属性ベースのアクセス制御エンドツーエンドガイド

属性ベースのアクセス制御は、Adobe Experience Platformの機能で、マルチブランドやプライバシーを意識するお客様が、ユーザーアクセスを柔軟に管理できるようにします。 スキーマフィールドやセグメントなどの個々のオブジェクトへのアクセスは、オブジェクトの属性と役割に基づくポリシーを使用して許可/拒否できます。 この機能を使用すると、組織内の特定の Platform ユーザーに対する個々のオブジェクトへのアクセスを許可または取り消すことができます。

この機能を使用すると、スキーマフィールドやセグメントなどを、組織やデータの使用範囲を定義するラベルで分類できます。 これらの同じラベルを、Adobe Journey Optimizerのジャーニー、オファー、その他のオブジェクトに適用できます。 同時に、管理者は、Experience Data Model(XDM) スキーマフィールドに関するアクセスポリシーを定義し、それらのフィールドにアクセスできるユーザーやグループ(内部、外部、サードパーティのユーザー)をより詳細に管理できます。

メモ

このドキュメントでは、アクセス制御ポリシーの使用例に焦点を当てます。 を制御するポリシーを設定する場合は、 use を参照してください。 データガバナンス 代わりに、

はじめに

このチュートリアルでは、次の Platform コンポーネントに関する十分な知識が必要です。

使用例の概要

属性ベースのアクセス制御ワークフローの例を使用して、ロール、ラベル、ポリシーを作成および割り当て、ユーザーが組織内の特定のリソースにアクセスできるかどうかを設定します。 このガイドでは、機密データへのアクセスを制限する例を使用して、ワークフローを示します。 この使用例を次に示します。

医療機関であり、組織内のリソースへのアクセスを設定する場合。

  • 社内のマーケティングチームが PHI/規制対象の健康データ データ。
  • 外部の代理店がにアクセスできない PHI/規制対象の健康データ データ。

これをおこなうには、役割、リソース、ポリシーを設定する必要があります。

以下をおこないます。

権限

権限 は、管理者がExperience Cloudの領域で、製品アプリケーション内の機能とオブジェクトに対する権限を管理するためのユーザーの役割とポリシーを定義できます。

~ 権限を使用すると、役割を作成および管理し、これらの役割に対する必要なリソース権限を割り当てることができます。 また、権限では、特定の役割に関連付けられたラベル、サンドボックス、ユーザーを管理することもできます。

管理者権限がない場合は、システム管理者に問い合わせてアクセス権を取得してください。

管理者権限を取得したら、に移動します。 Adobe Experience Cloud にログインし、Adobeの資格情報を使用してログインします。 ログイン後、 概要 管理権限を持つ組織のページが表示されます。 このページには、組織が購読している製品と、組織にユーザーおよび管理者を追加するためのその他のコントロールが表示されます。 選択 権限 をクリックして、Platform 統合用のワークスペースを開きます。

Adobe Experience Cloudで選択されている権限製品を示す画像

Platform UI の権限ワークスペースが表示され、 役割 ページに貼り付けます。

ロールへのラベルの適用

役割は、Platform インスタンスとやり取りするユーザーのタイプを分類する方法で、アクセス制御ポリシーの構成要素です。 ロールには特定の権限セットがあり、組織のメンバーは、必要なアクセス範囲に応じて、1 つ以上のロールに割り当てることができます。

利用を開始するには、「 ACME ビジネスグループ から 役割 ページに貼り付けます。

「ロール」で選択されている ACME ビジネスロールを示す画像

次に、「 ラベル 次に、「 ラベルを追加.

「ラベル」タブで「ラベルを追加」が選択されていることを示す画像

組織内のすべてのラベルのリストが表示されます。 選択 RHD ラベルを追加するには PHI/規制対象の健康データ. ラベルの横に青いチェックマークが表示されるまでしばらく待ってから、を選択します。 保存.

選択して保存される RHD ラベルを示す画像

メモ

組織グループを役割に追加する場合、そのグループ内のすべてのユーザーが役割に追加されます。 組織グループに対する変更(削除または追加されたユーザー)は、ロール内で自動的に更新されます。

スキーマフィールドへのラベルの適用

これで、 RHD ラベルを設定する場合は、次に、そのロールに対して制御するリソースに同じラベルを追加します。

選択 スキーマ 左のナビゲーションから、「 」を選択します。 ACME Healthcare 表示されるスキーマのリストから。

「スキーマ」タブから選択された ACME Healthcare スキーマを示す画像

次に、「 ラベル をクリックすると、スキーマに関連付けられたフィールドを表示するリストが表示されます。 ここから、1 つまたは複数のフィールドに一度にラベルを割り当てることができます。 を選択します。 血糖 および InsulinLevel フィールドを選択し、 アクセスおよびデータガバナンスラベルの適用.

BloodGucode と InsulneLevel が選択され、アクセスとデータガバナンスのラベルが選択されていることを示す画像

The ラベルを編集 ダイアログが表示され、スキーマフィールドに適用するラベルを選択できます。 この使用例では、 PHI/規制対象の健康データ ラベルを選択し、「 保存.

選択して保存される RHD ラベルを示す画像

メモ

フィールドにラベルを追加すると、そのラベルがそのフィールドの親リソース(クラスまたはフィールドグループ)に適用されます。 親クラスまたはフィールドグループが他のスキーマで使用されている場合、これらのスキーマは同じラベルを継承します。

セグメントへのラベルの適用

スキーマフィールドのラベル付けが完了したら、セグメントのラベル付けを開始できます。

選択 セグメント をクリックします。 組織で使用可能なセグメントのリストが表示されます。 この例では、次の 2 つのセグメントに、機密性の高いヘルスデータが含まれるので、ラベルが付けられます。

  • 血糖 > 100
  • インスリン <50

選択 血糖 > 100 をクリックして、セグメントのラベル付けを開始します。

[ セグメント ] タブから選択された血糖値が 100 を超えている画像

セグメント 詳細 画面が表示されます。 選択 アクセスを管理.

「アクセスを管理」の選択を示す画像

The ラベルを編集 ダイアログが表示され、セグメントに適用するラベルを選択できます。 この使用例では、 PHI/規制対象の健康データ ラベルを選択し、「 保存.

RHD ラベルの選択と選択中の保存を示す画像

上記の手順を インスリン <50.

アクセス制御ポリシーを有効にする

デフォルトのアクセス制御ポリシーでは、ラベルを使用して、特定の Platform リソースに対するアクセス権を持つユーザーロールを定義します。 この例では、スキーマフィールドに対応するラベルを持つ役割を持たないユーザーの場合、すべてのサンドボックスで、スキーマフィールドとセグメントへのアクセスが拒否されます。

アクセス制御ポリシーを有効にするには、 権限 左のナビゲーションから、「 」を選択します。 ポリシー.

表示されるポリシーのリスト

次に、省略記号 (...) をクリックします。ドロップダウンに、役割を編集、アクティブ化、削除または複製するためのコントロールが表示されます。 選択 有効化 をドロップダウンから選択します。

ポリシーを有効にするドロップダウン

ポリシーのアクティベートダイアログが表示され、アクティベートを確認するプロンプトが表示されます。 選択 確認.

ポリシーをアクティブ化ダイアログ

ポリシーのアクティベーションの確認を受け取り、 ポリシー ページに貼り付けます。

ポリシーの有効化の確認

次の手順

ロール、スキーマフィールド、セグメントへのラベルの適用が完了している。 これらの役割に割り当てられた外部エージェントでは、スキーマ、データセット、プロファイル表示で、これらのラベルとその値の表示が制限されます。 また、セグメントビルダーを使用する際、これらのフィールドは、セグメント定義で使用できません。

属性ベースのアクセス制御の詳細については、属性ベースのアクセス制御の概要を参照してください。

次のビデオは、属性ベースのアクセス制御に関する理解を深め、役割、リソース、ポリシーの設定方法の概要を説明しています。

このページ