アクセス制御の概要
Experience Platformのアクセス制御は、Adobe Admin Consoleを介して提供されます。 この機能は、Admin Consoleの製品プロファイルを利用して、ユーザーを権限とサンドボックスにリンクします。
アクセス制御階層とワークフロー
Experience Platformのアクセス制御を設定するには、Experience Platform製品統合を持つ組織の管理者権限が必要です。 権限を付与または取り消す最小の役割は、製品プロファイル管理者です。権限を管理できる他の管理者の役割は、 製品管理者(製品内のすべてのプロファイルを管理)とシステム管理者(制限なし)です。詳しくは、管理者の役割に関する Adobe Help Center の記事を参照してください。
これ以降、このドキュメントでの「管理者」は、(前述の説明に従って)製品プロファイル管理者以上を指します。
アクセス権限を取得し、割り当てるための高度なワークフローを、次のように要約できます。
- Adobe Experience Platformのライセンス認証、またはExperience Platformを使用するアプリケーション/アプリケーションサービスのライセンス認証が完了すると、ライセンス認証時に指定した管理者に電子メールが送信されます。
- 管理者は Adobe Admin Console にログインし、概要ページの製品のリストから Adobe Experience Platform を選択します。
- 管理者は、必要に応じて、デフォルトの製品プロファイルを表示、または新しい顧客製品プロファイルを作成できます。
- 管理者は、既存の製品プロファイルの権限とユーザーを編集できます。
- 製品プロファイルを作成または編集する際に、usersタブを使用してプロファイルにユーザーを追加し、permissionsタブにアクセスして、「Read Datasets」や「Manage Users」などの権限を付与します。 同様に、管理者は同じ「権限」タブを使用してサンドボックスにアクセス権を割り当てることができます。
- ユーザーがExperience Platformユーザーインターフェイスにログインすると、Platform機能へのアクセスは、手順2で許可された権限によって決まります。 例えば、ユーザーが「表示データセット」権限を持っていない場合、サイドメニューの「データセット」タブは表示されません。
Experience Platformでアクセス制御を管理する方法について詳しくは、アクセス制御ユーザーガイドを参照してください。
Experience Platform APIに対するすべての呼び出しは権限に関して検証され、適切な権限が現在のユーザーコンテキストで見つからない場合はエラーを返します。 UI 内では、現在のユーザーに付与されている権限に応じて、要素が非表示になるか変更されます。
Adobe Admin Console
Adobe Admin Console は、アドビ製品の権限を管理し、組織のアクセス権を一元的に管理するためのツールです。コンソールから、「データセットの管理」、「表示データセット」、「プロファイルの管理」など、様々なPlatform機能に対するユーザーのアクセス権限を付与できます。
製品プロファイル
Admin Consoleでは、製品プロファイルを使用してユーザーに権限が割り当てられます。 製品プロファイルを使用すると、1 人または複数のユーザーに権限を付与でき、また、製品プロファイルを通じて割り当てられるサンドボックスの範囲に対するアクセス権を含めることができます。ユーザーは、組織に属する 1 つ以上の製品プロファイルに割り当てることができます。
デフォルトの製品プロファイル
Experience Platform には、事前設定済みのデフォルト製品プロファイルが2つ用意されています。次の表に、各デフォルトプロファイルで提供される内容を示します。これには、ユーザーがアクセスを許可するサンドボックスと、そのサンドボックスの範囲内で許可する権限が含まれます。
| 製品プロファイル | サンドボックスアクセス | 権限 |
|---|---|---|
| 既定の実稼働環境のフルアクセス | 実稼動 | Experience Platformに適用されるすべての権限(Sandbox管理権限を除く)。 |
| Sandbox管理者 | なし | サンドボックス管理権限へのアクセスのみを提供します。 |
サンドボックスと権限
非実稼働サンドボックスは、他のサンドボックスからデータを分離できるデータ仮想化の一種で、通常は開発実験、テストまたは試用に使用されます。製品プロファイルの権限は、プロファイルがアクセスを許可されたSandbox環境内のPlatform機能へのアクセスをユーザに与えます。 デフォルトのExperience Platformライセンスでは、5つのサンドボックス(1つの実稼働環境と4つの非実稼働環境)が許可されます。 10個の非実稼動用サンドボックス(合計75個まで)のパックを追加できます。 詳しくは、IMS組織管理者またはAdobeのセールス担当者にお問い合わせください。
Experience Platformのサンドボックスの詳細については、サンドボックスの概要を参照してください。
サンドボックスへのアクセス
サンドボックスへのアクセスは、製品のプロファイルを通じて管理されます。製品プロファイルのサンドボックスへのアクセスを有効にする手順について詳しくは、『アクセス制御ユーザーガイド』を参照してください。
ユーザーには、製品プロファイル内の 1 つ以上のサンドボックスへのアクセス権を付与できます。1 人のユーザーが複数の製品プロファイルに含まれている場合、そのユーザーはそれらのプロファイルに含まれるすべてのサンドボックスにアクセスできます。
「サンドボックスの管理」権限を使用すると、ユーザーはサンドボックスの管理、表示またはリセットをおこなえます。
権限
製品プロファイル内の「権限」タブには、そのプロファイル:に対してアクティブなサンドボックスと権限が表示されます。
Admin Consoleを通じて与えられる権限はカテゴリ順に並べ替えられ、低レベルの機能に対するアクセス権を与える権限もあります。
次の表に、Admin Consoleで使用できるExperience Platformの権限と、Platformがアクセス権を付与した特定の機能の説明を示します。 製品プロファイルに権限を追加する手順について詳しくは、『アクセス制御ユーザーガイド』を参照してください。
| カテゴリ | 権限 | 説明 |
|---|---|---|
| Data Modeling | スキーマの管理 | 各スキーマと関連リソースへの読み取り、作成、編集および削除アクセス |
| Data Modeling | スキーマの表示 | スキーマおよび関連リソースへの読み取り専用アクセス |
| Data Modeling | 関係の管理 | スキーマ関係の読み取り、作成、編集、削除を行うことができます。 |
| Data Modeling | IDメタデータの管理 | スキーマのIDメタデータの読み取り、作成、編集および削除を行うことができます。 |
| Data Management | データセットの管理 | データセットへの読み取り、作成、編集、削除アクセススキーマへの読み取り専用アクセス |
| Data Management | データセットの表示 | データセットおよびスキーマへの読み取り専用アクセス |
| Data Management | データ監視 | 監視データセットおよびストリームへの読み取り専用アクセス |
| Profile Management | プロファイルの管理 | 顧客プロファイルに使用するデータセットへの読み取り、作成、編集、削除アクセス使用可能なプロファイルへの読み取り専用アクセス |
| Profile Management | プロファイルの表示 | 使用可能なプロファイルへの読み取り専用アクセス |
| Profile Management | セグメントの管理 | セグメントの読み取り、作成、編集および削除を行うことができます。 |
| Profile Management | 表示セグメント | 使用可能なセグメントへの読み取り専用アクセス権。 |
| Profile Management | 結合ポリシーの管理 | 読み取り、作成、編集および削除のマージポリシーへのアクセス権。 |
| Profile Management | 表示結合ポリシー | 使用可能なマージポリシーへの読み取り専用アクセス権。 |
| Profile Management | セグメントのオーディエンスの書き出し | 評価済みのデータセットセグメントをオーディエンスセットに書き出す機能 |
| Profile Management | オーディエンスへのセグメントの評価 | セグメント定義を評価して、オーディエンスのプロファイルを生成する機能。 |
| Identities | ID 名前空間の管理 | ID 名前空間への読み取り、作成、編集および削除アクセス |
| Identities | ID 名前空間の表示 | ID 名前空間への読み取り専用アクセス |
| Sandbox Administration | サンドボックスの管理 | サンドボックスへの読み取り、作成、編集、削除アクセス |
| Sandbox Administration | サンドボックスの表示 | 組織に属するサンドボックスへの読み取り専用アクセス |
| Sandbox Administration | サンドボックスのリセット | サンドボックスをリセットする機能 |
| Destinations | 宛先の管理 | 宛先への読み取り、作成、編集、無効化アクセス |
| Destinations | 宛先の表示 | 「カタログ」タブの使用可能な宛先と「参照」タブの認証済みの宛先への読み取り専用アクセス。 |
| Destinations | 宛先のアクティブ化 | 作成済みのアクティブな宛先に対するデータのアクティブ化機能この権限を持つユーザーは、「表示の宛先」または「宛先の管理」を、宛先をアクティブ化するユーザーに付与する必要があります。 |
| Data Ingestion | ソースの管理 | ソースへの読み取り、作成、編集、無効化アクセス |
| Data Ingestion | ソースの表示 | 「カタログ」タブでの使用可能なソースおよび「参照」タブでの認証済みのソースへの読み取り専用アクセス |
| Data Science Workspace | Data Science Workspace の管理 | Data Science Workspace内の読み取り、作成、編集、および削除へのアクセス権。 |
| Data Governance | データ使用量ラベルの適用 | 使用状況ラベルの読み取り、作成、削除を行う。 |
| Data Governance | データ使用ポリシーの管理 | データ使用ポリシーの読み取り、作成、編集および削除にアクセスできます。 |
| Data Governance | 表示データ使用ポリシー | 組織に属するデータ使用ポリシーに対する読み取り専用アクセス権。 |
| Query Service | クエリの管理 | プラットフォームデータの構造化SQLクエリの読み取り、作成、編集および削除を行う。 |
次の手順
このガイドを読むことで、Experience Platformのアクセス制御の主な原則を紹介しました。 これで、Admin Consoleを使用して製品プロファイルを作成し、Platformに権限を割り当てる方法の詳細手順については、アクセス制御ユーザーガイドに進むことができます。
このページ
