属性ベースのアクセス制御エンドツーエンドガイド

Adobe Experience Platformの属性ベースのアクセス制御を使用すると、自分自身や他のマルチブランドのプライバシーを重視するお客様に、ユーザーアクセスをより柔軟に管理できます。 スキーマフィールドやセグメントなどの個々のオブジェクトへのアクセスは、オブジェクトの属性と役割に基づくポリシーで許可できます。 この機能を使用すると、組織内の特定の Platform ユーザーに対する個々のオブジェクトへのアクセスを許可または取り消すことができます。

この機能を使用すると、スキーマフィールドやセグメントなどを、組織またはデータの使用範囲を定義するラベルで分類できます。 Adobe Journey Optimizerのジャーニー、オファーおよびその他のオブジェクトに同じラベルを適用できます。 同時に、管理者は、エクスペリエンスデータモデル(XDM)スキーマフィールドに関するアクセスポリシーを定義し、それらのフィールドにアクセスできるユーザーまたはグループ(内部、外部、またはサードパーティのユーザー)をより適切に管理できます。

NOTE
このドキュメントでは、アクセス制御ポリシーのユースケースに焦点を当てています。 データへのアクセス権を持つ Platform ユーザーではなく、データの 使用 を管理するポリシーを設定しようとしている場合は、代わりに データガバナンスに関するエンドツーエンドガイドを参照してください。

はじめに

このチュートリアルでは、次の Platform コンポーネントに関する十分な知識が必要です。

ユースケースの概要

属性ベースのアクセス制御ワークフローの例について説明します。このワークフローでは、役割、ラベル、ポリシーを作成して割り当て、ユーザーが組織内の特定のリソースにアクセスできるかどうかを設定します。 このガイドでは、機密データへのアクセスを制限する例を使用して、ワークフローを示します。 このユースケースの概要を次に示します。

医療提供者で、組織内のリソースへのアクセスを設定したい場合。

  • 社内マーケティングチームは、PHI/規制対象の医療データ データにアクセスできる必要があります。
  • 外部機関は、PHI/規制医療データ データにアクセスできません。

そのためには、役割、リソース、ポリシーを設定する必要があります。

以下を行います。

権限

​ 権限 ​ は、Experience Cloud者がユーザーロールとポリシーを定義して、製品アプリケーション内の機能とオブジェクトの権限を管理できる管理エリアです。

​ 権限 ​ を通じて、役割を作成および管理し、それらの役割に対して必要なリソース権限を割り当てることができます。 ​ 権限 ​ を使用すると、特定の役割に関連付けられたラベル、サンドボックス、ユーザーを管理することもできます。

管理者権限がない場合は、システム管理者に連絡してアクセス権を取得してください。

管理者権限があれば、Adobe Experience Cloud に移動し、Adobe資格情報を使用してログインします。 ログインすると、管理者権限を持つ組織の 概要 ページが表示されます。 このページには、組織が購読している製品と、組織にユーザーと管理者を追加するための他のコントロールが表示されます。 権限 を選択して、Platform 統合用のワークスペースを開きます。

Adobe Experience Cloudで「権限」製品が選択されている様子を示す画像

Platform UI の権限ワークスペースが表示され、役割 ページが開きます。

役割にラベルを適用 label-roles

役割は、Platform インスタンスとやり取りするユーザーのタイプを分類する方法で、アクセス制御ポリシーの構成要素です。 役割には特定の権限セットが付与され、必要なアクセス範囲に応じて、組織のメンバーを 1 つ以上の役割に割り当てることができます。

開始するには、役割 ページから ACME ビジネスグループ を選択します。

役割で ACME ビジネスロールが選択されている様子を示す画像

次に、「ラベル」を選択し、「ラベルを追加」を選択します。

「ラベル」タブで「ラベルを追加」が選択されている様子を示す画像

組織のすべてのラベルのリストが表示されます。 RHD を選択して、PHI/規制医療データ のラベルを追加します。 ラベルの横に青いチェックマークが表示されるまでしばらく待ってから、「保存」を選択します。

RHD ラベルが選択され、保存されていることを示す画像

NOTE
組織グループを役割に追加すると、そのグループ内のすべてのユーザーが役割に追加されます。 組織グループに対する変更(削除または追加されたユーザー)は、役割内で自動的に更新されます。

スキーマフィールドへのラベルの適用 label-resources

RHD ラベルを使用してユーザーの役割を設定したので、次の手順は、その役割で制御するリソースに同じラベルを追加することです。

左側のナビゲーションから スキーマ を選択し、表示されるスキーマのリストから ACME Healthcare を選択します。

「スキーマ」タブから ACME Healthcare スキーマが選択されている様子を示す画像

次に、「ラベル」を選択して、スキーマに関連付けられたフィールドを表示するリストを表示します。 ここから、1 つまたは複数のフィールドに一度にラベルを割り当てることができます。 BloodGlucose フィールドと InsulinLevel フィールドを選択し、アクセスラベルとデータガバナンスラベルを適用 を選択します。

血糖値とインスリンレベルが選択され、アクセスラベルとデータガバナンスラベルを適用が選択されていることを示す画像

ラベルを編集 ダイアログが表示され、スキーマフィールドに適用するラベルを選択できます。 このユースケースでは、「PHI/規制医療データ」ラベルを選択し、「保存」を選択します。

RHD ラベルが選択され、保存されていることを示す画像

NOTE
ラベルがフィールドに追加されると、そのラベルは、そのフィールドの親リソース(クラスまたはフィールドグループ)に適用されます。 親クラスまたはフィールドグループが他のスキーマで使用されている場合、それらのスキーマは同じラベルを継承します。

セグメントへのラベルの適用

NOTE
同じアクセス制限を適用する場合、ラベル付き属性を利用するセグメントにも同じようにラベルを付ける必要があります。

スキーマフィールドのラベル設定が完了したら、セグメントのラベル設定を開始できます。

左側のナビゲーションから セグメント を選択します。 組織で使用可能なセグメントのリストが表示されます。 この例では、次の 2 つのセグメントに機密ヘルスデータが含まれているため、ラベルが付けられます。

  • 血糖値が 100 を超える
  • インスリン 50 未満

血糖値 > 100 を選択して、セグメントのラベル付けを開始します。

「セグメント」タブから血糖値が 100 を超えて選択されている様子を示す画像

セグメント 詳細 画面が表示されます。 アクセスを管理 を選択します。

管理アクセスの選択を示す画像

ラベルを編集 ダイアログが表示され、セグメントに適用するラベルを選択できます。 このユースケースでは、「PHI/規制医療データ」ラベルを選択し、「保存」を選択します。

RHD ラベルの選択と保存が選択されていることを示す画像

上記の手順を インスリン <50 で繰り返します。

アクセス制御ポリシーのアクティブ化 policy

デフォルトのアクセス制御ポリシーは、ラベルを活用して、特定の Platform リソースにアクセスできるユーザーの役割を定義します。 この例では、スキーマフィールドに対応するラベルを持つ役割に属していないユーザーに対しては、すべてのサンドボックスでスキーマフィールドおよびセグメントへのアクセスが拒否されます。

アクセス制御ポリシーをアクティブにするには、左側のナビゲーションから ​ 権限 ​ を選択し、次に ポリシー を選択します。

表示されたポリシーのリスト

次に、ポリシー名の横にある省略記号(...)を選択すると、役割を編集、アクティブ化、削除または複製するためのコントロールがドロップダウンに表示されます。 ドロップダウンから「アクティブ化」を選択します。

ポリシーをアクティブ化するためのドロップダウン

ポリシーのアクティブ化ダイアログが表示され、アクティベーションを確認するプロンプトが表示されます。 「確認」を選択します。

ポリシーをアクティベートダイアログ

ポリシーのアクティベーションの確認を受け取り、「​ ポリシー ​ ページに戻ります。

ポリシーのアクティブ化の確認

次の手順

役割、スキーマフィールド、セグメントへのラベルの適用が完了しました。 これらの役割に割り当てられる外部エージェンシーは、これらのラベルとその値をスキーマ、データセットおよびプロファイルビューで表示することが制限されています。 また、これらのフィールドは、セグメントビルダーを使用する場合、セグメント定義で使用することも制限されています。

属性ベースのアクセス制御の詳細については、属性ベースのアクセス制御の概要を参照してください。

次のビデオは、属性ベースのアクセス制御についての理解を深めるために、また、役割、リソース、ポリシーを設定する方法の概要を説明しています。

recommendation-more-help
631fcab2-5cb1-46ef-ba66-fe098ac723e0