- 基本情報
- セットアップと構成
- Data Service を有効化する
- アクセス権を管理する
- Data Service を使用する
- 参照
- 例とチュートリアル
Data Service ユーザー ガイド
概要
[アクセス権を管理] モジュールでは、エンティティの Data Service テナントに対するユーザー ロールを管理できます。広範囲かつきめ細かい権限モデルを設定できるため、サービスを使用しているすべてのビジネス ユーザーを、専門知識のレベルや業務の要件に基づいてまとめることができます。さらに、組織からユーザーまたはグループを選択して、ロールを割り当てることも可能です。
Data Service は、組織のユーザーが既定で Everyone グループを介してデータを読み取れるように構成されています。
データ アクセスを制限するには、権限を管理し、関連するユーザーのみが 読み取り 権限を持つようにします**。**さらに、アクセス権を必要とするユーザーまたはグループを追加し、必要なロールを割り当てます。
以下の手順に従って、ユーザーおよびグループを管理できます。
- [ Data Service ] タブで、右上隅の [ その他のオプション ] メニューを選択します。
- [アクセス権を管理] を選択します。[アクセス権を管理] ページが表示されます。
以下のタブが用意されています。
| タブ | 説明 |
|---|---|
| ロールの割り当て | 現在のテナントに対して定義されているすべてのユーザーとグループ、およびそれらに関連付けられている ロールのリストが含まれます。ロールの割り当てを作成および更新するには、[ ロールを割り当て ] ボタンを使用します。 |
| ロール | Data Service に定義されたすべての [ロール] のリストが表示されます。ロールごとにユーザーまたはグループの割り当ての数を確認できます。新しい ロールを作成するには [新しいロールを作成 ] ボタンを使用し、ロールを更新するには [ロールを編集] ボタンを使用します。 |
標準ロール
標準ロールには、一連の定義済み権限が設定されています。Data Service ユーザーには、以下の標準ロールを割り当てることができます。
- Administrator
- Data Reader
- Data Writer
- デザイナー
標準ロールは削除できません。
標準ロールの権限
各標準ロールには、1 つ以上の管理権限とデータ アクセス権限を含む、異なる権限セットが設定されています。
管理権限
標準ロールの管理権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| 権限の管理 | 新しいロールの作成、既存のロールの編集と削除、ユーザーまたはグループに対する 1 つまたは複数のロールの割り当てが可能です。 |
| すべてのスキーマの表示 | すべてのエンティティのスキーマとチョイス セット定義を表示できますが、変更はできません。 |
| すべてのスキーマのカスタマイズ | すべてのエンティティのスキーマとチョイス セット定義を表示、作成、編集、削除できます。 |
[すべてのスキーマを表示] と [すべてのスキーマのカスタマイズ ] は、ロールベースのアクセスが有効化されているエンティティにのみ適用されます。
データ アクセス権限
標準ロールのデータ アクセス権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| アクセス権限なし。 | エンティティ データにアクセスできません。この権限を持つユーザーまたはグループは、エンティティのデータ レコードに対する作成、読み取り、編集、削除のいずれの操作も許可されていません。 |
| すべてのエンティティに対する読み取りアクセス権限。 | エンティティのデータ レコードを表示できます。 |
| すべてのエンティティに対する、完全な読み取り/書き込みアクセス権限。 | エンティティのデータ レコードの作成、表示、編集、削除が可能です。 |
標準ロールの権限の概要
以下の表は、各標準ロールの既定の権限をまとめたものです。
| 標準ロール | 管理権限 | データ アクセス権限 |
|---|---|---|
| Administrator | 権限の管理 | アクセス権限なし。 |
| Data Reader | すべてのスキーマの表示 | すべてのエンティティに対する読み取りアクセス権限。 |
| Data Writer | すべてのスキーマの表示 | すべてのエンティティに対する、完全な読み取り/書き込みアクセス権限。 |
| デザイナー | すべて表示 スキーマ スキーマをカスタマイズ | アクセス権限なし。 |
カスタム ロール
カスタム ロールを使用すると、ユーザーまたはグループに割り当て可能なカスタムの権限セットを作成できます。
新しいカスタム ロールを作成するには、[権限の管理] 権限が割り当てられている必要があります。
カスタム ロールの権限
カスタム ロールでは、ロールに割り当てる権限を独自に決定できます。
作成時に、1 つ以上の 管理権限 を新しいロールに割り当てることをお勧めします。同様に、 データ アクセス権限 をロールに割り当てることもできます。この権限は、指定されたエンティティに対して 作成、 読み取り、 編集、 削除 の権限を付与します。
管理権限
カスタム ロールに割り当てることができる管理権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| ロールを管理する | 新しいロールの作成、既存のロールの編集と削除、ユーザーまたはグループに対する 1 つまたは複数のロールの割り当てが可能です。 |
| スキーマの表示 | すべてのエンティティのスキーマとチョイス セット定義を表示できますが、変更はできません。 |
| スキーマのカスタマイズ | すべてのエンティティのスキーマとチョイス セット定義を表示、作成、編集、削除できます。 |
[すべてのスキーマを表示] と [すべてのスキーマのカスタマイズ ] は、ロールベースのアクセスが有効化されているエンティティにのみ適用されます。
データ アクセス権限
カスタム ロールを定義する際、テナントで選択されているエンティティに対して、異なるデータ アクセス権限を割り当てることができます。
ロールベースのアクセス制御が有効化されているエンティティの場合、カスタム ロールがエンティティ レコードを作成、読み取り、編集、または削除できるかどうかを選択できます。さらに、エンティティに ロール ベースのフィールド アクセス が有効なフィールドがある場合は、各エンティティ フィールドにデータ アクセス権限を割り当てることができます。
カスタム ロールに割り当てることができる、エンティティに対するデータ アクセス権限は以下のとおりです。
| アクセス許可 | この権限が付与されるロール |
|---|---|
| 作成 | エンティティ レコードを作成できます。 |
| 読み取り | エンティティ レコードを表示できます。 |
| 編集 | エンティティ レコードを表示および変更できます。 |
| 削除する | エンティティ レコードを表示および削除できます。 |
カスタム ロールを作成する
新しいロールを作成するには、以下の手順を実行します。
- [ ロール ] タブで、[ 新しいロールを作成] を選択します。
- [ ロールを作成 ] パネルの [ ロール名 ] フィールドに新しいロールの名前を入力します。
- ロールに割り当てる [管理権限] を選択します。
- ロールにデータ アクセス権限を追加するには、対象のエンティティを選択します。
- [ エンティティを追加 ] を選択して、利用可能なエンティティを表示します。
- 権限を定義するエンティティを選択します。
- 目的の権限を選択します。既定では [読み取り] 権限が有効化されています。
- [ 保存 ] を選択して、新しいカスタム ロールを作成します。このロールは、[ロール] タブの [カスタム] タイプに表示されます。
特定のフィールドに権限を設定する
エンティティを作成するときに、ユーザーが作成したフィールドに対して ロール ベースのフィールド アクセス を有効化できます。カスタム ロールを定義するときに、これらのフィールドにデータ アクセス権限を割り当てることができます。
フィールドのデータに対するアクセス権が付与されるよう更新できるのは、カスタム ロールのみです。
以下の手順に従って、ロール ベースのフィールド権限を設定します。
- 新しいロールを作成するか、既存のカスタム ロールを編集します。
- エンティティに ロール ベースのフィールド アクセス が有効なフィールドがある場合は、データ アクセス権限を追加するよう指示するメッセージが表示されます。 特定のフィールドにはデータ アクセス権限が必要です。[ 追加] を選択します。
- ドロップダウン リストから、データ アクセス権限を設定するフィールドを選択します。
- 目的の権限 (作成、読み取り、編集、削除) を設定します。
- [保存] をクリックします。
「エンティティをカスタマイズする」もご覧ください。
ロール ベースのフィールド アクセスを有効化したフィールドの権限を設定しない場合、それらのフィールドは既定で表示されません。
カスタム ロールを編集する
カスタム ロールの特定の権限について考えが変わる場合があります。カスタム ロールを編集するには、対応する [編集 ] ボタンを選択します。
カスタム ロールを削除する
カスタム ロールが不要になった場合は、対応する [削除 ] ボタンを選択して削除できます。
標準ロールは削除できません。
ユーザーまたはグループを追加する
Data Service 内のすべての呼び出しは、ユーザー許可に基づいています。操作の許可/拒否は常に、ユーザーに与えられた有効な権限に基づいて判断されます。有効な権限とは、ユーザー個人またはグループのメンバーに対して許可された権限のことです。Studio、Assistant、Robot も、それぞれで構成されたユーザーに付与された権限を継承します。
Data Service は、組織内に定義されたユーザーおよびグループのすべてに対応しており、独立したユーザーのリストを保持することはありません。
組織の一員であるユーザーを追加するには、以下の手順を実行します。
- [ アクセス権を管理 ] ページで [ ロールを割り当て] を選択します。[ ロールを割り当て] パネルが開きます。
- [ 名前 ] フィールドに、追加するユーザーまたはグループの名前を入力します。
- ユーザーまたはグループに割り当てる [ロール] を選択します。
- [保存] を選択します。
注:
ユーザーが見つからない場合は、そのユーザーが組織内にアカウントを持っていないことを意味します。
新たに追加されたユーザーと割り当てられたロールが、[ロールの割り当て] タブの [ユーザー/グループ] リストに表示されます。
ユーザーまたはグループにロールを定義する
グループとは、ユーザー アカウントの集合のことです。Data Service は、アカウント内に定義されたグループのすべてに対応しており、独立したグループ リストを保持することはありません。グループに許可された権限は、すべてのユーザーとグループに伝搬されます。
ユーザーまたはグループに対するロールを定義するには、以下の手順を実行します。
- [ ロールの割り当て] タブで、ロールを割り当てるユーザーまたはグループの上にカーソルをホバーさせます。
- 右側にある [編集 ] アイコンを選択します。[ロールを編集] パネルが開きます。
- ユーザーまたはグループに割り当てる [ロール] を選択します。
- [保存] を選択します。
注:
1 つのユーザーまたはグループに複数のロールを割り当てることができます。その場合は、すべて合わせた権限が適用されます。
既定のグループのマッピング
グループは、特定の権限セットを持つユーザー コンテナーの役割を果たします。グループの権限は各サービス内でグループを選択し、必要な権限を関連付けることで設定できます。ユーザーには、自分がメンバーであるグループに割り当てられたすべての権限が付与されます。
ユーザーをグループに割り当てると、その特定のユーザー グループに対して権限が設定されているすべてのサービスへのアクセス権が付与されます。サービスへのアクセス レベルは、そのグループにサービス レベルで割り当てられたロールによって決定されます。
| グループ メンバーシップ | 組織レベルのロール | Data Service のロール |
|---|---|---|
| Administrators | 組織管理者 | Administrator、Designer、Data Writer |
| Automation Developers | ユーザー (User) | Designer、Data Writer |
| Automation Users | ユーザー (User) | Data Writer |
| Everyone | ユーザー (User) | Data Reader |
ユーザーまたはグループを削除する
[ ロールの割り当て ] タブからユーザーまたはグループを削除すると、Data Service にアクセスできなくなります。つまり、削除されたすべてのユーザー、および削除されたグループに属するユーザーは、Data Service にアクセスできなくなります。
再度アクセスを許可するには、 組織のユーザーまたはグループを個別に追加 し、それらに Data Service のロールを割り当てます。
ユーザーまたはグループを Data Service から削除するには、該当する [ユーザー/グループを削除] 
ボタンをクリックします。
ロールベースのレコードアクセス権
ロールベースのレコードへのアクセス権では、Data Service エンティティ内の特定のレコードへのアクセスを制限できます。
[オーナー システム] フィールド
ロールベースのレコード アクセスを有効化すると、Data Service によって RecordOwner フィールドがエンティティに追加されます。
RecordOwner フィールドは、レコードを所有するユーザーまたはグループを指定するシステム フィールドです。レコードが作成されると、Data Service は既定でレコードの作成者を RecordOwner として割り当てます。
さらに、 ロールベースのレコード アクセスを有効化すると、Data Service はユーザーのロールにアクセス レベル ( 読み取り/編集/削除) を追加します。このアクセス レベルにより、ロールはレコード 所有者 であるレコードにのみ操作が制限されます。
たとえば、申請フォームを含むシナリオのエンティティを作成する場合は、次のようになります。
- マネージャーには、作成可能、すべての読み取り可能、すべての編集、およびすべての削除のアクセス レベルを割り当てることができます。
- レビュー エージェントには 、作成不可、すべて読み取り可能、編集所有者 、 削除不可 のアクセス レベルを割り当てることができます。
エンティティのロールベースのレコード アクセスを有効化または無効化する
ロールベースのレコードへのアクセス権は、エンティティを作成するとき、または既存のエンティティを編集するときに有効化できます。
新しいエンティティに対してロールベースのレコード アクセスを有効化する
新しいエンティティに対して ロールベースのレコード アクセス を有効化するには、次の手順を実行します。
- Data Service に移動します。
- [ 新しいエンティティを作成] を選択します。
- エンティティの名前と説明を指定します。
- [ ロールベースのレコード アクセスを有効化] を選択します。
- [保存] を選択します。
ポップアップが開き、[ アクセス権を管理 ] にアクセスしてカスタム ロールを設定するよう求められます。
既存のエンティティのロールベースのレコード アクセスを有効化または無効化する
既存のエンティティに対して ロールベースのレコード アクセス を有効化または無効化するには、次の手順を実行します。
- Data Service に移動します。
- [ エンティティ ] を選択すると、すべてのエンティティが表示されます。
- 非システム エンティティの横にある [編集 ] ボタンを選択します。
- [ ロールベースのレコード アクセス] を選択します。
注:
現在、 ロールベースのレコード アクセス を有効化できるのは、既存のレコードを持たないエンティティのみです。
- [保存] を選択します。
[ロールベースのレコードのアクセス] スライダーは、状況依存のトグルです。
- この機能がアクティブになっていないエンティティに対して [ ロールベースのレコード アクセス ] を選択すると、Data Service によって機能が有効化されます。
- この機能がすでにアクティブなエンティティに対して [ ロールベースのレコード アクセス ] を選択すると、Data Service はこの機能を無効化します。