属性ベースのアクセス制御エンドツーエンドガイド
Adobe Experience Platformの属性ベースのアクセス制御を使用すると、自分自身や他のマルチブランドのプライバシーを重視するお客様に、ユーザーアクセスをより柔軟に管理できます。 スキーマフィールドやセグメントなどの個々のオブジェクトへのアクセスは、オブジェクトの属性と役割に基づくポリシーで許可できます。 この機能を使用すると、組織内の特定の Platform ユーザーに対する個々のオブジェクトへのアクセスを許可または取り消すことができます。
この機能を使用すると、スキーマフィールドやセグメントなどを、組織またはデータの使用範囲を定義するラベルで分類できます。 Adobe Journey Optimizerのジャーニー、オファーおよびその他のオブジェクトに同じラベルを適用できます。 同時に、管理者は、エクスペリエンスデータモデル(XDM)スキーマフィールドに関するアクセスポリシーを定義し、それらのフィールドにアクセスできるユーザーまたはグループ(内部、外部、またはサードパーティのユーザー)をより適切に管理できます。
はじめに
このチュートリアルでは、次の Platform コンポーネントに関する十分な知識が必要です。
-
Experience Data Model (XDM) システム:Experience Platform が顧客体験データの整理に使用する標準化されたフレームワーク。
- スキーマ構成の基本:スキーマ構成の主要な原則やベストプラクティスなど、XDM スキーマの基本的な構成要素について学びます。
- スキーマエディターのチュートリアル:スキーマエディター UI を使用してカスタムスキーマを作成する方法を説明します。
-
Adobe Experience Platform セグメント化サービス:Platform 内のセグメント化エンジンで、顧客の行動と属性に基づいて顧客プロファイルからオーディエンスセグメントを作成するのに使用されます。
ユースケースの概要
属性ベースのアクセス制御ワークフローの例について説明します。このワークフローでは、役割、ラベル、ポリシーを作成して割り当て、ユーザーが組織内の特定のリソースにアクセスできるかどうかを設定します。 このガイドでは、機密データへのアクセスを制限する例を使用して、ワークフローを示します。 このユースケースの概要を次に示します。
医療提供者で、組織内のリソースへのアクセスを設定したい場合。
- 社内マーケティングチームは、PHI/規制対象の医療データ データにアクセスできる必要があります。
- 外部機関は、PHI/規制医療データ データにアクセスできません。
そのためには、役割、リソース、ポリシーを設定する必要があります。
以下を行います。
- ユーザーの役割のラベル付け:マーケティンググループが外部の代理店と連携するヘルスケアプロバイダー(ACME ビジネスグループ)の例を使用します。
- リソース(スキーマフィールドとセグメント)のラベル付け:PHI/規制医療データ ラベルをスキーマのリソースとセグメントに割り当てます。
-
- それらをリンクするポリシーをアクティブ化します:: リソースのラベルを役割のラベルに接続することで、スキーマフィールドおよびセグメントへのアクセスを防止するデフォルトポリシーを有効にします。 ラベルが一致するユーザーには、すべてのサンドボックスでスキーマフィールドとセグメントにアクセスできます。
権限
権限 は、Experience Cloud者がユーザーロールとポリシーを定義して、製品アプリケーション内の機能とオブジェクトの権限を管理できる管理エリアです。
権限 を通じて、役割を作成および管理し、それらの役割に対して必要なリソース権限を割り当てることができます。 権限 を使用すると、特定の役割に関連付けられたラベル、サンドボックス、ユーザーを管理することもできます。
管理者権限がない場合は、システム管理者に連絡してアクセス権を取得してください。
管理者権限があれば、Adobe Experience Cloud に移動し、Adobe資格情報を使用してログインします。 ログインすると、管理者権限を持つ組織の 概要 ページが表示されます。 このページには、組織が購読している製品と、組織にユーザーと管理者を追加するための他のコントロールが表示されます。 権限 を選択して、Platform 統合用のワークスペースを開きます。
Platform UI の権限ワークスペースが表示され、役割 ページが開きます。
役割にラベルを適用 label-roles
役割は、Platform インスタンスとやり取りするユーザーのタイプを分類する方法で、アクセス制御ポリシーの構成要素です。 役割には特定の権限セットが付与され、必要なアクセス範囲に応じて、組織のメンバーを 1 つ以上の役割に割り当てることができます。
開始するには、役割 ページから ACME ビジネスグループ を選択します。
次に、「ラベル」を選択し、「ラベルを追加」を選択します。
組織のすべてのラベルのリストが表示されます。 RHD を選択して、PHI/規制医療データ のラベルを追加します。 ラベルの横に青いチェックマークが表示されるまでしばらく待ってから、「保存」を選択します。
スキーマフィールドへのラベルの適用 label-resources
RHD ラベルを使用してユーザーの役割を設定したので、次の手順は、その役割で制御するリソースに同じラベルを追加することです。
左側のナビゲーションから スキーマ を選択し、表示されるスキーマのリストから ACME Healthcare を選択します。
次に、「ラベル」を選択して、スキーマに関連付けられたフィールドを表示するリストを表示します。 ここから、1 つまたは複数のフィールドに一度にラベルを割り当てることができます。 BloodGlucose フィールドと InsulinLevel フィールドを選択し、アクセスラベルとデータガバナンスラベルを適用 を選択します。
ラベルを編集 ダイアログが表示され、スキーマフィールドに適用するラベルを選択できます。 このユースケースでは、「PHI/規制医療データ」ラベルを選択し、「保存」を選択します。
セグメントへのラベルの適用
スキーマフィールドのラベル設定が完了したら、セグメントのラベル設定を開始できます。
左側のナビゲーションから セグメント を選択します。 組織で使用可能なセグメントのリストが表示されます。 この例では、次の 2 つのセグメントに機密ヘルスデータが含まれているため、ラベルが付けられます。
- 血糖値が 100 を超える
- インスリン 50 未満
血糖値 > 100 を選択して、セグメントのラベル付けを開始します。
セグメント 詳細 画面が表示されます。 アクセスを管理 を選択します。
ラベルを編集 ダイアログが表示され、セグメントに適用するラベルを選択できます。 このユースケースでは、「PHI/規制医療データ」ラベルを選択し、「保存」を選択します。
上記の手順を インスリン <50 で繰り返します。
アクセス制御ポリシーのアクティブ化 policy
デフォルトのアクセス制御ポリシーは、ラベルを活用して、特定の Platform リソースにアクセスできるユーザーの役割を定義します。 この例では、スキーマフィールドに対応するラベルを持つ役割に属していないユーザーに対しては、すべてのサンドボックスでスキーマフィールドおよびセグメントへのアクセスが拒否されます。
アクセス制御ポリシーをアクティブにするには、左側のナビゲーションから 権限 を選択し、次に ポリシー を選択します。
次に、ポリシー名の横にある省略記号(...)を選択すると、役割を編集、アクティブ化、削除または複製するためのコントロールがドロップダウンに表示されます。 ドロップダウンから「アクティブ化」を選択します。
ポリシーのアクティブ化ダイアログが表示され、アクティベーションを確認するプロンプトが表示されます。 「確認」を選択します。
ポリシーのアクティベーションの確認を受け取り、「 ポリシー ページに戻ります。
次の手順
役割、スキーマフィールド、セグメントへのラベルの適用が完了しました。 これらの役割に割り当てられる外部エージェンシーは、これらのラベルとその値をスキーマ、データセットおよびプロファイルビューで表示することが制限されています。 また、これらのフィールドは、セグメントビルダーを使用する場合、セグメント定義で使用することも制限されています。
属性ベースのアクセス制御の詳細については、属性ベースのアクセス制御の概要を参照してください。
次のビデオは、属性ベースのアクセス制御についての理解を深めるために、また、役割、リソース、ポリシーを設定する方法の概要を説明しています。