基于属性的访问控制概述
基于属性的访问控制是Adobe Experience Platform的一项功能,它使管理员能够根据属性控制对特定对象和/或功能的访问。 属性可以是添加到对象的元数据,例如添加到架构字段或区段的标签。 管理员定义包括管理用户访问权限的属性的访问策略。
此功能允许您使用定义组织或数据使用范围的标签来标记Experience Data Model (XDM)架构字段。 同时,管理员可以使用用户和角色管理界面定义围绕XDM架构字段的访问策略,并更好地管理授予用户或用户组(内部、外部或第三方用户)的访问权限。 此外,基于属性的访问控制允许管理员管理对特定区段的访问。
切勿将基于属性的访问控制与Experience Platform的数据治理功能混为一谈,后者允许您使用标签和策略来控制数据在Platform中的使用方式,而不是让组织中的哪些用户有权访问数据。 请参阅 数据治理概述 以了解更多信息。
通过基于属性的访问控制,贵组织的管理员可以控制用户对所有平台工作流和资源的敏感个人数据(SPD)、个人身份信息(PII)和自定义类型数据的访问。 管理员可以定义只能访问特定字段以及与这些字段对应的数据的用户角色。
以下视频旨在支持您了解基于属性的访问控制,并概述如何配置角色、资源和策略。
基于属性的访问控制术语
基于属性的访问控制涉及以下组件:
| 术语 | 定义 |
|---|---|
| 属性 | 属性是指示用户与其有权访问的Platform资源之间的关联的标识符。 属性可以是添加到对象的元数据,例如添加到架构字段或区段的标签。 管理员定义包括管理用户访问权限的属性的访问策略。 |
| 标记 | 通过标签,可根据适用于数据的使用策略将数据集和字段分类。您可以随时应用标签,灵活地选择管理数据的方式。 最佳实践鼓励在将数据摄取到Platform中后立即标记数据,或者当数据在Platform中可用时立即标记数据。 |
| 权限 | 权限包括查看和/或使用Platform功能的功能,例如创建沙盒、定义架构和管理数据集。 |
| 权限集 | 权限集表示管理员可以应用于角色的一组权限。 管理员可以为角色分配权限集,而不是分配单个权限。 这允许您从包含一组权限的预定义角色创建自定义角色。 |
| 支持 | 策略是一些语句,它将若干属性组合在一起以确定允许执行和不允许执行的操作。策略可以是本地策略,也可以是全局策略,并且可以覆盖其他策略。 |
| 资源 | 资源是主体可以或无法访问的资源或对象。 资源可以是区段或架构字段。 |
| 角色 | 角色是将与您的 Platform 实例交互的用户的类型分类的方法,还是访问控制策略的构建块。在基于角色的访问控制环境中,用户访问设置是通过共同的责任和需求进行分组的。 一个角色具有一组给定的权限,可将您组织的成员分配给一个或多个角色,具体取决于他们需要的查看或写入访问权限的范围。 |
| 主题 | 主体是请求访问资源以执行操作的用户。 |
| 用户群组 | 用户组是多个已分组在一起的用户,并且有权执行相同的功能。 |
权限
为您的组织启用了基于属性的访问控制后,您可以开始使用Adobe Experience Cloud上的权限而不是Adobe Admin Console中的产品配置文件来管理组织中用户、功能、标签和其他资源的权限。
权限是Experience Cloud的区域,管理员可以在其中定义用户角色和访问策略,以管理产品应用程序中功能和对象的访问权限。
通过 权限,您可以创建和管理角色,并为这些角色分配所需的资源权限。权限还允许您管理与特定角色关联的标签、沙盒和用户。欲了解更多信息,请参见 权限指南.
基于属性的访问控制API
通过基于属性的访问控制API,您可以使用API以编程方式管理Platform中的角色、策略和产品。 有关详细信息,请参阅以下内容中的指南: 使用API管理基于属性的访问控制配置.
Adobe Experience Platform中基于属性的访问控制
以下部分提供了有关如何将基于属性的访问控制集成到Platform的其他组件的信息:
访问控制
平台利用 Adobe Admin Console 产品配置文件,用于将用户与权限和沙盒相关联。 权限控制对各种平台功能的访问,包括数据建模、配置文件管理和沙盒管理。 为您的组织启用了基于属性的访问控制后,您可以开始使用Adobe Experience Cloud上的权限而不是Adobe Admin Console中的产品配置文件来管理组织中用户、功能、标签和其他资源的权限。
对于购买医疗保健和/或隐私保护的客户,基于属性的访问控制的可用性有限。 此功能的功能包括:
-
权限界面:提供了一个界面,供您为基于属性的访问控制定义用户角色、权限和策略。
-
标签设置:为用户角色、架构字段、区段和其他支持的对象添加、编辑和删除标签,以便利用访问控制策略。
正在切换从Admin Console到新权限界面的所有Experience Platform支持的应用程序的管理工作流。
在启用了您的组织后,您的产品配置文件会自动迁移到权限界面。 Admin Console中的产品配置文件将暂时保持不变。 请 不要 在启用组织后,修改产品配置文件。
有关访问控制的详细信息,请参见 访问控制概述.
目标
Destinations 是预先构建的与目标平台的集成,可实现从 Platform 无缝激活数据。您可以使用目标激活已知和未知的数据,用于跨渠道营销活动、电子邮件宣传、定向广告和许多其他用例。
作为管理员,您可以使用基于属性的访问控制功能来:
- 根据角色、权限和标签,配置用户访问权限以在激活过程中查看特定区段;
- 在激活过程中,用户可能需要选择要激活到目标的区段。 作为管理员,您可以将组织中的用户设置为仅查看带有用户有权访问的标签的区段以及不包含任何标签的区段。
- 根据角色、权限和标签,配置用户访问权限以查看激活过程中的特定字段;
- 在激活过程中,用户可能需要选择要激活到目标的字段。 作为管理员,您可以将组织中的用户设置为仅查看标记为用户有权访问的标签的字段,以及不包含任何标签的字段。
总之,在使用目标和基于属性的访问控制时,请牢记以下含义:
- 您只能激活您在中有权访问和查看的区段 区段浏览视图 和 选择区段步骤 激活工作流的。
- 在 激活工作流的映射步骤,则您只能查看和选择您具有访问权限的字段以进行激活。
- 如果您希望将其他区段激活到现有目标,而您无权访问映射为导出的所有字段,则会为您阻止激活工作流。
有关的详细信息 Destinations,请参阅 Destinations 概述.
身份服务
Adobe Experience Platform Identity Service 通过跨设备和系统桥接身份,允许您实时提供有影响力的个人数字体验,从而帮助您更好地了解客户及其行为。
作为基于属性的访问控制的一部分, view-identity-graph 权限允许您确定贵组织中的哪些用户可以通过用户界面或API访问身份图。 有关详细信息,请参阅以下内容中的指南: 使用身份图查看器.
有关的详细信息 Identity Service,请参阅 Identity Service 概述.
实时客户配置文件
Platform 使您能够为客户提供协调、一致且相关的体验,无论他们何时何地与您的品牌互动均是如此。利用实时客户配置文件,您可以看到每个客户的整体视图,其中结合来自多个渠道的数据,包括在线、离线、CRM 和第三方数据。用户档案允许您将不同的客户数据整合到一个统一的视图中,并提供每个客户交互的带时间戳的可操作帐户。
作为管理员,您可以使用基于属性的访问控制功能来:
- 根据角色、权限和标签配置用户对特定配置文件属性的访问权限;
- 作为管理员,您可以将组织中的用户设置为仅查看带有用户有权访问的标签的配置文件属性,以及不包含任何标签的配置文件属性;
- 作为管理员,在创建区段时,您可以在组织中预置用户以仅查看带有用户有权访问的标签的用户档案属性;
- 通过标记数据模型的XDM架构中使用的特定数据字段,配置用户对数据预览的访问权限。
有关配置文件的详细信息,请参阅 配置文件概述.
Segmentation Service
Segmentation Service 通过描述在您的客户群中区分适销人群的标准,来定义特定的配置文件子集。区段可以基于记录数据(例如人口统计信息)或代表客户与您的品牌互动的时间序列事件。
作为管理员,您可以使用基于属性的访问控制功能来:
- 根据角色、权限和标签,配置用户访问权限以查看和管理特定区段;
- 作为管理员,您可以将组织中的用户设置为在使用分段UI时仅查看标记为用户有权访问的标签的区段以及不包含任何标签的区段。
有关的详细信息 Segmentation Service,请参阅 Segmentation Service 概述.
XDM
体验数据模型(XDM)是一种开源规范,旨在提高数字体验的强大功能。 它为任何应用程序与Platform上的服务通信提供通用结构和定义。 通过遵守 XDM 标准,所有客户体验数据都可以合并到一个通用的呈现中,以更快、更加集成的方式提供见解。您可以从客户行为中获得有价值的见解,通过区段定义客户受众,并使用客户属性实现个性化目的。
通过基于属性的访问控制,您可以:
- 将数据使用标签应用于字段组和类. 这允许具有相同字段组或类的多个架构具有使用相同属性标记的字段,具体取决于字段组或类级别的配置;
- 根据应用于分配给用户的角色的权限集,配置用户对特定XDM架构字段的访问权限。
有关XDM的更多信息,请参阅 XDM概述.
Business.Adobe.com 资源
