属性ベースのアクセス制御 attribute-based-access-control

Last update: Wed Oct 01 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

適用対象：
Experience Manager as a Cloud Service

作成対象：

管理者

属性ベースのアクセス制御（ABAC）を使用すると、コンテンツハブ管理者はメタデータベースのルールを定義して、コンテンツハブで使用可能なアセットへのアクセスレベルを定義できます。

組織の管理者は、グループ ID にマッピングされるユーザーグループのルールを定義します。ルールは、論理演算子と比較演算子の組み合わせであり、管理者はコンテンツハブ内のアセットアクセスを管理する必要な数のルールを定義できます。

ルールはメタデータに基づいており、ルールで定義された条件がアセットメタデータに一致する場合、アセットはユーザーグループに表示されます。コンテンツハブは、すべてのアセット および コレクション 内で使用可能なすべてのアセットのカスタムメタデータを含むアセットメタデータをスキャンし、結果をユーザーグループに表示します。

例えば、アセットメタデータが「ブランド = ブランド X」AND「地域 = EMEA OR アメリカ」と一致する場合、グループ ID = 1011 のユーザーグループに ALLOW でアクセスします。コンテンツハブには、ブランド = Brand X および地域 = EMEA または Americas の ID = 1011 のユーザーグループにアセットのみが表示されます。

属性ベースのアクセス制御の主なメリットには、次のようなものがあります。

権限に対するフォルダー構造への依存が排除される
管理者がアセットをアップロードし、遡及的に権限構造を決定できる
重複の数を減らす – アセットの整合性を向上させます。同じアセットが異なるグループと共有される場合は、フォルダーベースの権限で重複が必要になります。

属性ベースのアクセス制御を有効にする方法 enable-attribute-based-access-control

現時点では、コンテンツハブユーザーインターフェイスを使用して、属性ベースのアクセス制御ルールを独自に作成することはできません。

「スプレッドシートをダウンロード」をクリックして、スプレッドシートをダウンロードし、ルールを定義します。Adobe サポートチケットを作成し、スプレッドシートで定義されたルールをアドビに提供します。

[スプレッドシートをダウンロード]{class="badge informative"}

この記事で定義されているガイドラインを使用して、スプレッドシートでルールを定義します。

属性ベースのアクセス制御のユースケースの例 example-metadata-based-rules

大規模なマーケティングロールアウトをサポートするには、地域やブランドをまたいだ様々なチームメンバーがデジタルアセットにアクセスする必要があります。各ペルソナには、地域とブランドに基づいて特定の範囲があります。ABAC では、アセットメタデータを通じてこれらのルールを自動的に適用します。次の表に、このユースケースの様々なタイプのペルソナと適用されるルールを示します。

ペルソナ

役割

役割の説明

グループ ID

ABAC ルール

John

EMEA マーケティングリード

EMEA のすべてのブランドをまたいでマーケティング実行を監督します。EMEA 市場向けのすべてのブランドの承認済みアセットにアクセスできる必要があります。

group-emea-marketing

地域 =「EMEA」

Mike

APAC マーケティングリード

APAC のすべてのブランドをまたいでマーケティング実行を監督します。APAC 市場向けのすべてのブランドの承認済みアセットにアクセスできる必要があります。

group-apac-marketing

地域 =「APAC」

Sophie

ブランド X マネージャー（EMEA）

EMEA でブランド X ID を管理します。 EMEA 市場に合わせて調整されたブランド X 承認済みコンテンツのみを表示する必要があります。

group-emea-brandx

地域 =「EMEA」 AND ブランド =「ブランド X」

Tom

ブランド Y マネージャー（APAC）

APAC でブランド Y ID を管理します。APAC 市場に合わせて調整されたブランド Y 承認済みコンテンツのみを表示する必要があります。

group-apac-brandy

地域 =「APAC」 AND ブランド =「ブランド Y」

これらのルールを使用することで、コンテンツハブ管理者は以下のメリットを得られます。

きめ細かなルールベースのアクセス制御：ユーザーは、自分の地域とブランドに関連するアセットのみを表示できます。手動で権限を割り当てる必要はありません。
シームレスなグローバル共同作業：地域チームとブランドチームは、アクセスの競合なく並行して作業を進めることができます。
拡張性と将来性を兼ね備えた権限：新しい地域やブランドが追加されるたびに、メタデータに基づいてルールを更新できます。

IMPORTANT

デフォルトでは、スプレッドシートでルールが指定されていない他のすべてのユーザーグループはアクセスを拒否されます。ABAC ルールが定義されているグループにユーザーが属していない場合、このユーザーはどのアセットにもアクセスできません。一部のユーザー（管理者など）にすべてのアセットへのアクセス権を付与する必要がある場合は、グループ ID を持つグループをスプレッドシートに記載し、この特定のグループがすべてのアセットにアクセスする必要があるという詳細を記述する必要があります。これは、アドビが設定します。

サポートされているルール構成 supported-rule-constructs

論理演算子：
- AND：すべての条件が true である必要があります
- OR：1 つの以上の条件が true である必要があります
比較演算子：
- 次に等しい（=）：ユーザーまたはアセットの属性が値と一致するかどうかを確認します
- 次と等しくない（!=）：ユーザーまたはアセットの属性が値と一致しないかどうかを確認します

アセットメタデータフィールドに配列（複数の地域やタグなど）が含まれている場合、Equals は contains ロジックを示し、Not Equals は does not contain ロジックを示します。

これにより、シンプルで表現力豊かなルール（ALLOW if region = emea AND assetType != prototype AND tags != confidential）を記述できます。

ガイドライン guidelines-attribute-based-access-control

ABAC ルールは、コンテンツハブに対して承認済みアセットにのみ適用されます。詳しくは、コンテンツハブ向けアセットの承認を参照してください。
DENY ルールを指定しないでください。代わりに、常に DENY を ALLOW ルールに変換します。例えば、ALLOW if region = <user-region> DENY if assetType = prototype AND confidential = yes は、ALLOW if region = <user-region> AND (assetType != prototype OR confidential != yes) に変換できます。
ABAC ルールは、Admin Console で使用できる IMS グループ ID を使用してユーザーグループに適用されます。
AEM as a Cloud Service オーサー環境を使用して、アセットの承認ターゲットを設定できます。承認ターゲット = Delivery は、Delivery + Content Hub で使用可能なアセット用なので、ABAC ルールは、承認ターゲット = Content Hub で承認されたアセットに適用されます。承認ターゲット = Delivery としてマークされたアセットは、コンテンツハブ内のすべてのユーザーに表示されます。
ABAC ルールで使用するメタデータスキーマが正しく定義され、AEM で使用できることを確認します。ABAC ルールで参照されるプロパティを定義する AEM 内のメタデータスキーマの完全なパスを指定します。オプションで、ABAC 条件に一致するメタデータ値を持ついくつかのサンプルアセットを含むテストフォルダーを作成できます。これは、ルールの動作を検証し、アクセスを正確に評価するのに役立ちます。
条件が正しく記述されているかどうかに関係なく、ルールのビジネスインテントをコメントに取り込みます。インテントは、必要に応じてロジックを検証および修正するのに役立ちます。
DRM に設定されているライセンス PDF ファイルは、ライセンス付きのアセットをダウンロードする際にユーザーが確認できるように、すべてのユーザーが表示できる必要があります。

recommendation-more-help

fbcff2a9-b6fe-4574-b04a-21e75df764ab