アクセス制御の概要
Experience Platform のアクセス制御は、Adobe Admin Console を通じて提供されます。この機能は、Admin Console の製品プロファイルを利用して、ユーザーを権限およびサンドボックスにリンクします。
アクセス制御階層とワークフロー
Experience Platform 用にアクセス制御を設定するには、Experience Platform 製品統合を持つ組織の管理者権限が必要です。権限を付与または取り消す最小の役割は、製品プロファイル管理者です。権限を管理できる他の管理者の役割は、 製品管理者(製品内のすべてのプロファイルを管理)とシステム管理者(制限なし)です。詳しくは、 管理者の役割 に関する Adobe Help Center の記事を参照してください。
これ以降、このドキュメントでの「管理者」は、(前述の説明に従って)製品プロファイル管理者以上を指します。
アクセス権限を取得し、割り当てるための高度なワークフローを、次のように要約できます。
- Adobe Experience Platform のライセンス認証、または Experience Platform を使用するアプリケーション/アプリケーションサービスのライセンス認証が完了すると、ライセンス認証時に指定した管理者に電子メールが送信されます。
- 管理者は Adobe Admin Console にログインし、概要ページの製品のリストから Adobe Experience Platform を選択します。
- 管理者は、必要に応じて、デフォルトの製品プロファイルを表示、または新しい顧客製品プロファイルを作成できます。
- 管理者は、既存の製品プロファイルの権限とユーザーを編集できます。
- 製品プロファイルを作成または編集する際、管理者は「ユーザー」タブを使用してプロファイルにユーザーを追加し、「権限」タブにアクセスしてこれらのユーザーに権限(「データセットの読み取り」や「スキーマの管理」など)を付与します。同様に、管理者は同じ「権限」タブを使用してサンドボックスにアクセス権を割り当てることができます。
- ユーザーが Experience Platform ユーザーインターフェイスにログインすると、Platform 機能へのアクセスは、手順 2 でユーザーに付与された権限によって決まります。例えば、ユーザーが「データセットの表示」権限を持っていない場合、サイドメニューの「データセット」タブはそのユーザーには表示されません。
Experience Platform でアクセス制御を管理する方法について詳しくは、『アクセス制御ユーザーガイド』を参照してください。
Experience Platform API へのすべての呼び出しでは権限が検証され、現在のユーザーコンテキストで適切な権限が見つからない場合はエラーを返します。UI 内では、現在のユーザーに付与されている権限に応じて、要素が非表示になるか変更されます。
Adobe Admin Console
Adobe Admin Console は、アドビ製品の権限を管理し、組織のアクセス権を一元的に管理するためのツールです。コンソールを使用して、「データセットの管理」、「データセットの表示」、「プロファイルの管理」など、様々な Platform 機能に対するアクセス権限をユーザーのグループに付与できます。
製品プロファイル
Admin Console では、製品プロファイルを使用して権限がユーザーに割り当てられます。製品プロファイルを使用すると、1 人または複数のユーザーに権限を付与でき、また、製品プロファイルを通じて割り当てられるサンドボックスの範囲に対するアクセス権を含めることができます。ユーザーは、組織に属する 1 つ以上の製品プロファイルに割り当てることができます。
デフォルトの製品プロファイル
Experience Platform には、事前設定済みのデフォルト製品プロファイルが 2 つあります。次の表に、各デフォルトプロファイルで提供される内容を示します。これには、ユーザーがアクセスを許可するサンドボックスと、そのサンドボックスの範囲内で許可する権限が含まれます。
| 製品プロファイル | サンドボックスアクセス | 権限 |
|---|---|---|
| デフォルトの実稼働 - すべてのアクセス | 実稼動 | サンドボックス管理権限を除く、Experience Platform に適用されるすべての権限。 |
| サンドボックス管理者 | なし | サンドボックス管理権限へのアクセスのみを提供します。 |
サンドボックスと権限
非実稼働サンドボックスは、他のサンドボックスからデータを分離できるデータ仮想化の一種で、通常は開発実験、テストまたは試用に使用されます。製品プロファイルの権限は、プロファイルがアクセス権を付与されたサンドボックス環境内の Platform 機能に対するユーザーのアクセスを提供します。デフォルトの Experience Platform ライセンスでは、5 つのサンドボックス(1 つの実稼動環境と 4 つの非実稼動環境)が許可されます。10 個の非実稼動用サンドボックス(合計 75 個まで)のパックを追加できます。詳しくは、IMS 組織管理者またはアドビのセールス担当者にお問い合わせください。
Experience Platform のサンドボックスについて詳しくは、「サンドボックスの概要」を参照してください。
サンドボックスへのアクセス
サンドボックスへのアクセスは、製品のプロファイルを通じて管理されます。製品プロファイルのサンドボックスへのアクセスを有効にする手順について詳しくは、『アクセス制御ユーザーガイド』を参照してください。
ユーザーには、製品プロファイル内の 1 つ以上のサンドボックスへのアクセス権を付与できます。1 人のユーザーが複数の製品プロファイルに含まれている場合、そのユーザーはそれらのプロファイルに含まれるすべてのサンドボックスにアクセスできます。
「サンドボックスの管理」権限を使用すると、ユーザーはサンドボックスの管理、表示またはリセットをおこなえます。
権限
製品プロファイル内の「権限」タブには、そのプロファイル:に対してアクティブなサンドボックスと権限が表示されます。
Admin Console から付与される権限は、カテゴリ別に分類され、一部の権限では複数の低レベル機能へのアクセスが許可されます。
次の表に、Admin Console で使用できる Experience Platform の権限と、権限がアクセス権を付与する特定の Platform 機能の説明を示します。製品プロファイルに権限を追加する手順について詳しくは、『アクセス制御ユーザーガイド』を参照してください。
| カテゴリ | 権限 | 説明 |
|---|---|---|
| Data Modeling | スキーマの管理 | 各スキーマと関連リソースへの読み取り、作成、編集および削除アクセス |
| Data Modeling | スキーマの表示 | スキーマおよび関連リソースへの読み取り専用アクセス |
| Data Modeling | 関係の管理 | スキーマ関係の読み取り、作成、編集、および削除へのアクセス。 |
| Data Modeling | ID メタデータの管理 | スキーマ の ID メタデータの読み取り、作成、編集、および削除へのアクセス。 |
| Data Management | データセットの管理 | データセットへの読み取り、作成、編集、削除アクセススキーマへの読み取り専用アクセス |
| Data Management | データセットの表示 | データセットおよびスキーマへの読み取り専用アクセス |
| Data Management | データ監視 | 監視データセットおよびストリームへの読み取り専用アクセス |
| Profile Management | プロファイルの管理 | 顧客プロファイルに使用するデータセットへの読み取り、作成、編集、削除アクセス使用可能なプロファイルへの読み取り専用アクセス |
| Profile Management | プロファイルの表示 | 使用可能なプロファイルへの読み取り専用アクセス |
| Profile Management | セグメントの管理 | セグメントの読み取り、作成、編集、および削除へのアクセス。 |
| Profile Management | セグメントの表示 | 使用可能なセグメントへの読み取り専用アクセス。 |
| Profile Management | 結合ポリシーの管理 | 結合ポリシーの読み取り、作成、編集、および削除へのアクセス。 |
| Profile Management | 結合ポリシーの表示 | 使用可能な結合ポリシーへの読み取り専用アクセス。 |
| Profile Management | セグメントのオーディエンスの書き出し | 評価済みのデータセットセグメントをオーディエンスセットに書き出す機能 |
| Profile Management | オーディエンスに対するセグメントの評価 | セグメント定義を評価して、オーディエンスのプロファイルを生成する機能。 |
| Identities | ID 名前空間の管理 | ID 名前空間への読み取り、作成、編集および削除アクセス |
| Identities | ID 名前空間の表示 | ID 名前空間への読み取り専用アクセス |
| Identities | ID グラフを表示 | ID グラフへの読み取り専用アクセス |
| Sandbox Administration | サンドボックスの管理 | サンドボックスへの読み取り、作成、編集、削除アクセス |
| Sandbox Administration | サンドボックスの表示 | 組織に属するサンドボックスへの読み取り専用アクセス |
| Sandbox Administration | サンドボックスのリセット | サンドボックスをリセットする機能 |
| Destinations | 宛先の管理 | 宛先への読み取り、作成、編集、無効化アクセス |
| Destinations | 宛先の表示 | 「カタログ」タブの使用可能な宛先と「参照」タブの認証済みの宛先への読み取り専用アクセス。 |
| Destinations | 宛先のアクティブ化 | 作成済みのアクティブな宛先に対するデータのアクティブ化機能この権限を持つユーザーは、宛先をアクティブ化するユーザーに、「宛先の表示」または「宛先の管理」のいずれかを付与する必要があります。 |
| Destinations | 宛先のオーサリング | Adobe Experience Platform Destination SDK を使用して宛先を作成する機能。 |
| Data Ingestion | ソースの管理 | ソースへの読み取り、作成、編集、無効化アクセス |
| Data Ingestion | ソースの表示 | 「カタログ」タブでの使用可能なソースおよび「参照」タブでの認証済みのソースへの読み取り専用アクセス |
| Data Ingestion | Manage Audience Share Connections | 2 つの IMS 組織を接続し、Segment Match フローを有効にするパートナーハンドシェイクを作成、承認、拒否するためのアクセス。 |
| Data Ingestion | Manage Audience Share | アクティブなパートナーで Segment Match フィードを読み取り、作成、編集、公開するためのアクセス権。 |
| Data Science Workspace | Data Science Workspace の管理 | Data Science Workspace での読み取り、作成、編集、および削除へのアクセス。 |
| データガバナンス | データ使用ラベルの適用 | 使用ラベルを読み取り、作成および削除するアクセス権。 |
| データガバナンス | データ使用ポリシーの管理 | データ使用ポリシーの読み取り、作成、編集、および削除へのアクセス。 |
| データガバナンス | データ使用ポリシーの表示 | 組織に属するデータ使用ポリシーに対する読み取り専用アクセス。 |
| データガバナンス | ユーザーアクティビティログを表示 | Platform のアクティビティを記録した 監査ログ を表示する読み取り専用アクセス。 |
| Dashboards | ライセンス使用状況ダッシュボードの表示 | ライセンス使用状況ダッシュボードを表示する読み取り専用アクセス。 |
| Dashboards | 標準ダッシュボードの管理 | Data Warehouse にないカスタム属性の追加。 |
| Query Service | クエリの管理 | Platform データの構造化 SQL クエリの読み取り、作成、編集、および削除へのアクセス。 |
| Query Service | クエリサービス統合の管理 | クエリサービスアクセスの有効期限が切れていない認証情報を作成、更新、削除するためのアクセス。 |
次の手順
このガイドを読むことで、Experience Platform のアクセス制御の主な原則を学びました。Admin Console を使用して製品プロファイルを作成して Platform の権限を割り当てる方法に関する詳細な手順について、引き続き『アクセス制御ユーザーガイド』をご覧ください。
アドビアカウント
