- 基本情報
- ライセンス
- セットアップと構成
- ホスティング モデル
- サービスを有効化する
- アクセス権を管理する
- テナントの移行と削除
- サービスの利用
- 参照
- 例とチュートリアル
- ログ
Data Fabric ユーザー ガイド
概要
[アクセス権を管理] モジュールでは、Data Fabric / Data Service テナント内のエンティティのユーザー ロールを管理できます。広範囲かつきめ細かい権限モデルを設定できるため、サービスを使用しているすべてのビジネス ユーザーを、専門知識のレベルや業務の要件に基づいてまとめることができます。さらに、組織からユーザーまたはグループを選択して、ロールを割り当てることも可能です。
Data Fabric は、組織のユーザーが既定で Everyone グループを介してデータを読み取れるように構成されています。
データ アクセスを制限するには、権限を管理し、関連するユーザーのみが 読み取り 権限を持つようにします**。**さらに、アクセス権を必要とするユーザーまたはグループを追加し、必要なロールを割り当てます。
以下の手順に従って、ユーザーおよびグループを管理できます。
- Data Fabric/Data Service のホーム ページで、ヘッダーの [その他のオプション ] メニューを選択します。
- Select Manage Access.
以下のタブが用意されています。
| タブ | 説明 |
|---|---|
| ロールを割り当てる | 現在のテナントに対して定義されているすべてのユーザーとグループ、およびそれらに関連付けられている ロールのリストが含まれます。ロールの割り当てを作成および更新するには、[ ロールを割り当て ] ボタンを使用します。 |
| ロール | Data Fabric/Data Service に定義されたすべての [ロール ] のリストが表示されます。ロールごとにユーザーまたはグループの割り当ての数を確認できます。新しい ロールを作成するには [新しいロールを作成 ] ボタンを使用し、ロールを更新するには [ロールを編集] ボタンを使用します。 |
標準ロール
標準ロールには、事前定義された一連の権限があります。Data Fabric / Data Service ユーザーには、以下の標準ロールを割り当てることができます。
- Administrator
- Data Reader
- Data Writer
- デザイナー
注:
標準ロールは削除できません。
標準ロールの権限
各標準ロールには、1 つ以上の管理権限とデータ アクセス権限を含む、異なる権限セットが設定されています。
管理権限
標準ロールの管理権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| 権限の管理 | 新しいロールの作成、既存のロールの編集と削除、ユーザーまたはグループに対する 1 つまたは複数のロールの割り当てが可能です。 |
| すべてのスキーマの表示 | すべてのエンティティのスキーマとチョイス セット定義を表示できますが、変更はできません。 |
| すべてのスキーマのカスタマイズ | すべてのエンティティのスキーマとチョイス セット定義を表示、作成、編集、削除できます。 |
[すべてのスキーマを表示] と [すべてのスキーマのカスタマイズ ] は、ロールベースのアクセスが有効化されているエンティティにのみ適用されます。
データ アクセス権限
標準ロールのデータ アクセス権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| アクセス権限なし。 | エンティティ データにアクセスできません。この権限を持つユーザーまたはグループは、エンティティのデータ レコードに対する作成、読み取り、編集、削除のいずれの操作も許可されていません。 |
| すべてのエンティティに対する読み取りアクセス権限。 | エンティティのデータ レコードを表示できます。 |
| すべてのエンティティに対する、完全な読み取り/書き込みアクセス権限。 | エンティティのデータ レコードの作成、表示、編集、削除が可能です。 |
標準ロールの権限の概要
以下の表は、各標準ロールの既定の権限をまとめたものです。
| 標準ロール | 管理権限 | データ アクセス権限 |
|---|---|---|
| Administrator | 権限の管理 | アクセス権限なし。 |
| Data Reader | すべてのスキーマの表示 | すべてのエンティティに対する読み取りアクセス権限。 |
| Data Writer | すべてのスキーマの表示 | すべてのエンティティに対する、完全な読み取り/書き込みアクセス権限。 |
| デザイナー | すべてのスキーマを表示 すべてのスキーマをカスタマイズ | アクセス権限なし。 |
カスタム ロール
カスタム ロールを使用すると、ユーザーまたはグループに割り当て可能なカスタムの権限セットを作成できます。
新しいカスタム ロールを作成するには、[権限の管理] 権限が割り当てられている必要があります。
カスタム ロールの権限
カスタム ロールでは、ロールに割り当てる権限を独自に決定できます。
作成時に、1 つ以上の管理権限を新しいロールに割り当てます。同様に、データ アクセス権限をロールに割り当てることもできます。この権限は、指定されたエンティティに対して作成、読み取り、編集、削除の権限を付与します。
管理権限
カスタム ロールに割り当てることができる管理権限は以下のとおりです。
| アクセス許可 | 説明 |
|---|---|
| ロールを管理する | この権限を持つロールは、新しいロールの作成、既存のロールの編集と削除、ユーザーまたはグループに対する 1 つまたは複数のロールの割り当てが可能です。 |
| スキーマの表示 | この権限を持つロールは、すべてのエンティティのスキーマとチョイス セット定義を表示できますが、変更はできません。 |
| すべてのスキーマのカスタマイズ | この権限を持つロールは、すべてのエンティティのスキーマとチョイス セット定義を表示、作成、編集、削除できます。 |
データ アクセス権限
カスタム ロールを定義する際、テナントで選択されているエンティティに対して、異なるデータ アクセス権限を割り当てることができます。
カスタム ロールでエンティティ レコードの作成、読み取り、編集、削除を可能にするかどうかを選択できます。さらに、エンティティにロール ベースのフィールド アクセスが有効化されているフィールドがある場合は、各エンティティ フィールドにデータ アクセス権限を割り当てることができます。
カスタム ロールに割り当てることができる、エンティティに対するデータ アクセス権限は以下のとおりです。
| アクセス許可 | 説明 |
|---|---|
| 作成 | この権限を持つロールは、エンティティ レコードを作成できます。 |
| 読み取り | この権限を持つロールは、エンティティ レコードを表示できます。 |
| 編集 | この権限を持つロールは、エンティティ レコードを表示および変更できます。 |
| 削除する | この権限を持つロールは、エンティティ レコードを表示および削除できます。 |
| 所有者を再割り当て | この権限を持つロールは、エンティティ レコードの所有者を表示および再割り当てできます。 注: 既存のエンティティに新しいデータを追加すると、自分が新しいデータの既定のレコード所有者になります。ただし、データを編集または追加するときに、所有権を別のユーザーに再割り当てできます。 |
カスタム ロールを作成する
新しいロールを作成するには、以下の手順を実行します。
- [ ロール ] タブで、[ 新しいロールを作成] を選択します。
- [ ロールを作成 ] パネルの [ ロール名 ] フィールドに新しいロールの名前を入力します。
- ロールに割り当てる [管理権限] を選択します。
- ロールにデータ アクセス権限を追加するには、対象のエンティティを選択します。
- [ エンティティを追加 ] を選択して、利用可能なエンティティを表示します。
- 権限を定義するエンティティを選択します。
- 目的の権限を選択します。既定では [読み取り] 権限が有効化されています。
- [ 保存 ] を選択して、新しいカスタム ロールを作成します。このロールは、[ロール] タブの [カスタム] タイプに表示されます。
特定のフィールドに権限を設定する
エンティティを作成するときに、ユーザーが作成したフィールドに対して ロール ベースのフィールド アクセス を有効化できます。カスタム ロールを定義するときに、これらのフィールドにデータ アクセス権限を割り当てることができます。
フィールドのデータに対するアクセス権が付与されるよう更新できるのは、カスタム ロールのみです。
以下の手順に従って、ロール ベースのフィールド権限を設定します。
- 新しいロールを作成するか、既存のカスタム ロールを編集します。
- エンティティに ロール ベースのフィールド アクセス が有効なフィールドがある場合は、データ アクセス権限を追加するよう指示するメッセージが表示されます。 特定のフィールドにはデータ アクセス権限が必要です。[ 追加] を選択します。
- ドロップダウン リストから、データ アクセス権限を設定するフィールドを選択します。
- 目的の権限 (作成、読み取り、編集、削除) を設定します。
- [保存] をクリックします。
「エンティティをカスタマイズする」もご覧ください。
ロール ベースのフィールド アクセスを有効化したフィールドの権限を設定しない場合、それらのフィールドは既定で表示されません。
カスタム ロールを編集する
カスタム ロールの特定の権限について考えが変わる場合があります。カスタム ロールを編集するには、対応する [編集 ] ボタンを選択します。
カスタム ロールを削除する
カスタム ロールが不要になった場合は、対応する [削除 ] ボタンを選択して削除できます。
標準ロールは削除できません。
フォルダー レベルのエンティティ、ロール、および権限
フォルダー レベルのエンティティへのアクセスは、下表に示すように Orchestrator のロールを使用して管理します。
| アクセス許可 | 説明 |
| エンティティ レコード | フォルダー内のエンティティに格納されているデータへのアクセスを制御します (読み取り、書き込み、削除)。 |
| エンティティ スキーマ | フォルダー内のエンティティの構造とスキーマ定義へのアクセスを制御します。 |
| エンティティ ロール | フォルダー内のエンティティに割り当てられたロールの管理を制御します。 |
ユーザーのアクセス権は、Orchestrator のロールに割り当てられた権限によって決まります。
ユーザーまたはグループを追加する
Data Fabric/Data Service 内のすべての呼び出しは、ユーザー許可に基づいています。操作の許可/拒否は常に、ユーザーに与えられた有効な権限に基づいて判断されます。有効な権限とは、ユーザー個人またはグループのメンバーに対して許可された権限のことです。Studio、Assistant、Robot も、それぞれで構成されたユーザーに付与された権限を継承します。
Data Fabric/Data Service は、組織内で定義されたすべてのユーザーとグループをサポートし、個別のユーザー リストを保持しません。
組織の一員であるユーザーを追加するには、次の手順を実行します。
- [管理] に移動し、[アクセス権を管理] を選択して [ロールの割り当て] タブを選択します。
- [ ロールを割り当て] を選択します。[ ロールを割り当て] パネルが開きます。
- [ 名前 ] フィールドで、既存のユーザーまたは Orchestrator グループを検索し、ロールを割り当てるユーザーまたはグループを選択します。
- [ ロール ] フィールドで、選択したユーザーまたはグループに割り当てるロールを選択します。
- [割り当て] を選択します。
注:
ユーザーが見つからない場合は、そのユーザーが組織内にアカウントを持っていないことを意味します。
ユーザーまたはグループにロールを定義する
グループは、ユーザー アカウントの集合です。Data Fabric/Data Service は、アカウントで定義されているすべてのグループをサポートし、グループの個別のリストを保持しません。グループに付与された権限は、すべてのユーザーとグループに反映されます。
ユーザーまたはグループのロールを定義するには、次の手順を実行します。
- [ロールを割り当て] タブで、ロールを割り当てるユーザーまたはグループにカーソルを合わせます。
- 右側にある [編集 ] アイコンを選択します。[ロールを編集] パネルが開きます。
- ユーザーまたはグループに割り当てるロールを選択します。
- [保存] を選択します。
注:
1 つのユーザーまたはグループに複数のロールを割り当てることができます。その場合は、すべて合わせた権限が適用されます。
既定のグループのマッピング
グループは、特定の権限セットを持つユーザー コンテナーの役割を果たします。グループの権限は各サービス内でグループを選択し、必要な権限を関連付けることで設定できます。ユーザーには、自分がメンバーであるグループに割り当てられたすべての権限が付与されます。
ユーザーをグループに割り当てると、その特定のユーザー グループに対して権限が設定されているすべてのサービスへのアクセス権が付与されます。サービスへのアクセス レベルは、そのグループにサービス レベルで割り当てられたロールによって決定されます。
| グループ メンバーシップ | 組織レベルのロール | Data Fabric/Data Service のロール |
|---|---|---|
| Administrators | 組織管理者 | Administrator、Designer、Data Writer |
| Automation Developers | ユーザー (User) | Designer、Data Writer |
| Automation Users | ユーザー (User) | Data Writer |
| Citizen Developers | ユーザー (User) | Designer、Data Writer |
| Everyone | ユーザー (User) | Data Reader |
Citizen Developer グループの導入後に作成されたテナントに対しては、ロールが自動的にマッピングされますのでご注意ください。グループの追加前に作成されたテナントに対しては、Citizen Developer グループを追加し、Designer ロールと Data Writer ロールを手動で割り当てる必要があります。
ユーザーまたはグループを削除する
[ ロールを割り当て ] タブからユーザーまたはグループを削除すると、Data Fabric / Data Service にアクセスできなくなります。つまり、削除されたすべてのユーザー、および削除されたグループに属するユーザーは、Data Fabric / Data Service にアクセスできなくなります。
再度アクセスを許可するには、 組織のユーザーまたはグループを個別に追加 し、それらに Data Fabric / Data Service のロールを割り当てます。
Data Fabric / Data Service からユーザーまたはグループを削除するには、対応する [ ユーザー/グループを削除
ボタンを選択します。
ロールベースのレコードアクセス権
ロールベースのレコード アクセスを使用すると、Data Fabric / Data Service エンティティ内の特定のレコードにアクセスを制限できます。
ロールベースのレコードアクセスは、レコードレベルでデータアクセスを制限します。ロール ベースのフィールド アクセス では、フィールド レベルでデータ アクセスが制限されます。
レコード所有者のシステム フィールド
ロールベースのレコード アクセスを有効化すると、Data Fabric / Data Service によって RecordOwner フィールドがエンティティに追加されます。
RecordOwner フィールドは、レコードを所有するユーザーまたはグループを指定するシステム フィールドです。レコードが作成されると、Data Fabric / Data Service は既定でレコードの作成者をレコード所有者として割り当てます。
さらに、 ロールベースのレコード アクセスを有効化すると、Data Fabric / Data Service によって、ロールにアクセス レベル ( 読み取り/編集/所有の再割り当て/所有を削除) が追加されます。このアクセス レベルでは、ロールが操作できるのはレコード所有者であるレコードのみに制限されます。
たとえば、申請フォームを含むシナリオのエンティティを作成する場合は、次のようになります。
- マネージャーには、[作成可能]、[すべて読み取り]、[すべて編集]、[すべて再割り当て]、および [すべて削除] のアクセス レベルを割り当てることができます。
- レビュー エージェントには、作成不可、すべて読み取り、編集、再割り当て、および削除不可のアクセス レベルを割り当てることができます。
エンティティのロールベースのレコード アクセスを有効化または無効化する
ロールベースのレコードへのアクセス権は、エンティティを作成するとき、または既存のエンティティを編集するときに有効化できます。
新しいエンティティに対してロールベースのレコード アクセスを有効化する
新しいエンティティに対して ロールベースのレコード アクセス を有効化するには、次の手順を実行します。
- Data Service に移動します。
- [ 新しいエンティティを作成] を選択します。
- エンティティの名前と説明を指定します。
- [ ロールベースのレコード アクセスを有効化] を選択します。
- [保存] を選択します。
ポップアップが開き、[ アクセス権を管理 ] にアクセスしてカスタム ロールを設定するよう求められます。
既存のエンティティのロールベースのレコード アクセスを有効化または無効化する
既存のエンティティに対して ロールベースのレコード アクセス を有効化または無効化するには、次の手順を実行します。
-
[Data Fabric]/[Data Service] に移動します。
-
[ エンティティ ] を選択すると、すべてのエンティティが表示されます。
-
非システム エンティティの横にある [編集 ] ボタンを選択します。
-
[ ロールベースのレコード アクセス] を選択します。
-
[保存] を選択します。
[ロールベースのレコードのアクセス] スライダーは、状況依存のトグルです。
- この機能がアクティブになっていないエンティティに対して [ ロールベースのレコード アクセス ] を選択すると、Data Fabric / Data Service によって機能が有効化されます。
- この機能がすでにアクティブなエンティティに対して [ ロールベースのレコード アクセス ] を選択すると、Data Fabric / Data Service によってこの機能が無効化されます。
フォルダー レベルのエンティティのエンティティ レベルの RBAC
エンティティ レベルの RBAC は、Data Fabric の [アクセス権を管理] で直接フォルダー レベルのエンティティに対して構成することもできます。これにより、Orchestrator のフォルダーの権限に加えて、追加の制御レイヤーが提供されます。
- Orchestrator のフォルダー アクセスは、第 1 レベルの制御です。
- RBAC ルールは、フォルダーのアクセス許可の上に追加のセキュリティ レイヤーとして適用されます。
- RBAC ルールを適用するには、Orchestrator でユーザーがフォルダーにアクセスできる必要があります。
注:
権限の変更は 2 分間のキャッシュの対象となります。アクセス権が更新された後、権限の同期に短時間の遅延が発生する場合があります。
フォルダー レベルのエンティティの RBAC を構成するには、次の手順を実行します。
- Data Fabric で [ アクセス権を管理 ] を選択します。
- [ロール] タブを選択し、[新しいロールを作成] ドロップダウンから [フォルダー エンティティ ロール] を選択します。
- [ ロール名 ] フィールドにロール名を入力します。
- [場所] ドロップダウンからフォルダーを選択します。
- [ エンティティを追加 ] ドロップダウンから使用するエンティティを選択します。
- 各エンティティに適用する権限を定義します。
- [保存] を選択します。
- [ ロールの割り当て] タブを選択し、[ ロールを割り当て ] を選択して、ユーザーまたはグループにロールを割り当てます。