[AEM Assets]{class="badge positive" title="AEM Assetsに適用)。"}
属性ベースのアクセス制御 attribute-based-access-control
属性ベースのアクセス制御(ABAC)により、Content Hub管理者は、Content Hubで使用可能なアセットへのアクセスレベルを制御するためのメタデータベースのルールを定義できます。
組織の管理者は、グループ ID にマッピングされるユーザーグループのルールを定義します。 ルールは論理演算子と比較演算子を組み合わせたもので、管理者はContent Hub内でのアセットアクセスを管理するために必要な数のルールを定義できます。
ルールはメタデータに基づいています。 ルールで定義された条件がアセットメタデータと一致する場合、アセットはユーザーグループに表示されます。 Content Hubは、すべてのAssetsおよび コレクション 内で利用可能なすべてのアセットについて、カスタムメタデータを含むアセットのメタデータをスキャンし、結果をユーザーグループに表示します。
例えば、アセットのメタデータが「Brand = Brand X」および「Region = EMEA OR Americas」と一致する場合、グループ ID = 1011のユーザーグループへのアクセスを許可します。 Content Hubでは、「Brand = Brand X」および「Region = EMEA or Americas」というID = 1011のユーザーグループにのみアセットが表示されます。
CONTENT HUBのABAC ルールは、次の方法で設定できます。
- AEM Governance Agentを活用したContent Hub🔗のAI アシスタントを使用して、設定をセルフサービスで実行
- スプレッドシートベースの設定 ~ Adobe サポート
Content HubのAI アシスタントを利用すれば、管理者はメタデータと自然言語を使用してABAC ルールを定義および管理できます。 これにより、ルール設定を迅速化し、手作業によるサポートワークフローへの依存を低減できます。
属性ベースのアクセス制御の主なメリットには、次のようなものがあります。
- 権限に対するフォルダー構造への依存が排除される
- 管理者がアセットをアップロードし、遡及的に権限構造を決定できる
- 重複を減らし、アセットの一貫性を向上。 同じアセットが異なるグループで共有されている場合、フォルダーベースの権限では重複が必要です。
- きめ細かいルールベースのアクセスを可能にする
- ブランドと地域をまたいだスケーラブルなガバナンスをサポート
- アセット管理の強化
属性ベースのアクセス制御の有効化 enable-attribute-based-access-control
CONTENT HUBのABAC ルールは、次の方法で設定できます。
-
Content HubのAI アシスタントを使用したセルフサービスの設定(AEM Governance Agentを活用)
管理者は、Content Hub内で自然言語を使用して、ABAC ルールを直接定義および管理できます。 -
Adobe サポートによるスプレッドシートベースの設定
管理者は、スプレッドシートでABAC ルールを定義し、Adobe サポートを通じて送信して設定できます。
Content HubのAI アシスタントを使用したABACの設定
AEM Governance Agentを搭載したContent HubのAI アシスタントを利用すれば、自然言語を使ってContent Hubで直接ABAC ルールを作成、管理できます。
以下の操作を実行できます。
- 既存のルールの検索
- ルールの作成
- ルールを更新
- ルールの削除
これにより、管理者はサポートワークフローに頼ることなく、アクセスルールを作成および管理できます。
始める前に before-you-begin-ai-assistant
ABAC ルール設定にContent HubのAI アシスタントを使用する前に、次の点を確認してください。
- AEM as a Cloud Serviceのライセンスを取得しています
- AEM Governance AgentによるAI アシスタントは、企業で利用できます
- まだアクセスできない場合は、Adobe担当者にお問い合わせいただき、必要なライセンス手順を完了してください
- 体験購入プログラムに生成AIのライダーは必要ありません
AI アシスタントを使用してABAC ルールを設定する手順 steps-ai-assistant
-
Content HubのAI アシスタントを開きます。
-
簡単な指示から始めます。
次に例を示します。
Create a new rule in Content HubAI アシスタントが、ルールの作成に必要な情報を提供します。
-
ルールを自然言語で定義します。
次に例を示します。
Frescopa Web Marketers user group should have access to assets where product equals Frescopa -
ABAC ルールを適用する環境を選択します。
-
ルールを適用する前に、ルールを確認します。
AI アシスタントが、ルールの構造化プレビューを生成します。 自動的に適用されるものはありません。 生成されたルールを確認したり、必要に応じて調整したり、アクションをキャンセルしてから適用したりできます。
-
ルールを保存して適用します。
保存されると、ルールはメタデータに基づいて動的に適用されます。
このレビューステップは、ルールが適用される前に正確性を確保するのに役立ちます。
プロンプトを使用したABAC ルールの管理 manage-abac-rules-using-prompts
AI アシスタントを使用し始めたら、ABAC ルールを会話形式で管理できます。
ルールの検索
- 既存のすべてのContent Hub ABAC ルールを表示
ルールの作成
- すべてのアセットに対するプロダクトマーケティンググループのアクセス権を与えるルールを作成する
- 地域がEMEAに等しい場合、セールスグループにアセットへのアクセス権を付与する
ルールの更新
- APACを含めるようにEMEA マーケティンググループのルールを更新
ルールを削除
- 製品マーケティンググループのルールの削除
メタデータとグループの探索
- 使用可能なグループとメタデータプロパティを表示してルールを設定する
スプレッドシートを使用したABACの設定
組織でAI アシスタントが有効になっていない場合は、スプレッドシート ベースのワークフローを使用してABAC ルールを設定できます。
「スプレッドシートをダウンロード」をクリックして、スプレッドシートをダウンロードし、ルールを定義します。 Adobe サポートチケットを作成し、スプレッドシートで定義されたルールをAdobeに提供します。
[スプレッドシートをダウンロード]{class="badge informative"}
この記事で説明されているガイドラインを使用して、スプレッドシートでルールを定義します。
スプレッドシートを使用したABAC ルールの設定手順 steps-spreadsheet
- ABAC スプレッドシート テンプレートをダウンロードします。
- メタデータベースの条件を使用して、スプレッドシートでルールを定義します。
- 各ルールを適切なIMS グループ IDにマッピングします。
- ルールのビジネスインテントをコメントに取り込みます。
- Adobe サポートチケットを送信し、完成したスプレッドシートをAdobeと共有します。
- Adobeは、組織のルールを設定します。
属性ベースのアクセス制御の使用例 example-metadata-based-rules
大規模なマーケティングロールアウトをサポートするには、地域やブランドをまたいだ様々なチームメンバーがデジタルアセットにアクセスする必要があります。 各ペルソナには、地域とブランドに基づいて特定の範囲があります。 ABACでは、アセットメタデータを使用してこれらのルールを自動的に適用します。 次の表に、この使用例のペルソナと適用されるルールを示します。
これらのルールを使用することで、コンテンツハブ管理者は以下のメリットを得られます。
- きめ細かいルールベースのアクセス:ユーザーは、手動での権限の割り当てなしに、地域とブランドに関連するアセットのみを表示します。
- シームレスなグローバルコラボレーション:地域チームとブランドチームが、アクセスの競合なしで並行して作業できます。
- 拡張性と将来性を兼ね備えた権限:新しい地域やブランドが追加されるたびに、メタデータに基づいてルールを更新できます。
ABACが有用な追加のシナリオ additional-scenarios-abac
ABACは、次のようなシナリオにも対応できます。
- グローバルなブランドと地域へのアクセス:チームには、ブランドと市場に関連するアセットのみが表示されます。
- 代理店とパートナーのコラボレーション:外部の代理店とパートナーは、関連するキャンペーンアセットのみにアクセスできます。
- 様々なチームに対する役割ベースのアクセス: マーケティング、営業、法務などのチームが、各部門の機能に関連するアセットにアクセスできます。
- 地域固有の法的コンプライアンス:特定の規制または地域の要件に対応するために承認されたアセットにユーザーを制限できます。
サポートされているルール構成 supported-rule-constructs
-
論理演算子:
- AND:すべての条件が true である必要があります
- OR:1 つの以上の条件が true である必要があります
-
比較演算子:
- 次に等しい(=):ユーザーまたはアセットの属性が値と一致するかどうかを確認します
- Not Equals (!=): ユーザーまたはアセット属性が値と一致しないかどうかをチェックします
アセットメタデータフィールドに複数の領域やタグなどの配列が含まれている場合、「等しい」はロジックを含み、「等しくない」はロジックを含みません。
これにより、region = emeaの場合は許可、assetTypeの場合はプロトタイプとタグの機密性など、シンプルで表現力豊かなルール!=作成!=きます。
ガイドライン guidelines-attribute-based-access-control
次のガイドラインは、AI アシスタントベースとスプレッドシートベースの両方の設定に適用されます。
- ABAC ルールは、コンテンツハブに対して承認済みアセットにのみ適用されます。 詳しくは、コンテンツハブ向けアセットの承認を参照してください。
- 拒否ルールを定義しないでください。 常に拒否ルールを許可ルールに変換する。 例えば、ALLOW if region = user-region DENY if assetType = prototype AND confidential = yesをALLOW if region = user-region AND (assetType != prototype OR confidential != yes)に変換できます。
- ABAC ルールは、Admin Console で使用できる IMS グループ ID を使用してユーザーグループに適用されます。
- AEM as a Cloud Service オーサー環境を使用して、アセットの承認ターゲットを設定できます。 ABAC ルールは、Approval Target = Content Hubで承認されたアセットに適用されます。Approval Target = Deliveryは、Delivery + Content Hubで使用可能なアセットに対して適用されます。 Approval Target = DeliveryとしてマークされたAssetsは、Content Hub内のすべてのユーザーに表示されます。
- ABAC ルールで使用するメタデータスキーマが正しく定義され、AEM で使用できることを確認します。 ABAC ルールで参照されるプロパティを定義する、AEMのメタデータスキーマまたはスキーマのフルパスを指定します。 オプションで、ABAC条件に一致するサンプルアセットを含むテストフォルダーを作成して、ルールの動作を検証し、アクセスを正確に評価できます。
- 条件が正しく記述されていても、ルールのビジネスインテントをコメントでキャプチャします。インテントは、必要に応じてロジックを検証および修正するのに役立ちます。
- ブランド、地域、製品などのアクセスルールに使用されるメタデータ値が、アセット全体で一貫して維持されるようにします。
- ブランドベースや地域ベースのアクセスなど、重要なユースケースから始めます。
- AI アシスタントでルールを定義するときは、明確なプロンプトを使用します。 AI アシスタントが構造化されたルールに変換できるように、ビジネス言語で意図を説明しましょう。
- DRM用に設定されているライセンス PDF ファイルは、すべてのユーザーに表示されたままにする必要があります。これにより、ライセンス付きアセットをダウンロードする際にライセンス情報を確認できます。
よくある質問 faqs-attribute-based-access-control-content-hub
AEM Assets Content Hubの属性ベースのアクセス制御(ABAC)とは何ですか?
AEM Assets Content Hubの属性ベースのアクセス制御(ABAC)により、管理者はメタデータベースのルールを定義して、さまざまなユーザーグループがデジタルアセットに対して持つアクセスレベルを制御できます。 アクセスは、アセットのメタデータがルールで指定された条件に一致するかどうかで決定され、アセットの可視性を詳細かつ動的に管理できます。
AEM Assets Content HubのABACを使用して、管理者がアクセスルールを定義する方法を教えてください。
管理者は、ブランドや地域などのアセットのメタデータにもとづいて条件を作成し、特定のユーザーグループ IDにリンクすることで、アクセスルールを定義できます。 これらのルールでは、論理演算子と比較演算子を使用して、どのユーザーグループに対してどのアセットが表示されるかを正確に指定します。
AEM Assets Content Hubで従来のフォルダーベースの権限に対してABACを使用する主な利点は何ですか?
ABACにより、権限に対するフォルダー構造への依存がなくなり、管理者がアセットをアップロードして権限を過去にさかのぼって割り当てることができ、必要な重複アセットの数が削減されます。 これにより、アセットの一貫性が向上し、複数のグループでアセットを共有する必要がある場合の権限管理が簡素化されます。
管理者は、AEM Assets Content Hub インターフェイスでABAC ルールを直接設定できますか?
管理者は、自社で有効になっている場合、Content HubのAI アシスタントを使用してABAC ルールを設定できます。 また、Adobe サポートを通じて、スプレッドシートベースのワークフローを引き続き使用することもできます。
AEM Assets Content HubでABAC ルールを設定する際に、どのような種類のメタデータ条件を使用できますか?
AEM ASSETS Content HubのABAC ルールでは、ANDやORなどの論理演算子や、equalsやnot equalsなどの比較演算子を使用できます。 ルールで使用されるメタデータプロパティは、AEM メタデータスキーマで正しく定義され、使用可能である必要があります。また、リージョン、ブランド、製品、キャンペーン、アセットタイプ、公開ステータスなどのフィールドを含めることができます。
AEM Assets Content Hub ABACが、大規模なチームと多様なアセットニーズを抱える企業にとって特に有用なのはなぜですか?
ABACは、ユーザーの役割、地域、ブランド、ビジネスニーズにもとづいて、アセットへの詳細なルールベースのアクセスを可能にするため、大規模なチームを抱える組織にとって有用です。 これにより、ユーザーは手作業による権限の割り当てやアセットの過度な重複を回避しながら、責任に関連するアセットのみを表示できます。
Adobe サポートに提出する前に、AEM Assets Content Hub用のABAC スプレッドシートを準備する方法を教えてください。
管理者は、Adobe Admin Consoleでユーザーグループを作成し、グループ IDをメモし、スプレッドシートの各グループの権限と条件を明確に定義し、すべてのメタデータプロパティが適切なスキーマに正しくマッピングされていることを確認し、コメント列を使用して各ルールのビジネス意図を明確にする必要があります。