポイントに権限チェックを追加します。
ステップ4: 監査ログを有効化
コンプライアンスのためにすべてのアクセスを追跡します。
出力
- ロール定義が実装されている
- SSO統合が構成されている
- 権限ミドルウェアが有効である
- 監査証跡が有効である
エラーハンドリング
| 問題 | 原因 | 解決策 |
|---|---|---|
| SSOログインが失敗 | コールバックURLが間違っている | IdP設定を確認 |
| アクセス拒否 | ロールマッピングが不足 | グループマッピングを更新 |
| トークン有効期限切れ | TTLが短い | トークンリフレッシュロジック |
| 監査ギャップ | 非同期ログが失敗 | ログパイプラインを確認 |
例
クイック権限チェック
if (!checkPermission(user.role, 'write')) {
throw new ForbiddenError('Write permission required');
}
リソース
次のステップ
大規模な移行については、ideogram-migration-deep-diveを参照してください。
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- Brmbobo
- リポジトリ
- Brmbobo/Web2podcast
- ライセンス
- MIT
- 最終更新
- 2026/1/26
Source: https://github.com/Brmbobo/Web2podcast / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。