Campaign StandardからCampaign v8へのユーザーアクセス管理 user-management-acs
Adobe Campaign StandardとAdobe Campaign v8の両方で、異なるユーザー/オペレーターに対する権限を定義および管理できます。 これらの権限は、製品の様々な機能へのアクセスをユーザーに許可する特定の権限で構成されます。 ただし、ふたつの製品では、ユーザーアクセスの管理に個別のアプローチと実装を使用します。
Adobe Campaign StandardおよびCampaign v8では、ユーザーアクセス管理を実現するために次の概念が使用されています。
セキュリティグループからオペレーターグループへの移行アプローチ
次の表は、Adobe Campaign StandardからCampaign v8に移行する際のユーザーロールグループの移行アプローチの概要を示しています。 Campaign Standardでは、Campaign v8で オペレーターグループ と呼ばれる セキュリティグループ が、ユーザーに一連の役割を割り当てるために使用されます。 一部のセキュリティグループやオペレーターグループは、すぐに利用できますが、必要に応じて新しいグループを作成したり、既存のグループを変更したりできます。
Adobe Campaign StandardとCampaign v8の両方で、セキュリティグループと オペレーターグループ がAdmin Consoleの製品プロファイルにマッピングされます。 セキュリティグループまたは オペレーターグループ をユーザーに割り当てる場合は、Admin Consoleで対応する 製品プロファイル をリンクできます。 この関連付けは、ユーザーがログインしたときに同期されます。 製品プロファイルの詳細
ユーザー役割からネームド権限への移行アプローチ
Adobe Campaign Standardでは、Campaign v8では、User roleという用語を Named right と呼んでいます。 次の表は、Campaign v8の ユーザー権限 に使用される用語の概要です。これは、Campaign Standardの ユーザーロール に対応しています。
組織単位からの移行アプローチ
>複数のセキュリティグループのユーザーには、最もランクの高いセキュリティグループの組織単位が割り当てられます。 複数のグループに並行する最上位ユニットがある場合、Campaign Standardでユーザーの組織単位が選択され、ユーザーは選択された組織単位とその子にのみアクセスできます。 移行後のCampaign v8では、ユーザーは 割り当てられたすべての組織単位とその子 にアクセスでき、権限がエスカレーションされる可能性があります。 これを防ぐには、並列の組織単位を持つセキュリティ グループにユーザーを割り当てないようにします。 組織ユニットの並列割り当てについて詳しく説明します。
Adobe Campaign Standardでは、同様のアクセス制御を維持するために、組織ユニットがCampaign v8の既存の フォルダー 階層モデルにマッピングされます。 フォルダー管理の詳細
組織ユニットの並列割り当てについて parallel-assignments
並列組織ユニットの割り当ては、ユーザーが共通の親組織ユニットにアクセスすることなく、階層の別々のブランチに存在する複数のユニット(セキュリティグループを介して割り当てられた)にアクセスできる場合に発生します。 これにより、移行中にセキュリティ リスクが発生します。
例えば、次の組織単位階層について考えてみましょう。
並列の組織単位を持たない割り当ては、次のようになります。
ここでは、親組織ユニット Aの下に接続された組織ユニット A、A1、A2-1にアクセスできます。ユーザーはAの下にあるすべてのものにアクセスできます。
次の割り当てには、並列の組織単位が含まれます。
ユーザーは、共通の割り当てられた親を持たない個別のブランチに存在するA1-1、A2、A2-1にアクセスできます。
セキュリティへの影響
- Campaign Standardでは、ユーザーに対して1つの最上位の組織単位(A1-1またはA2)が選択され、その単位とその子のみにアクセスが制限されます。
- Campaign V8への移行後、ユーザーは、割り当てられたすべての組織単位とその子のリソースにアクセスできるようになります。
解像度
並列組織ユニットの割り当ては、ユーザーに割り当てられたすべての組織ユニットが、ユーザーにも割り当てられている単一の共通の親ユニットに該当することを確認することで解決できます。
その方法をいくつか紹介します。
- 複数のブランチへのアクセスを削除する:複数の並列ブランチへのアクセスを取り消し、すべてのアクセスが単一の親の下にあることを確認します。
- 共通の親を割り当てる:必要なすべてのアクセスポイントを含む適切な共通の親組織単位へのアクセス権を付与します。
- 階層の再構築:必要なすべてのアクセスを1つのブランチの下に配置するように、組織単位構造を変更します。
上記の例では、ユーザーがA1-1、A2、およびA2-1にアクセスできる場合、特定の解決手順は次のとおりです。
-
複数のブランチへのアクセスを削除します。
- A1-1へのアクセスを取り消し、A2 (A2-1を含む)へのアクセスのみを残す、または
- A2およびA2-1へのアクセスを取り消し、A1-1へのアクセスのみを残す
-
共通の親を割り当てる:
- A1-1とA2の両方の共通の親である組織ユニット Aへのアクセス権を付与するか、または
- すべての階層に対するアクセス権の付与
-
階層の再構築:
- A1-1をA2の下に移動、または
- A1-1の下にA2とA2-1を移動
プログラムからの移行アプローチ
Campaign v8では、プログラムは フォルダー として表されます。 Campaign v8では、フォルダーの作成が有効になり、フォルダーへのアクセスを制限できます。
グループと 名前付き権限 を使用すると、オペレーターにナビゲーション階層内の特定の フォルダー へのアクセス権を付与し、読み取り、書き込み、削除の権限を割り当てることができます。 フォルダー管理の詳細
プログラムはCampaign v8では フォルダー として扱われるので、そのアクセスは他のフォルダーと同じように管理できます。 移行後、Campaign Standard管理者は次の手順を実行できます。
-
エクスプローラーで任意のフォルダーを右クリックし、プロパティ…を選択します。
-
「セキュリティ」タブに移動します。
-
必要なアクセスモデルに従って、オペレーターグループの権限を変更します。
REST APIにアクセスするための製品プロファイルマッピング
Campaign v8の実行インスタンスからトランザクション APIにアクセスするには、管理者および Message Center 製品プロファイルに加えて、新しい 製品プロファイル が必要です。 この新しい 製品プロファイル は、Campaign Standardの既存または事前に作成されたテクニカルアカウントに追加されます。
移行後、Campaign Standard ユーザーは 製品プロファイルマッピング を確認し、テクニカルアカウントを 管理者 製品プロファイルにリンクしない場合は、適切な 製品プロファイル を割り当てる必要があります。 今後の統合では、以前のCampaign Standard テナント IDではなく、REST URLでCampaign v8 テナント IDを使用することをお勧めします。
Campaign Standard オペレーターの組み込みCampaign リソースへのアクセスの移行
Campaign Standardから移行されたオペレーターは、Campaign v8の特定の組み込みリソースに読み取りアクセスできます。
移行されていないセキュリティグループと役割 non-migrated-groups-roles
以下に、移行されていないCampaign Standard ロールのリストを示します。
-
デフォルトのリレーアカウント
-
Message Center プッシュ
以下は、移行されていないCampaign Standard セキュリティグループのマッピングのリストです。
-
Message Center Agents
-
Message Center プッシュエージェント
-
Adobe Experience Manager application manager
-
リレーアカウント