属性ベースのアクセス制御エンドツーエンドガイド

Adobe Experience Platformでは、属性ベースのアクセス制御を使用して、自社やマルチブランドのプライバシーを重視する顧客に、ユーザーアクセスをより柔軟に管理してもらうことができます。 スキーマフィールドやオーディエンスなどの個々のオブジェクトへのアクセスは、オブジェクトの属性と役割に基づくポリシーで付与できます。 この機能を使用すると、組織内の特定のExperience Platform ユーザーに対する個々のオブジェクトへのアクセス権を付与または取り消すことができます。

この機能により、組織またはデータの使用範囲を定義するラベルを使用して、スキーマフィールドやオーディエンスなどを分類できます。 Adobe Journey Optimizerのジャーニー、オファー、その他のオブジェクトに同じラベルを適用できます。 また、管理者は、Experience Data Model (XDM)スキーマフィールドに関するアクセスポリシーを定義し、それらのフィールドにアクセスできるユーザーまたはグループ(内部、外部、サードパーティユーザー)をより適切に管理できます。

NOTE
このドキュメントでは、アクセス制御ポリシーの使用例に焦点を当てます。 どのExperience Platform ユーザーがアクセス権を持つかではなく、データの​ use ​を管理するポリシーを設定する場合は、代わりにdata governanceに関するエンドツーエンドのガイドを参照してください。

はじめに

このチュートリアルでは、次のExperience Platform コンポーネントについて理解する必要があります。

ユースケースの概要

属性ベースのアクセス制御ワークフローの例では、役割、ラベル、ポリシーを作成して割り当て、ユーザーが組織内の特定のリソースにアクセスできるかどうかを設定します。 このガイドでは、機密データへのアクセス制限の例を使用して、ワークフローを示します。 そのユースケースの概要を以下に示します。

ヘルスケアプロバイダーは、組織内のリソースへのアクセスを設定する必要があります。

  • 社内のマーケティングチームは、PHI/規制ヘルスデータ​にアクセスできる必要があります。
  • 外部代理店は、PHI/規制済みヘルスデータ​にアクセスできません。

これを行うには、役割、リソース、ポリシーを設定する必要があります。

次のことをおこないます。

権限

権限は、Experience Cloudの領域で、管理者が製品アプリケーション内の機能とオブジェクトに対する権限を管理するためのユーザーの役割とポリシーを定義できます。

権限を通じて、役割を作成および管理し、これらの役割に必要なリソース権限を割り当てることができます。 権限を使用すると、特定の役割に関連付けられているラベル、サンドボックス、ユーザーを管理することもできます。

管理者権限がない場合は、システム管理者に連絡してアクセス権を取得してください。

管理者権限を取得したら、Adobe Experience Cloudに移動し、Adobeの資格情報を使用してログインします。 ログインすると、管理者権限を持つ組織の​概要 ページが表示されます。 このページには、組織が購読している製品と、組織にユーザーと管理者を追加するためのその他のコントロールが表示されます。 「権限」を選択して、Experience Platform統合用のワークスペースを開きます。

Adobe Experience Cloudで選択されている権限製品を示す画像

Experience Platform UIの権限ワークスペースが表示され、概要 ページで開きます。

役割へのラベルの適用 label-roles

役割とは、Experience Platform インスタンスを操作するユーザーのタイプを分類する方法であり、アクセス制御ポリシーのブロックを構築する方法です。 役割には特定の権限があり、組織のメンバーは、必要なアクセスの範囲に応じて、1つ以上の役割に割り当てることができます。

開始するには、左側のナビゲーションから​ 役割 ​を選択し、ACME ビジネスグループ​を選択します。

役割で選択されているACME ビジネスグループを示す画像

次に、「ラベル」を選択し、「ラベルを追加」を選択します。

「ラベル」タブでラベルを追加を選択していることを示す 画像

組織内のすべてのラベルのリストが表示されます。 RHD​を選択して​ PHI/規制済みヘルスデータ ​のラベルを追加し、保存​を選択します。

RHD ラベルが選択されて保存されていることを示す画像

NOTE
組織グループを役割に追加すると、そのグループのすべてのユーザーが役割に追加されます。 組織グループに対する変更(ユーザーが削除または追加された場合)は、ロール内で自動的に更新されます。

スキーマフィールドへのラベルの適用 label-resources

RHD ラベルを持つユーザー役割を設定したので、次の手順は、その役割に対して制御するリソースに同じラベルを追加することです。

上部のナビゲーションから、 ​ アプリケーションスイッチャー アイコンで表される​ アプリケーションスイッチャー ​を選択し、Experience Platform​を選択します。

​ アプリケーションスイッチャーのドロップダウンメニューからExperience Platformが選択されていることを示す画像

左側のナビゲーションから「スキーマ」を選択し、表示されるスキーマのリストから「ACME Healthcare」を選択します。

​ スキーマタブから選択されているACME Healthcare スキーマを示す画像

次に、ラベル​を選択して、スキーマに関連付けられたフィールドを表示するリストを表示します。 ここから、一度に1つまたは複数のフィールドにラベルを割り当てることができます。 BloodGlucose​および​InsulinLevel フィールドを選択し、アクセスおよびデータガバナンスラベルの適用​を選択します。

BloodGlucoseとInsulinLevelが選択され、選択されているアクセスおよびデータガバナンスラベルが適用されていることを示す画像

ラベルを編集」ダイアログが表示され、スキーマフィールドに適用するラベルを選択できます。 この使用例では、PHI/規制済みヘルスデータ ラベルを選択し、保存​を選択します。

RHD ラベルが選択されて保存されていることを示す画像

NOTE
ラベルがフィールドに追加されると、そのラベルはそのフィールドの親リソース(クラスまたはフィールドグループ)に適用されます。 親クラスまたはフィールドグループが他のスキーマで使用されている場合、それらのスキーマは同じラベルを継承します。

オーディエンスへのラベルの適用

NOTE
ラベル付き属性を使用するオーディエンスも、同じアクセス制限を適用する場合は、同様にラベル付けする必要があります。

スキーマフィールドのラベル付けを完了したら、オーディエンスのラベル付けを開始できます。

顧客 セクションの左側のナビゲーションから「オーディエンス」を選択します。 組織で使用可能なオーディエンスのリストが表示されます。 この例では、以下の2つのオーディエンスには、機密性の高いヘルスデータが含まれているため、ラベルを付ける必要があります。

  • 血中ブドウ糖> 100
  • インスリン <50

血糖値> 100」を選択して、オーディエンスのラベル付けを開始します(チェックボックスではなくオーディエンス名で)。

「オーディエンス」タブから選択されている血糖値>100を示す 画像

オーディエンス 詳細​画面が表示されます。 「アクセスを管理」を選択します。

管理者アクセスの選択範囲を示す画像

アクセスおよびデータガバナンスラベルの適用」ダイアログが表示され、オーディエンスに適用するラベルを選択できます。 この使用例では、PHI/規制済みヘルスデータ ラベルを選択し、保存​を選択します。

RHD ラベルの選択範囲を示す画像と、選択中の保存

インスリン <50​で上記の手順を繰り返します。

NOTE
​ オブジェクトレベルのアクセス制御を使用して、Adobe Journey Optimizerの様々なオブジェクトに権限 ワークスペースで作成されたラベル(上記のオーディエンスラベルなど)を割り当てます。」

アクセス制御ポリシーのアクティブ化 policy

デフォルトのアクセス制御ポリシーでは、ラベルを活用して、特定のExperience Platform リソースに対するアクセス権を持つユーザーロールを定義します。 この例では、スキーマフィールドとオーディエンスへのアクセスは、スキーマフィールドに対応するラベルを持つ役割にないユーザーのすべてのサンドボックスで拒否されます。

アクセス制御ポリシーを有効にするには、左側のナビゲーションから権限を選択し、ポリシー​を選択します。

表示されるポリシーのリスト ​

次に、Default-Field-Level-Access-Control-Policy​の横にある省略記号(...)を選択すると、役割を編集、アクティブ化、削除、または複製するためのコントロールがドロップダウンに表示されます。 ドロップダウンから「アクティブ化」を選択します。

​ ポリシーをアクティブ化するためのドロップダウン ​

アクティベーションポリシーのダイアログが表示され、アクティベーションの確認を求めるメッセージが表示されます。 「確認」を選択します。

​ ポリシーダイアログをアクティブ化

ポリシーのアクティベーションの確認を受け取り、​ ポリシー ページに戻ります。

​ ポリシー確認の有効化

次の手順

役割、スキーマフィールド、オーディエンスへのラベルの適用が完了しました。 これらの役割に割り当てられた外部代理店は、これらのラベルとその値をスキーマ、データセット、プロファイルビューで表示することを制限されています。 これらのフィールドは、セグメントビルダーを使用する際に、セグメント定義で使用することも制限されています。

属性ベースのアクセス制御の詳細については、属性ベースのアクセス制御の概要を参照してください。

次のビデオは、属性ベースのアクセス制御に関する理解を深めることを目的とし、役割、リソース、ポリシーの設定方法の概要を示しています。

recommendation-more-help
experience-platform-help-access-control