属性ベースのアクセス制御エンドツーエンドガイド
Adobe Experience Platformでは、属性ベースのアクセス制御を使用して、自社やマルチブランドのプライバシーを重視する顧客に、ユーザーアクセスをより柔軟に管理してもらうことができます。 スキーマフィールドやオーディエンスなどの個々のオブジェクトへのアクセスは、オブジェクトの属性と役割に基づくポリシーで付与できます。 この機能を使用すると、組織内の特定のExperience Platform ユーザーに対する個々のオブジェクトへのアクセス権を付与または取り消すことができます。
この機能により、組織またはデータの使用範囲を定義するラベルを使用して、スキーマフィールドやオーディエンスなどを分類できます。 Adobe Journey Optimizerのジャーニー、オファー、その他のオブジェクトに同じラベルを適用できます。 また、管理者は、Experience Data Model (XDM)スキーマフィールドに関するアクセスポリシーを定義し、それらのフィールドにアクセスできるユーザーまたはグループ(内部、外部、サードパーティユーザー)をより適切に管理できます。
はじめに
このチュートリアルでは、次のExperience Platform コンポーネントについて理解する必要があります。
-
Experience Data Model (XDM) システム:Experience Platform が顧客体験データの整理に使用する標準化されたフレームワーク。
- スキーマ構成の基本:スキーマ構成の主要な原則やベストプラクティスなど、XDM スキーマの基本的な構成要素について学びます。
- スキーマエディターのチュートリアル:スキーマエディター UI を使用してカスタムスキーマを作成する方法を説明します。
-
Adobe Experience Platform セグメント化サービス:Experience Platform 内のセグメント化エンジンで、顧客の行動と属性に基づいて顧客プロファイルからオーディエンスを作成するのに使用されます。
ユースケースの概要
属性ベースのアクセス制御ワークフローの例では、役割、ラベル、ポリシーを作成して割り当て、ユーザーが組織内の特定のリソースにアクセスできるかどうかを設定します。 このガイドでは、機密データへのアクセス制限の例を使用して、ワークフローを示します。 そのユースケースの概要を以下に示します。
ヘルスケアプロバイダーは、組織内のリソースへのアクセスを設定する必要があります。
- 社内のマーケティングチームは、PHI/規制ヘルスデータにアクセスできる必要があります。
- 外部代理店は、PHI/規制済みヘルスデータにアクセスできません。
これを行うには、役割、リソース、ポリシーを設定する必要があります。
次のことをおこないます。
- ユーザーの役割にラベルを付ける: マーケティンググループが外部代理店と連携するヘルスケアプロバイダー(ACME ビジネスグループ)の例を使用します。
- リソースにラベルを付ける(スキーマフィールドとオーディエンス) : PHI/規制正常性データ ラベルをスキーマリソースとオーディエンスに割り当てます。
- それらをリンクするポリシーをアクティブ化します: リソースのラベルを役割のラベルに接続することで、スキーマフィールドとオーディエンスへのアクセスを禁止するデフォルトのポリシーを有効にします。 その後、一致するラベルを持つユーザーには、すべてのサンドボックスでスキーマフィールドとオーディエンスへのアクセス権が与えられます。
権限
権限は、Experience Cloudの領域で、管理者が製品アプリケーション内の機能とオブジェクトに対する権限を管理するためのユーザーの役割とポリシーを定義できます。
権限を通じて、役割を作成および管理し、これらの役割に必要なリソース権限を割り当てることができます。 権限を使用すると、特定の役割に関連付けられているラベル、サンドボックス、ユーザーを管理することもできます。
管理者権限がない場合は、システム管理者に連絡してアクセス権を取得してください。
管理者権限を取得したら、Adobe Experience Cloudに移動し、Adobeの資格情報を使用してログインします。 ログインすると、管理者権限を持つ組織の概要 ページが表示されます。 このページには、組織が購読している製品と、組織にユーザーと管理者を追加するためのその他のコントロールが表示されます。 「権限」を選択して、Experience Platform統合用のワークスペースを開きます。
Experience Platform UIの権限ワークスペースが表示され、概要 ページで開きます。
役割へのラベルの適用 label-roles
役割とは、Experience Platform インスタンスを操作するユーザーのタイプを分類する方法であり、アクセス制御ポリシーのブロックを構築する方法です。 役割には特定の権限があり、組織のメンバーは、必要なアクセスの範囲に応じて、1つ以上の役割に割り当てることができます。
開始するには、左側のナビゲーションから 役割 を選択し、ACME ビジネスグループを選択します。
次に、「ラベル」を選択し、「ラベルを追加」を選択します。
「ラベル」タブでラベルを追加を選択していることを示す
組織内のすべてのラベルのリストが表示されます。 RHDを選択して PHI/規制済みヘルスデータ のラベルを追加し、保存を選択します。
スキーマフィールドへのラベルの適用 label-resources
RHD ラベルを持つユーザー役割を設定したので、次の手順は、その役割に対して制御するリソースに同じラベルを追加することです。
上部のナビゲーションから、
左側のナビゲーションから「スキーマ」を選択し、表示されるスキーマのリストから「ACME Healthcare」を選択します。
次に、ラベルを選択して、スキーマに関連付けられたフィールドを表示するリストを表示します。 ここから、一度に1つまたは複数のフィールドにラベルを割り当てることができます。 BloodGlucoseおよびInsulinLevel フィールドを選択し、アクセスおよびデータガバナンスラベルの適用を選択します。
「ラベルを編集」ダイアログが表示され、スキーマフィールドに適用するラベルを選択できます。 この使用例では、PHI/規制済みヘルスデータ ラベルを選択し、保存を選択します。
オーディエンスへのラベルの適用
スキーマフィールドのラベル付けを完了したら、オーディエンスのラベル付けを開始できます。
顧客 セクションの左側のナビゲーションから「オーディエンス」を選択します。 組織で使用可能なオーディエンスのリストが表示されます。 この例では、以下の2つのオーディエンスには、機密性の高いヘルスデータが含まれているため、ラベルを付ける必要があります。
- 血中ブドウ糖> 100
- インスリン <50
「血糖値> 100」を選択して、オーディエンスのラベル付けを開始します(チェックボックスではなくオーディエンス名で)。
「オーディエンス」タブから選択されている血糖値>100を示す
オーディエンス 詳細画面が表示されます。 「アクセスを管理」を選択します。
「アクセスおよびデータガバナンスラベルの適用」ダイアログが表示され、オーディエンスに適用するラベルを選択できます。 この使用例では、PHI/規制済みヘルスデータ ラベルを選択し、保存を選択します。
インスリン <50で上記の手順を繰り返します。
アクセス制御ポリシーのアクティブ化 policy
デフォルトのアクセス制御ポリシーでは、ラベルを活用して、特定のExperience Platform リソースに対するアクセス権を持つユーザーロールを定義します。 この例では、スキーマフィールドとオーディエンスへのアクセスは、スキーマフィールドに対応するラベルを持つ役割にないユーザーのすべてのサンドボックスで拒否されます。
アクセス制御ポリシーを有効にするには、左側のナビゲーションから権限を選択し、ポリシーを選択します。
次に、Default-Field-Level-Access-Control-Policyの横にある省略記号(...)を選択すると、役割を編集、アクティブ化、削除、または複製するためのコントロールがドロップダウンに表示されます。 ドロップダウンから「アクティブ化」を選択します。
アクティベーションポリシーのダイアログが表示され、アクティベーションの確認を求めるメッセージが表示されます。 「確認」を選択します。
ポリシーのアクティベーションの確認を受け取り、 ポリシー ページに戻ります。
次の手順
役割、スキーマフィールド、オーディエンスへのラベルの適用が完了しました。 これらの役割に割り当てられた外部代理店は、これらのラベルとその値をスキーマ、データセット、プロファイルビューで表示することを制限されています。 これらのフィールドは、セグメントビルダーを使用する際に、セグメント定義で使用することも制限されています。
属性ベースのアクセス制御の詳細については、属性ベースのアクセス制御の概要を参照してください。
次のビデオは、属性ベースのアクセス制御に関する理解を深めることを目的とし、役割、リソース、ポリシーの設定方法の概要を示しています。