Campaign Standardから Campaign v8 へのユーザーアクセス管理 user-management-acs
Adobe Campaign StandardとAdobe Campaign v8 の両方を使用すると、ユーザーは異なるユーザー/オペレーターの権限を定義および管理できます。 これらの権限は、製品の様々な機能へのアクセス権をユーザーに付与する特定の権限で構成されます。 ただし、これら 2 つの製品では、ユーザーアクセスを管理するための個別のアプローチと実装が使用されています。
Adobe Campaign Standardと Campaign v8 では、ユーザーアクセス管理を実現するために次の概念が使用されています。
セキュリティグループからオペレーターグループへの移行アプローチ
次の表に、Adobe Campaign Standardから Campaign v8 に移行する際の、ユーザーロールグループの移行アプローチの概要を示します。 Campaign Standardでは、Campaign v8 で オペレーターグループ と呼ばれる セキュリティグループ を使用して、一連のロールをユーザーに割り当てます。 一部のセキュリティグループやオペレーターグループはすぐに使用できますが、ユーザーは、必要に応じて新しいグループを作成したり、既存のグループを変更したりできます。
Adobe Campaign Standardと Campaign v8 の両方で、セキュリティグループ および オペレーターグループ が Admin Console の製品プロファイルにマッピングされます。 セキュリティグループ または オペレーターグループ をユーザーに割り当てる場合は、対応する 製品プロファイル を Admin Console でリンクできます。 この関連付けは、ユーザーがログインしたときに同期されます。 製品プロファイルの詳細情報
ユーザーの役割からネームド権限への移行アプローチ
Adobe Campaign Standardでは、Campaign v8 では ユーザーロール という用語は ネームド権限 と呼ばれます。 次の表に、Campaign Standardの ユーザーの役割 に対応する Campaign v8 の ネームド権限 に使用される用語の概要を示します。
組織単位からの移行アプローチ
複数のセキュリティ グループのユーザーには、最上位のセキュリティ グループの組織単位が割り当てられます。 複数のグループに並行する最上位レベルのユニットがある場合、システムはCampaign Standardでユーザーの組織単位を選択し、ユーザーは、システムで選択された組織単位とその子にのみアクセスできます。 移行後の Campaign v8 では、ユーザーは 割り当てられたすべての組織単位とその子 にアクセスでき、権限がエスカレーションされる可能性があります。 これを防ぐには、ユーザーを並列の組織単位を持つセキュリティ グループに割り当てないでください。 詳しくは、 並列組織単位の割り当て を参照してください。
Adobe Campaign Standardでは、同様のアクセス制御を維持するために、組織単位 が Campaign v8 の既存の フォルダー 階層モデルにマッピングされます。 フォルダー管理の詳細情報
並行組織単位の割り当てについて parallel-assignments
並行組織単位(parallel organizational unit assignment)は、ユーザーが階層の別々のブランチに存在する複数の単位(セキュリティ グループによって割り当てられる)にアクセスできる場合に、共通の親組織単位にアクセスできない場合に発生します。 これにより、移行中にセキュリティ上のリスクが生じます。
例えば、次のような組織単位階層があるとします。
並列の組織単位を持たない割り当ては、次のようになります。
ここで、ユーザーは親組織単位 A の下に接続されている組織単位 A、A1、A2-1 にアクセスできます。ユーザーは、A の下のすべての項目にアクセスできます。
次の割り当てには、並列の組織単位が含まれています:
ユーザーは、共通の親が割り当てられていない別々のブランチに存在する A1-1、A2 および A2-1 にアクセスできます。
セキュリティへの影響
- Campaign Standardでは、ユーザーに対して 1 つの最上位の組織単位(A1-1 または A2)が選択され、その単位とその子へのアクセスのみが制限されます。
- Campaign V8 への移行後は、割り当てられたすべての組織単位とその子のリソースにユーザーがアクセスできます。
解決策
組織単位の同時割り当てを解決するには、ユーザーに割り当てられたすべての組織単位が、同じようにユーザーに割り当てられている、共通の単一の親単位に該当するようにします。
これを実現する方法をいくつか以下に示します。
- 複数のブランチへのアクセスを削除:複数の並列ブランチへのアクセスを取り消し、すべてのアクセスが 1 つの親の下にあることを確認します。
- 共通の親の割り当て:必要なすべてのアクセスポイントを含む適切な共通の親組織単位にアクセス権を付与します。
- 階層の再構築:組織単位構造を変更して、必要なすべてのアクセスを 1 つのブランチの下に配置します。
前述の例で、ユーザーが A1-1、A2 および A2-1 にアクセスできる場合、具体的な解像度の手順は次のとおりです。
-
複数のブランチへのアクセスを削除します。
- A1-1 へのアクセスを取り消し、A2 (A2-1 を含む)へのアクセスのみを残す、または
- A2 および A2-1 へのアクセスを取り消し、A1-1 へのアクセスのみを残す
-
共通の親を割り当てます。
- A1-1 と A2 の共通の親である組織単位 A へのアクセス権を付与する
- すべての階層に対してアクセス権を付与
-
階層を再構築します。
- A1-1 を A2 の下に移動する
- A2 と A2-1 を A1-1 の下に移動する
プログラムからの移行アプローチ
Campaign v8 では、プログラム は フォルダー として表されます。 Campaign v8 では、フォルダーを作成でき、フォルダーへのアクセスを制限できます。
グループ および ネームド権限 を使用すると、オペレーター にナビゲーション階層内の特定の フォルダー へのアクセス権を付与し、読み取り、書き込みおよび削除の権限を割り当てることができます。 フォルダー管理の詳細情報
プログラム は Campaign v8 では フォルダー として扱われるので、そのアクセスは他のフォルダーと同じように管理できます。 移行後、Campaign Standard管理者は次の手順を実行できます。
-
エクスプローラーで任意のフォルダーを右クリックし、「プロパティ…」を選択します。
-
「セキュリティ」タブに移動します。
-
目的のアクセスモデルに従って、オペレーターグループの権限を変更します。
REST API にアクセスするための製品プロファイルのマッピング
Campaign v8 の実行インスタンスからトランザクション API にアクセスするには、管理者 および Message Center 製品プロファイルに加えて、新しい 製品プロファイル が必要です。 この新しい 製品プロファイル は、Campaign Standardの既存のテクニカルアカウントまたは事前に作成されたテクニカルアカウントに追加されます。
移行後、Campaign Standard ユーザーは 製品プロファイルのマッピング を確認し、適切な 製品プロファイル を割り当てる必要があります。その際に テクニカルアカウント を 管理者 製品プロファイルにリンクしたくないとします。 今後の統合では、以前のCampaign Standard テナント ID の代わりに、REST URL で Campaign v8 テナント ID を使用することをお勧めします。
Campaign Standard オペレーター向けの組み込み Campaign リソースへのアクセスの移行
Campaign Standardから移行したオペレーターは、Campaign v8 の特定のビルトインリソースに読み取りアクセスできます。
移行されていないセキュリティ・グループと役割 non-migrated-groups-roles
移行されていないCampaign Standardの役割のリストを以下に示します。
-
既定のリレーアカウント
-
Message Center のプッシュ
移行されていないCampaign Standard セキュリティグループマッピングのリストを以下に示します。
-
Message Center エージェント
-
Message Center プッシュエージェント
-
Adobe Experience Manager アプリケーションマネージャー
-
リレーアカウント