属性ベースのアクセス制御

属性ベースのアクセス制御(ABAC)を使用すると、特定のユーザーチームまたはユーザーグループのデータアクセスを管理する権限を定義できます。その目的は、機密性の高いデジタルアセットを権限のないユーザーから保護し、個人データの保護を向上させることです。

Adobe Journey Optimizer では、ABAC を使用することで、データを保護し、Experience Data Model(XDM)スキーマ、プロファイル属性、オーディエンスなどの特定のフィールド要素に対する特定のアクセス権を付与できます。

ABAC で使用される用語の詳細なリストについては、Adobe Experience Platform ドキュメントを参照してください。

この例では、国籍​スキーマフィールドにラベルを追加して、権限のないユーザーによる使用を制限します。 これを実現するには、次の手順を実行する必要があります。

  1. 新しい​役割​を作成し、スキーマフィールドにアクセスして使用できるようにさせたいユーザーに対応する​ラベル​を割り当てます。

  2. Adobe Experience Platform で​ラベル​を​国籍​スキーマフィールドに割り当てます。

  3. Adobe Journey Optimizer で​スキーマフィールド​を使用します。

役割ポリシー​および​製品​には、属性ベースのアクセス制御 API を使用してアクセスすることもできます。詳しくは、このドキュメントを参照してください。

ロールの作成とラベルの割り当て

重要

役割の権限を管理する前に、まずポリシーを作成する必要があります。詳しくは、Adobe Experience Platform ドキュメントを参照してください。

役割​は、組織内で同じ権限、ラベル、サンドボックスを共有するユーザーの集まりです。 ある​役割に属する各ユーザーには、製品に含まれる Adobe のアプリとサービスに対する権限が付与されます。
自身の役割​を作成して、インターフェイス内の特定の機能やオブジェクトに対するユーザーのアクセスを微調整することもできます。

ここでは、特定のユーザーに、「C2」というラベルの付いた​国籍​フィールドへのアクセス権を付与します。これを行うには、特定のユーザーの集まりで新しい​役割​を作成し、C2 ラベルを付与して、ジャーニー​の​国籍​詳細を使用できるようにする必要があります。

  1. Permissions 製品で、左側のパネルのメニューから「役割」を選択し、「役割を作成」をクリックします。ラベル​は、組み込みの役割に追加することもできます。

  2. 新しい​役割​に、名前​と​説明​を追加します。ここでは「Restricted role demographic」とします。

  3. ドロップダウンで​サンドボックス​を選択します。

  4. リソース​メニューで「Adobe Experience Platform」をクリックし、様々な機能を開きます。 ここでは、「ジャーニー」を選択します。

  5. ドロップダウンで、「ジャーニーの表示」や「ジャーニーの公開」など、選択した機能にリンクされている​権限​を選択します。

  6. 新しく作成した​役割​を保存したら、「プロパティ」をクリックして、役割へのアクセスをさらに設定します。

  7. ユーザー」タブで、「ユーザーを追加」をクリックします。

  8. ラベル」タブで、「ラベルを追加」を選択します。

  9. 役割に追加したい​ラベル​を選択して、「保存」をクリックします。この例では、先ほど制限したスキーマのフィールドにアクセスできるようにしたいユーザーに、ラベル「C2」を付与します。

これで「Restricted role demographic」の役割のユーザーが、C2 のラベルが付いたオブジェクトにアクセスできるようになりました。

Adobe Experience Platform でオブジェクトにラベルを割り当てます。

警告

ラベルの使用が正しくないと、ユーザーへのアクセスが中断され、ポリシー違反が発生する可能性があります。

ラベルは、属性ベースのアクセス制御を使用して特定の特徴領域を割り当てるために使用できます。
この例では、国籍​フィールドへのアクセスを制限します。このフィールドには、役割​に対応する​ラベル​を持つユーザーのみがアクセスできます。

なお、ラベル​は、スキーマデータセット​および​オーディエンス​にも追加できます。

  1. スキーマ​を作成します。詳しくは、こちらのドキュメントを参照してください。

  2. 新しく作成された​スキーマ​で、まずは​国籍​フィールドを含む​デモグラフィックの詳細​フィールドグループを追加します。

  3. ラベル」タブで、制限されたフィールド名、この例では​国籍​を確認します。次に、右側のパネルのメニューから、「ガバナンスラベルを編集」を選択します。

  4. 対応する​ラベル(このケースでは C2)を選択します。データをサードパーティにエクスポートすることはできません。使用可能なラベルの詳細なリストについては、こちらのページを参照してください。

  5. 必要に応じてスキーマをさらにパーソナライズし、有効にします。スキーマを有効にする方法に関する詳細な手順については、こちらのページを参照してください。

これで、スキーマのフィールドが表示され、使用できるのは、C2 ラベルで設定されたロールの一部であるユーザーのみになります。
ラベル​を​フィールド名​に適用することで、作成されるすべてのスキーマで​ラベル​が自動的に​国籍​フィールドに適用されることに注意してください。

Adobe Journey Optimizer のラベル付きオブジェクトへのアクセス

新しいスキーマの「国籍」フィールド名と新しい役割にラベルを付けたら、この制限の影響を Adobe Journey Optimizer で確認できます。
この例では、C2 というラベルの付いたオブジェクトにアクセスできる最初のユーザー X は、制限されたフィールド名​をターゲットにする条件を備えるジャーニーを作成します。次に、C2 というラベルの付いたオブジェクトにアクセスできない 2 人目のユーザー Y は、ジャーニーを公開する必要があります。

  1. Adobe Journey Optimizer から、最初に「データソース」を新しいスキーマに設定する必要があります。

  2. 新しく作成した​スキーマ​の新しい​フィールドグループ​を組み込みの​データソース​に追加します。また、新しい外部​データソース​および関連する​フィールドグループ​を作成することもできます。

  3. 以前に作成した​スキーマ​を選択した後、フィールド​カテゴリから「編集」をクリックします。

  4. ターゲット設定する​フィールド名​を選択します。ここでは、制限付きの「国籍」フィールドを選択します。

  5. 次に、特定の国籍を持つユーザーにメールを送信するジャーニーを作成します。「イベント」、「条件」の順に追加します。

  6. 制限付きの「国籍」フィールドを選択して、式の作成を開始します。

  7. 条件」を編集し、制限付きの「国籍」フィールドを持つ特定の母集団をターゲットにします。

  8. 必要に応じてジャーニーをパーソナライズします。ここでは、メール​アクションを追加します。

ラベル C2 オブジェクトへのアクセス権を持たないユーザー Y が、この制限付きフィールドを使用するこのジャーニーにアクセスする必要がある場合:

  • ユーザー Y にはこのフィールドは表示されないので、制限付きのフィールド名を使用できません。

  • ユーザー Y は、フィールド名が制限された式を詳細設定モードで編集できません。「The expression is invalid. Field is no longer available or you don't have enough permission to see it」のエラーが表示されます。

  • ユーザー Y は式を削除できます。

  • ユーザー Y はジャーニーをテストできません。

  • ユーザー Y はジャーニーを公開できません。

このページ