基于属性的访问控制概述

重要

目前,基于属性的访问控制在面向美国医疗保健客户的有限版本中提供。 此功能在完全发布后将可供所有Real-time Customer Data Platform客户使用。

基于属性的访问控制是Adobe Experience Platform的一项功能,它使管理员能够根据属性控制对特定对象和/或功能的访问。 属性可以是添加到对象的元数据,如添加到架构字段或区段的标签。 管理员定义包含属性的访问策略以管理用户访问权限。

利用此功能,可为体验数据模型(XDM)架构字段设置标签,以定义组织或数据使用范围。 同时,管理员可以使用用户和角色管理界面来定义围绕XDM架构字段的访问策略,并更好地管理为用户或用户组(内部、外部或第三方用户)授予的访问权限。 此外,基于属性的访问控制允许管理员管理对特定区段的访问。

通过基于属性的访问控制,贵组织的管理员可以控制用户对所有平台工作流和资源中敏感个人数据(SPD)和个人身份信息(PII)的访问。 管理员可以定义用户角色,这些用户角色只能访问与这些字段对应的特定字段和数据。

基于属性的访问控制术语

基于属性的访问控制涉及以下组件:

术语 定义
属性 属性是指示用户与他们有权访问的平台资源之间的关联的标识符。 属性可以是添加到对象的元数据,如添加到架构字段或区段的标签。 管理员定义包含属性的访问策略以管理用户访问权限。
标签 标签允许您根据应用于该数据的使用策略对数据集和字段进行分类。 标签可随时应用,从而在您选择如何管理数据方面提供了灵活性。 最佳实践是鼓励在将数据摄取到平台后立即为数据设置标签,或者在数据可用于平台后立即为数据设置标签。
权限 权限包括能够查看和/或使用Platform功能,例如创建沙箱、定义架构和管理数据集。
权限集 权限集表示管理员可以应用于角色的一组权限。 管理员可以为角色分配权限集,而不是分配单个权限。 这允许您从包含一组权限的预定义角色创建自定义角色。
支持 政策是将属性集合在一起以确立允许和不允许的行动的声明。 策略可以是本地策略,也可以是全局策略,并且可以覆盖其他策略。
资源 资源是主题可以或不能访问的资产或对象。 资源可以是文件、应用程序、服务器,甚至API。
角色 角色定义管理员、专家或最终用户对您组织中的资源的访问权限。 在基于角色的访问控制环境中,用户访问设置是通过共同的责任和需求分组的。 角色具有一组给定的权限,并且可以根据角色需要的查看或写入权限,将组织的成员分配给一个或多个角色。
主题 主题是请求访问资源以执行操作的用户。
用户群组 用户组是多个已分组在一起并有权执行相同功能的用户。

权限

重要

在您的组织启用了基于属性的访问控制后,您可以开始使用Adobe Experience Cloud上的权限(而不是Adobe Admin Console中的产品配置文件)来管理组织中用户、功能、标签和其他资源的权限。

权限是Experience Cloud区域,管理员可以在其中定义用户角色和访问策略,以管理产品应用程序中功能和对象的访问权限。

通过权限,您可以创建和管理角色,并为这些角色分配所需的资源权限。 权限还允许您管理与特定角色关联的标签、沙箱和用户。 有关更多信息,请参阅 权限指南.

基于属性的访问控制API

基于属性的访问控制API允许您使用API以编程方式管理Platform中的角色、策略和产品。 有关详细信息,请参阅 使用API管理基于属性的访问控制配置.

Adobe Experience Platform中基于属性的访问控制

以下各节提供了如何将基于属性的访问控制集成到平台其他组件的信息:

访问控制

平台利用 Adobe Admin Console 产品配置文件,用于将用户与权限和沙箱关联。 权限控制对各种平台功能的访问,包括数据建模、配置文件管理和沙盒管理。 在您的组织启用了基于属性的访问控制后,您可以开始使用Adobe Experience Cloud上的权限(而不是Adobe Admin Console中的产品配置文件)来管理组织中用户、功能、标签和其他资源的权限。

有关访问控制的更多信息,请参阅 访问控制概述.

目标

Destinations 是与目标平台的预建集成,允许从平台无缝激活数据。 您可以使用目标来激活跨渠道营销活动、电子邮件促销活动、定向广告和许多其他用例的已知和未知数据。

作为管理员,您可以使用基于属性的访问控制功能来:

  • 根据角色、权限和标签配置用户访问权限,以查看激活过程中的特定区段;
    • 在激活过程中,用户可能需要选择要激活到目标的区段。 作为管理员,您可以对组织中的用户进行配置,以仅查看带有用户有权访问的标签的区段,以及不包含任何标签的区段。
  • 根据角色、权限和标签配置用户访问权限以查看激活过程中的特定字段;
    • 在激活过程中,用户可能需要选择要激活到目标的字段。 作为管理员,您可以对组织中的用户进行配置,以便仅查看带有用户有权访问的标签的字段以及不包含任何标签的字段。

有关 Destinations,请参阅 Destinations 概述.

身份服务

Adobe Experience Platform Identity Service 通过跨设备和系统桥接身份,使您能够实时提供有影响的个人数字体验,从而帮助您更好地了解客户及其行为。

作为基于属性的访问控制的一部分, view-identity-graph 权限允许您确定贵组织中哪些用户可以通过用户界面或API访问身份图。 有关详细信息,请参阅 使用身份图查看器.

有关 Identity Service,请参阅 Identity Service 概述.

实时客户个人资料

无论客户在何处或何时与您的品牌进行交互,平台都使您能够为客户提供协调一致的相关体验。 通过实时客户资料,您可以查看每个客户的整体视图,该视图将来自多个渠道的数据(包括在线、离线、CRM和第三方数据)进行整合。 利用用户档案,可将不同的客户数据整合到统一视图中,为每次客户互动提供一个可操作且加盖时间戳的帐户。

作为管理员,您可以使用基于属性的访问控制功能来:

  • 根据角色、权限和标签配置用户对特定配置文件属性的访问权限;
    • 作为管理员,您可以配置组织中的用户,以便仅查看带有用户有权访问的标签的配置文件属性以及不包含任何标签的配置文件属性;
    • 作为管理员,您可以在组织中设置用户,以便在创建区段时,仅查看带有用户有权访问的标签的配置文件属性;
  • 通过为数据模型的XDM架构中使用的特定数据字段设置标签,配置用户对数据预览的访问权限。

有关用户档案的更多信息,请参阅 配置文件概述.

分段服务

Segmentation Service 通过描述区分客户群中可销售人群的标准来定义特定的用户档案子集。 区段可以基于记录数据(如人口统计信息)或表示客户与您的品牌交互的时间序列事件。

作为管理员,您可以使用基于属性的访问控制功能来:

  • 根据角色、权限和标签配置用户访问权限以查看和管理特定区段;
    • 作为管理员,在使用分段UI时,您可以对组织中的用户进行配置,以便仅查看带有用户有权访问的标签的区段,以及不包含任何标签的区段。

有关 Segmentation Service,请参阅 Segmentation Service 概述.

XDM

体验数据模型(XDM)是一项开源规范,旨在提高数字体验的功能。 它为任何与平台上的服务通信的应用程序提供了通用结构和定义。 通过遵循XDM标准,可以将所有客户体验数据纳入到通用的表示形式中,以更快、更集成的方式提供洞察。 您可以从客户操作中获得有价值的分析,通过区段定义客户受众,以及将客户属性用于个性化目的。

通过基于属性的访问控制,您可以:

  • 将数据使用情况标签应用于字段组和类. 这允许具有相同字段组或类的多个架构具有具有相同属性的字段标记,具体取决于字段组或类级别的配置;
  • 根据应用于分配给用户的角色的权限集,配置用户对特定XDM架构字段的访问权限。

有关XDM的更多信息,请参阅 XDM概述.

在此页面上