基于属性的访问控制端到端指南

基于属性的访问控制是Adobe Experience Platform的一项功能,它使多品牌和注重隐私的客户能够更灵活地管理用户访问。 可以使用基于对象的属性和角色的策略来授予/拒绝对单个对象(如架构字段和区段)的访问。 通过此功能,您可以授予或撤销组织中特定Platform用户对各个对象的访问权限。

此功能允许您使用定义组织或数据使用范围的标签对架构字段、区段等进行分类。 您可以将这些相同的标签应用到Adobe Journey Optimizer中的历程、选件和其他对象。 同时,管理员可以定义围绕Experience Data Model (XDM)架构字段的访问策略,并更好地管理哪些用户或组(内部、外部或第三方用户)可以访问这些字段。

注意

本文档重点介绍访问控制策略的用例。 如果您尝试设置策略来管理 使用 ,而不是哪些Platform用户有权访问它,请参见 数据治理 而是。

快速入门

本教程需要深入了解以下平台组件:

用例概述

您将经历一个基于属性的访问控制工作流示例,在此工作流中,您将创建和分配角色、标签和策略以配置用户是否可以访问组织中的特定资源。 本指南使用限制访问敏感数据的示例来演示工作流程。 此用例概述如下:

您是一家医疗保健提供商,希望配置对组织中资源的访问权限。

  • 您的内部营销团队应该能够访问 PHI/管控的健康数据 数据。
  • 您的外部机构应该无法访问 PHI/管控的健康数据 数据。

为此,您必须配置角色、资源和策略。

您将会:

权限

权限 是Experience Cloud区域,管理员可以在该区域中定义用户角色和策略来管理产品应用程序内功能和对象的权限。

到 权限,您可以创建和管理角色,并为这些角色分配所需的资源权限。 权限还允许您管理与特定角色关联的标签、沙盒和用户。

如果您没有管理员权限,请与系统管理员联系以获得访问权限。

拥有管理员权限后,转到 Adobe Experience Cloud 并使用您的Adobe凭据登录。 登录后, 概述 此时将显示您拥有管理员权限的组织对应的页面。 此页面显示贵组织订阅的产品以及用于将用户和管理员添加到该组织的其他控件。 选择 权限 以打开用于您的平台集成的工作区。

该图像显示了在Adobe Experience Cloud中选择的权限产品

此时将显示Platform UI的权限工作区,该工作区将在 角色 页面。

将标签应用于角色

角色是对与Platform实例交互的用户类型进行分类的方法,是访问控制策略的构建块。 角色具有一组给定的权限,您可以将组织成员分配给一个或多个角色,具体取决于他们需要的访问范围。

要开始配置,请选择 ACME业务组角色 页面。

显示在角色中选择的ACME业务角色的图像

接下来,选择 标签 然后选择 添加标签.

该图像显示在“标签”选项卡上选择的“添加标签”

此时将显示组织中所有标签的列表。 选择 RHD 添加标签 PHI/受管控的健康数据. 等待片刻,让标签旁边出现一个蓝色复选标记,然后选择 保存.

显示正在选择和保存的RHD标签的图像

注意

将组织组添加到角色时,该组中的所有用户都将添加到该角色。 对组织组所做的任何更改(删除或添加的用户)都将在角色中自动更新。

将标签应用于架构字段

现在,您已使用配置用户角色 RHD 标签,下一步是将相同的标签添加到要为该角色控制的资源。

选择 架构 从左侧导航中,然后选择 ACME医疗保健 从显示的架构列表中。

显示从“架构”选项卡中选择的ACME医疗保健架构的图像

接下来,选择 标签 查看显示与架构关联字段的列表。 在此处,您可以一次性将标签分配给一个或多个字段。 选择 血糖胰岛素水平 字段,然后选择 应用访问和数据治理标签.

显示正在选择血糖和胰岛素水平的图像,并应用正在选择的访问和数据治理标签

编辑标签 对话框,允许您选择要应用于架构字段的标签。 对于此用例,选择 PHI/管控的健康数据 标签,然后选择 保存.

显示正在选择和保存的RHD标签的图像

注意

当标签添加到字段时,该标签将应用于该字段的父资源(类或字段组)。 如果父类或字段组被其他架构使用,则这些架构将继承相同的标签。

将标签应用于区段

完成为架构字段设置标签后,您现在可以开始为区段设置标签。

选择 区段 从左侧导航栏中。 此时将显示组织中可用的区段列表。 在本例中,将标记以下两个区段,因为它们包含敏感的运行状况数据:

  • 血糖>100
  • 胰岛素<50

选择 血糖>100 以开始标记区段。

显示从“区段”选项卡中选择的血糖> 100的图像

区段 详细信息 屏幕。 选择 管理访问权限.

显示已选择管理访问权限的图像

编辑标签 对话框,允许您选择要应用于区段的标签。 对于此用例,选择 PHI/管控的健康数据 标签,然后选择 保存.

显示选定的RHD标签和保存的图像

重复上述步骤,使用 胰岛素<50.

激活访问控制策略

默认访问控制策略将利用标签来定义哪些用户角色有权访问特定平台资源。 在此示例中,对于不在架构字段中具有相应标签的角色中的用户,将拒绝他们在所有沙盒中访问架构字段和区段。

要激活访问控制策略,请选择 权限 从左侧导航中,然后选择 策略.

显示的策略列表

接下来,选择省略号(...),此时下拉菜单会显示用于编辑、激活、删除或复制角色的控件。 选择 激活 从下拉菜单中查找。

用于激活策略的下拉列表

此时将显示激活策略对话框,提示您确认激活。 选择 确认.

“激活策略”对话框

收到策略激活确认函,您将返回到 策略 页面。

激活策略确认

后续步骤

您已完成将标签应用于角色、架构字段和区段。 分配给这些角色的外部机构无法查看这些标签及其在架构、数据集和配置文件视图中的值。 在使用区段生成器时,也不允许在区段定义中使用这些字段。

有关基于属性的访问控制的详细信息,请参见 基于属性的访问控制概述.

在此页面上