Attributbasierte Zugriffssteuerung attribute-based-access

Auf dieser Seite Verwenden Sie die attributbasierte Zugriffssteuerung in Adobe Journey Optimizer, um vertrauliche Schemafelder, Profilattribute und Zielgruppen auf autorisierte Rollen zu beschränken, damit Sie personenbezogene Daten schützen und nicht autorisierte Benutzende daran hindern können, sie zu bearbeiten.

Mit der Funktion der attributbasierten Zugriffssteuerung können Berechtigungen definiert werden, um den Datenzugriff für bestimmte Teams oder Gruppen von Benutzenden zu verwalten. Dies dient dem Schutz sensibler digitaler Assets vor unbefugten Benutzenden und ermöglicht so einen weiteren Schutz personenbezogener Daten.

Verwenden Sie die attributbasierte Zuriffssteuerung in Adobe Journey Optimizer, um Daten zu schützen und spezifischen Zugriff auf bestimmte Feldelemente zu gewähren, darunter Experience-Datenmodell(XDM)-Schemata, Profilattribute und Zielgruppen.

Eine detailliertere Liste der bei der attributbasierten Zugriffssteuerung verwendeten Begriffe ist in der Dokumentation zu Adobe Experience Platform verfügbar.

In diesem Beispiel wird dem Schemafeld Staatsangehörigkeit ein Label hinzugefügt, um nicht autorisierte Benutzende an der Verwendung zu hindern. Damit dies funktioniert, müssen die folgenden Schritte ausgeführt werden:

  1. Erstellen Sie eine neue Rolle und weisen Sie ihr das entsprechenden Label zu, damit Benutzer auf das Schemafeld zugreifen und es verwenden können.

  2. Weisen Sie dem Schemafeld Staatsangehörigkeit in Adobe Experience Platform ein Label zu.

  3. Verwenden Sie das Schemafeld in Adobe Journey Optimizer.

Beachten Sie, dass der Zugriff auf Rollen, Richtlinien und Produkte auch über das attributbasierte Zugriffssteuerungs-API möglich ist. Weitere Informationen sind in dieser Dokumentation verfügbar.

Erstellen einer Rolle und Zuweisen von Labels assign-role

IMPORTANT
​>Vor dem Verwalten von Berechtigungen für eine Rolle muss eine Richtlinie erstellt werden. Weitere Informationen sind in der Dokumentation zu Adobe Experience Platform verfügbar.

Rollen sind eine Gruppe von Benutzenden, die innerhalb Ihrer Organisation dieselben Berechtigungen, Labels und Sandboxes verwenden. Alle Benutzenden, die einer Rolle angehören, haben die Berechtigung für die Adobe-Anwendungen und -Dienste, die im Produkt enthalten sind. Eigene Rollen können erstellt werden, wenn der Zugriff der Benutzenden auf bestimmte Funktionen oder Objekte in der Oberfläche präziser definiert werden soll.

Um ausgewählten Benutzenden Zugriff auf das Feld Staatsangehörigkeit mit der Bezeichnung „C2“ zu gewähren, muss eine neue Rolle mit bestimmten Benutzenden erstellt werden, der das Label „C2“ zugewiesen wird. Dies ermöglicht den Benutzenden die Verwendung der Staatsangehörigkeits-Details in einer Journey.

  1. Wählen Sie aus dem Permissions-Produkt im Menü des linken Fensterbereichs die Option Rolle und klicken Sie auf Rolle erstellen. Beachten Sie, dass Sie auch Labels zu integrierten Rollen hinzufügen können.

    Erstellen einer neuen Rolle im Produkt „Berechtigungen“

  2. Fügen Sie hier einen Namen und eine Beschreibung zu Ihrer neuen Rolle hinzu, hier: Eingeschränkte Rolle „Demografisch“.

  3. Wählen Sie Ihre Sandbox aus der Dropdown-Liste.

  4. Klicken Sie im Menü Ressourcen auf Adobe Experience Platform, um die verschiedenen Funktionen zu öffnen. Hier wählen wir Journeys aus.

  5. Wählen Sie aus der Dropdown-Liste die Berechtigungen aus, die mit der ausgewählten Funktion verknüpft sind, z. B. Anzeigen von Journeys oder Veröffentlichen von Journeys.

  6. Nach dem Speichern der neu erstellten Rolle klicken Sie auf Eigenschaften, um den Zugriff auf Ihre Rolle weiter zu konfigurieren.

  7. Klicken Sie auf der Registerkarte Benutzer auf Benutzer hinzufügen.

  8. Klicken Sie auf der Registerkarte Labels auf Label hinzufügen.

  9. Wählen Sie das Label aus, das Sie Ihrer Rolle hinzufügen möchten, und klicken Sie auf Speichern. In diesem Beispiel wird den Benutzenden das Label „C2“ gewährt, damit sie Zugriff auf das zuvor eingeschränkte Feld des Schemas haben.

    Speichern der Label-Konfiguration

Die Benutzenden in der Eingeschränkten Rolle „Demografisch“ haben nun Zugriff auf die Objekte mit dem Label „C2“.

Zuweisen von Labels zu einem Objekt in Adobe Experience Platform assign-label

WARNING
Die falsche Verwendung von Labels kann den Zugriff für Personen unterbrechen und zu Richtlinienverstößen führen.

Labels können verwendet werden, um bestimmte Funktionsbereiche mithilfe der attributbasierten Zugriffssteuerung zuzuweisen. In diesem Beispiel ist der Zugriff auf das Feld Staatsangehörigkeit eingeschränkt. Auf dieses Feld können nur Benutzende mit dem entsprechenden Label in ihrer Rolle zugreifen.

Beachten Sie, dass Sie Label auch zu Schemata, Datensätzen und Zielgruppen hinzufügen können.

  1. Erstellen Sie Ihr Schema. Weitere Informationen sind in dieser Dokumentation verfügbar.

  2. Im neu erstellten Schema fügen wir zunächst die Feldergruppe Demografische Details hinzu, die das Feld Staatsangehörigkeit enthält.

  3. Überprüfen Sie auf der Registerkarte Label den Namen des eingeschränkten Feldes, hier Staatsangehörigkeit. Wählen Sie dann im Menü des rechten Fensterbereichs die Option Bearbeiten von Governance-Titeln.

    Bearbeiten von Governance-Labels für ein Feld

  4. Wählen Sie die entsprechenden Labels aus. In diesem Fall können die C2-Daten nicht an einen Drittanbieter exportiert werden. Eine detaillierte Liste der verfügbaren Labels finden Sie auf dieser Seite.

  5. Das Schema kann bei Bedarf weiter personalisiert und dann aktiviert werden. Die detaillierten Schritte zum Aktivieren des Schemas befinden sich auf dieser Seite.

Das Feld des Schemas ist nun nur noch für Benutzende sichtbar und verwendbar, die Teil eines Rollensatzes mit dem Label „C2“ sind. Beim Anwenden eines Labels auf den Feldnamen, wird das Label automatisch auf das Feld Staatsangehörigkeits in jedem erstellten Schema angewendet.

Zugriff auf Objekte mit Labels in Adobe Journey Optimizer attribute-access-ajo

Nachdem der Feldname Staatsangehörigkeit in einem neuen Schema und einer neuen Rolle gekennzeichnet wurde, kann die Auswirkung dieser Einschränkung in Adobe Journey Optimizer beobachtet werden. In diesem Beispiel:

  • Die bzw. der Benutzende X, die bzw. der Zugriff auf Objekte mit dem Label „C2“ hat, erstellt eine Journey mit einer Bedingung, die auf den eingeschränkten Feldnamen abzielt.
  • Eine zweite Benutzende bzw. ein zweiter Benutzender Y ohne Zugriff auf Objekte mit dem Label „C2“ versucht, die Journey zu veröffentlichen.
  1. In Adobe Journey Optimizer muss zunächst die Datenquelle mit dem neuen Schema konfiguriert werden.

    Konfigurieren der Datenquelle

  2. Fügen Sie eine neue Feldergruppe Ihres neu erstellten Schemas zur integrierten Datenquelle hinzu. Sie können auch eine neue externe Datenquelle und zugehörige Feldergruppen erstellen.

    Hinzufügen einer Feldergruppe zur Datenquelle

  3. Nach Auswahl des zuvor erstellten Schemas klicken Sie in der Kategorie Felder auf Bearbeiten.

  4. Wählen Sie den Feldnamen aus, den Sie ansprechen möchten. Hier wählen wir das eingeschränkte Feld Staatsangehörigkeit.

  5. Erstellen Sie eine Journey, die Benutzenden mit einer bestimmten Staatsangehörigkeit eine E-Mail sendet. Fügen Sie ein Ereignis und dann eine Bedingung hinzu.

  6. Wählen Sie das eingeschränkte Feld Staatsangehörigkeit aus, um mit der Erstellung Ihres Ausdrucks zu beginnen.

  7. Bearbeiten Sie Ihre Bedingung, um eine bestimmte Population mit eingeschränktem Feld Staatsangehörigkeit anzusprechen.

  8. Personalisieren Sie Ihre Journey nach Bedarf. Hier fügen wir die Aktion E-Mail hinzu.

    Hinzufügen einer E-Mail-Aktion zur Journey

Wenn die bzw. der Benutzende Y ohne Zugriff auf Objekte mit dem Label „C2“ auf diese Journey mit dem eingeschränkten Feld zugreifen muss, geschieht Folgendes:

  • Die bzw. der Benutzende Y kann den eingeschränkten Feldnamen nicht verwenden, da er nicht sichtbar ist.
  • Die bzw. der Benutzende Y kann den Ausdruck mit dem eingeschränkten Feldnamen im erweiterten Modus nicht bearbeiten. Der folgende Fehler wird angezeigt: The expression is invalid. Field is no longer available or you do not have enough permission to see it.
  • Die bzw. der Benutzende Y kann den Ausdruck löschen.
  • Die bzw. der Benutzende Y kann die Journey nicht testen.
  • Die bzw. der Benutzende Y kann die Journey nicht veröffentlichen.
KI-Wissensreferenz

Dieser Abschnitt enthält strukturiertes Wissen zur Unterstützung von Interpretation, Abrufen und Antworten auf Fragen zu diesem Thema.

Zum vollständigen Verständnis sollten diese Informationen mit der Dokumentation auf dieser Seite kombiniert werden. Keine der beiden Quellen ist für Einzelpersonen gedacht. Die Seite beschreibt die Funktion, während dieser Abschnitt zusätzlichen Kontext bietet, der dabei hilft, Begriffe, Absichten, Anwendbarkeit und Begrenzungen zu unterscheiden.

  • TL;DR: Schützen Sie sensible Datenfelder in Journey Optimizer, indem Sie Governance-Kennzeichnungen auf Schemafelder anwenden und Rollen entsprechende Kennzeichnungen zuweisen, sodass nicht autorisierte Benutzende keine Journey anzeigen, bearbeiten, testen oder veröffentlichen können, die diese eingeschränkten Felder verwenden.

intents:

  • Erstellen Sie eine Rolle und weisen Sie eine Governance-Kennzeichnung zu, um den Zugriff auf bestimmte Schemafelder zu beschränken
  • Anwenden einer Kennzeichnung auf ein Schemafeld in Adobe Experience Platform, um Zugriffsbeschränkungen zu erzwingen
  • Verwenden eines gekennzeichneten Schemafelds auf einer Journey Optimizer-Journey
  • Erfahren Sie, wie Benutzende ohne die erforderliche Kennzeichnung in Journey auf Zugriffsbeschränkungen zugreifen können
  • Verwalten von Rollen, Richtlinien und Produkten über die attributbasierte Zugriffssteuerungs-API

Glossar:

  • ABAC (Attribute-based Access Control, attributbasierte Zugriffssteuerung): Eine Funktion zur Definition von Berechtigungen zum Verwalten des Datenzugriffs für bestimmte Teams oder Benutzergruppen basierend auf Attributen wie Kennzeichnungen (produktspezifisch)
  • Rolle: Eine Gruppe von Benutzern mit denselben Berechtigungen, Kennzeichnungen und Sandboxes innerhalb einer Organisation (produktspezifisch)
  • Label: Eine Governance-Markierung (z. B. C2), die auf Schemafelder, Datensätze oder Zielgruppen angewendet wird, um zu steuern, welche Rollen auf sie zugreifen können (produktspezifisch)
  • Policy: Eine Konfiguration, die vor der Verwaltung von Berechtigungen für eine Rolle erstellt werden muss - Voraussetzung für ABAC (produktspezifisch)
  • XDM-Schema: Experience-Datenmodellschema, das zum Definieren der Datenstruktur in Adobe Experience Platform verwendet wird (produktspezifisch)

Leitplanken:

  • Eine Richtlinie muss erstellt werden, bevor Berechtigungen für eine Rolle verwaltet werden können (Voraussetzung, wie im wichtigen Hinweis auf der Seite angegeben)
  • Eine falsche Verwendung von Kennzeichnungen kann den Zugriff für Personen- und Trigger-Richtlinienverletzungen unterbrechen (wie in der Warnung auf der Seite angegeben)
  • Benutzende ohne einer Kennzeichnung, die mit einem eingeschränkten Feld übereinstimmt, können den eingeschränkten Feldnamen nicht anzeigen, Ausdrücke bearbeiten, die im erweiterten Modus darauf verweisen, die Journey testen oder die Journey veröffentlichen

Terminologie:

  • Kanonischer Name: Attributbasierte Zugriffssteuerung — Akronym: ABAC — Varianten: Attributbasierte Zugriffsverwaltung
  • Kanonischer Name: Experience-Datenmodell — Akronym: XDM — Varianten: XDM-Schema, XDM-Schemata
  • Synonyme: „Label“ = „Governance-Kennzeichnung“ = „Data Governance-Kennzeichnung“
  • Verwechseln Sie nicht: „Rolle“ (eine Benutzergruppe mit freigegebenen Berechtigungen und Beschriftungen) ≠ „Richtlinie“ (Regeln zur Durchsetzung des Datenzugriffs basierend auf Beschriftungen)
  • Verwechseln Sie nicht: ABAC (steuert den Zugriff auf Schemafelder, Datensätze und Zielgruppen über Kennzeichnungsrichtlinien auf Plattformebene) ≠ OLAC (steuert den Zugriff auf bestimmte Journey Optimizer-Objekte wie Journey und Kampagnen)

FAQ:

  • F: Können Kennzeichnungen zu integrierten Rollen hinzugefügt werden? — Ja, Kennzeichnungen können sowohl benutzerdefinierten als auch integrierten Rollen hinzugefügt werden.
  • F: Was geschieht mit einem Anwender, dem die Bezeichnung für ein eingeschränktes Feld auf einer Journey fehlt? — Das Feld ist für sie nicht sichtbar; sie können keine Ausdrücke bearbeiten, die darauf verweisen, die Journey testen oder die Journey veröffentlichen.
  • F: Können Kennzeichnungen auf andere Objekte als Schemafelder angewendet werden? — Ja. Kennzeichnungen können auch auf Schemata, Datensätze und Zielgruppen angewendet werden.
  • F: Gibt es eine API zum Verwalten von Rollen, Richtlinien und Produkten mit ABAC? — Ja; auf Rollen, Richtlinien und Produkte kann über die attributbasierte Zugriffssteuerungs-API zugegriffen werden.
recommendation-more-help
journey-optimizer-help