属性ベースのアクセス制御(ABAC)を使用すると、特定のユーザーチームまたはユーザーグループのデータアクセスを管理する権限を定義できます。その目的は、機密性の高いデジタルアセットを権限のないユーザーから保護し、個人データの保護を向上させることです。
Adobe Journey Optimizer では、ABAC を使用することで、データを保護し、Experience Data Model(XDM)スキーマ、プロファイル属性、オーディエンスなどの特定のフィールド要素に対する特定のアクセス権を付与できます。
ABAC で使用される用語の詳細なリストについては、Adobe Experience Platform ドキュメントを参照してください。
この例では、国籍スキーマフィールドにラベルを追加して、権限のないユーザーによる使用を制限します。 これを実現するには、次の手順を実行する必要があります。
新しい役割を作成し、スキーマフィールドにアクセスして使用できるようにさせたいユーザーに対応するラベルを割り当てます。
Adobe Experience Platform でラベルを国籍スキーマフィールドに割り当てます。
Adobe Journey Optimizer でスキーマフィールドを使用します。
役割、ポリシーおよび製品には、属性ベースのアクセス制御 API を使用してアクセスすることもできます。詳しくは、このドキュメントを参照してください。
役割の権限を管理する前に、まずポリシーを作成する必要があります。詳しくは、Adobe Experience Platform ドキュメントを参照してください。
役割は、組織内で同じ権限、ラベル、サンドボックスを共有するユーザーの集まりです。 ある役割に属する各ユーザーには、製品に含まれる Adobe のアプリとサービスに対する権限が付与されます。
自身の役割を作成して、インターフェイス内の特定の機能やオブジェクトに対するユーザーのアクセスを微調整することもできます。
ここでは、特定のユーザーに、「C2」というラベルの付いた国籍フィールドへのアクセス権を付与します。これを行うには、特定のユーザーの集まりで新しい役割を作成し、C2 ラベルを付与して、ジャーニーの国籍詳細を使用できるようにする必要があります。
Permissions 製品で、左側のパネルのメニューから「役割」を選択し、「役割を作成」をクリックします。ラベルは、組み込みの役割に追加することもできます。
新しい役割に、名前と説明を追加します。ここでは「Restricted role demographic」とします。
ドロップダウンでサンドボックスを選択します。
リソースメニューで「Adobe Experience Platform」をクリックし、様々な機能を開きます。 ここでは、「ジャーニー」を選択します。
ドロップダウンで、「ジャーニーの表示」や「ジャーニーの公開」など、選択した機能にリンクされている権限を選択します。
新しく作成した役割を保存したら、「プロパティ」をクリックして、役割へのアクセスをさらに設定します。
「ユーザー」タブで、「ユーザーを追加」をクリックします。
「ラベル」タブで、「ラベルを追加」を選択します。
役割に追加したいラベルを選択して、「保存」をクリックします。この例では、先ほど制限したスキーマのフィールドにアクセスできるようにしたいユーザーに、ラベル「C2」を付与します。
これで「Restricted role demographic」の役割のユーザーが、C2 のラベルが付いたオブジェクトにアクセスできるようになりました。
ラベルの使用が正しくないと、ユーザーへのアクセスが中断され、ポリシー違反が発生する可能性があります。
ラベルは、属性ベースのアクセス制御を使用して特定の特徴領域を割り当てるために使用できます。
この例では、国籍フィールドへのアクセスを制限します。このフィールドには、役割に対応するラベルを持つユーザーのみがアクセスできます。
なお、ラベルは、スキーマ、データセットおよびオーディエンスにも追加できます。
スキーマを作成します。詳しくは、こちらのドキュメントを参照してください。
新しく作成されたスキーマで、まずは国籍フィールドを含むデモグラフィックの詳細フィールドグループを追加します。
「ラベル」タブで、制限されたフィールド名、この例では国籍を確認します。次に、右側のパネルのメニューから、「ガバナンスラベルを編集」を選択します。
対応するラベル(このケースでは C2)を選択します。データをサードパーティにエクスポートすることはできません。使用可能なラベルの詳細なリストについては、こちらのページを参照してください。
必要に応じてスキーマをさらにパーソナライズし、有効にします。スキーマを有効にする方法に関する詳細な手順については、こちらのページを参照してください。
これで、スキーマのフィールドが表示され、使用できるのは、C2 ラベルで設定されたロールの一部であるユーザーのみになります。
ラベルをフィールド名に適用することで、作成されるすべてのスキーマでラベルが自動的に国籍フィールドに適用されることに注意してください。
新しいスキーマの「国籍」フィールド名と新しい役割にラベルを付けたら、この制限の影響を Adobe Journey Optimizer で確認できます。
この例では、C2 というラベルの付いたオブジェクトにアクセスできる最初のユーザー X は、制限されたフィールド名をターゲットにする条件を備えるジャーニーを作成します。次に、C2 というラベルの付いたオブジェクトにアクセスできない 2 人目のユーザー Y は、ジャーニーを公開する必要があります。
Adobe Journey Optimizer から、最初に「データソース」を新しいスキーマに設定する必要があります。
新しく作成したスキーマの新しいフィールドグループを組み込みのデータソースに追加します。また、新しい外部データソースおよび関連するフィールドグループを作成することもできます。
以前に作成したスキーマを選択した後、フィールドカテゴリから「編集」をクリックします。
ターゲット設定するフィールド名を選択します。ここでは、制限付きの「国籍」フィールドを選択します。
次に、特定の国籍を持つユーザーにメールを送信するジャーニーを作成します。「イベント」、「条件」の順に追加します。
制限付きの「国籍」フィールドを選択して、式の作成を開始します。
「条件」を編集し、制限付きの「国籍」フィールドを持つ特定の母集団をターゲットにします。
必要に応じてジャーニーをパーソナライズします。ここでは、メールアクションを追加します。
ラベル C2 オブジェクトへのアクセス権を持たないユーザー Y が、この制限付きフィールドを使用するこのジャーニーにアクセスする必要がある場合:
ユーザー Y にはこのフィールドは表示されないので、制限付きのフィールド名を使用できません。
ユーザー Y は、フィールド名が制限された式を詳細設定モードで編集できません。「The expression is invalid. Field is no longer available or you don't have enough permission to see it
」のエラーが表示されます。
ユーザー Y は式を削除できます。
ユーザー Y はジャーニーをテストできません。
ユーザー Y はジャーニーを公開できません。