属性ベースのアクセス制御 attribute-based-access
属性ベースのアクセス制御機能を使用すると、特定のユーザーチームまたはユーザーグループのデータアクセスを管理する権限を定義できます。機密性の高いデジタルアセットを権限のないユーザーから保護し、個人データの保護を強化することを目的としています。
Adobe Journey Optimizer の属性ベースのアクセス制御を使用して、データを保護し、Experience Data Model(XDM)スキーマ、プロファイル属性、オーディエンスなどの特定のフィールド要素に対する特定のアクセス権を付与します。
属性ベースのアクセス制御で使用される用語のリストについて詳しくは、Adobe Experience Platform ドキュメントを参照してください。
この例では、「国籍」スキーマフィールドにラベルを追加して、権限のないユーザーによる使用を制限します。これを機能させるには、次の手順を実行します。
-
新しい 役割 を作成し、スキーマフィールドにアクセスして使用できるようにさせたいユーザーに対応する ラベル を割り当てます。
-
Adobe Experience Platform で ラベル を 国籍 スキーマフィールドに割り当てます。
-
Adobe Journey Optimizer で スキーマフィールド を使用します。
役割、ポリシー および 製品 には、属性ベースのアクセス制御 API を使用してアクセスすることもできます。詳しくは、このドキュメントを参照してください。
ロールの作成とラベルの割り当て assign-role
役割の権限を管理する前に、ポリシーを作成します。詳しくは、Adobe Experience Platform ドキュメントを参照してください。
役割 は、組織内で同じ権限、ラベル、サンドボックスを共有するユーザーの集まりです。役割 に属する各ユーザーには、製品に含まれるアドビのアプリとサービスに対する権限が付与されます。自身の 役割 を作成して、インターフェイス内の特定の機能やオブジェクトに対するユーザーのアクセスを微調整することもできます。
選択したユーザーに C2 というラベルの「国籍」フィールドへのアクセス権を付与するには、特定のユーザーの集まりで新しい 役割 を作成し、C2 ラベルを付与して、ジャーニー の 国籍 詳細を使用できるようにします。
-
Permissions 製品で、左側のパネルのメニューから「役割」を選択し、「役割を作成」をクリックします。ラベル は、ビルトインの役割に追加することもできます。
-
新しい 役割 に、名前 と 説明 を追加します。ここでは「Restricted role demographic」とします。
-
ドロップダウンで サンドボックス を選択します。
-
リソース メニューで「Adobe Experience Platform」をクリックし、様々な機能を開きます。 ここでは、「ジャーニー」を選択します。
-
ドロップダウンで、「ジャーニーの表示」や「ジャーニーの公開」など、選択した機能にリンクされている 権限 を選択します。
-
新しく作成した 役割 を保存したら、「プロパティ」をクリックして、役割へのアクセスをさらに設定します。
-
「ユーザー」タブで、「ユーザーを追加」をクリックします。
-
「ラベル」タブで、「ラベルを追加」を選択します。
-
役割に追加したい ラベル を選択して、「保存」をクリックします。この例では、先ほど制限したスキーマのフィールドにアクセスできるようにしたいユーザーに、ラベル「C2」を付与します。
これで「制限付き役割デモグラフィック」の役割のユーザーが、C2 のラベルが付いたオブジェクトにアクセスできるようになりました。
Adobe Experience Platform でオブジェクトにラベルを割り当てます。 assign-label
ラベル は、属性ベースのアクセス制御を使用して特定の特徴領域を割り当てるために使用できます。この例では、「国籍」フィールドへのアクセスは制限されています。このフィールドには、対応する ラベル が 役割 に割り当てられているユーザーのみがアクセスできます。
なお、ラベル は、スキーマ、データセット および オーディエンス にも追加できます。
-
スキーマ を作成します。詳しくは、このドキュメントを参照してください。
-
新しく作成された スキーマ で、まずは 国籍 フィールドを含む デモグラフィックの詳細 フィールドグループを追加します。
-
「ラベル」タブで、制限されたフィールド名、この例では 国籍 を確認します。次に、右側のパネルのメニューから、「ガバナンスラベルを編集」を選択します。
-
対応する ラベル(このケースでは C2)を選択します。データをサードパーティにエクスポートすることはできません。使用可能なラベルの詳細なリストについては、こちらのページを参照してください。
-
必要に応じてスキーマをさらにパーソナライズしてから、有効化します。スキーマを有効にする方法に関する手順について詳しくは、こちらのページを参照してください。
これで、スキーマのフィールドは、C2 ラベルが設定された役割に属するユーザーにのみ表示および使用できるようになります。ラベル を フィールド名 に適用することで、作成されるすべてのスキーマで ラベル が自動的に「国籍」フィールドに適用されます。
Adobe Journey Optimizer のラベル付きオブジェクトへのアクセス attribute-access-ajo
新しいスキーマと役割で「国籍」フィールド名にラベルを付けたら、この制限の影響を Adobe Journey Optimizer で確認できます。この例の場合:
- 「C2」というラベルの付いたオブジェクトにアクセスできるユーザー X は、制限付きの フィールド名 をターゲティングする条件でジャーニーを作成します。
- 「C2」というラベルの付いたオブジェクトにアクセスできないユーザー Y は、ジャーニーを公開しようと試みます。
-
Adobe Journey Optimizer から、データソース を新しいスキーマに設定する必要があります。
-
新しく作成した スキーマ の新しい フィールドグループ をビルトインの データソース に追加します。また、新しい外部 データソース および関連する フィールドグループ を作成することもできます。
-
以前に作成した スキーマ を選択した後、フィールド カテゴリから「編集」をクリックします。
-
ターゲット設定する フィールド名 を選択します。ここでは、制限付きの「国籍」フィールドを選択します。
-
特定の国籍を持つユーザーにメールを送信するジャーニーを作成します。イベント と 条件 を追加します。
-
制限付きの「国籍」フィールドを選択して、式の作成を開始します。
-
「条件」を編集し、制限付きの「国籍」フィールドを持つ特定の母集団をターゲットにします。
-
必要に応じてジャーニーをパーソナライズします。ここでは、メール アクションを追加します。
ラベル「C2」オブジェクトへのアクセス権を持たないユーザー Y が、制限付きフィールドを使用するこのジャーニーにアクセスする必要がある場合:
- ユーザー Y にはこのフィールドは表示されないので、ユーザー Y は制限付きのフィールド名を使用できません。
- ユーザー Y は、制限付きのフィールド名を使用した式を、詳細設定モードで編集できません。次のエラーが表示されます。
The expression is invalid. Field is no longer available or you do not have enough permission to see it
- ユーザー Y は式を削除できます。
- ユーザー Y はジャーニーをテストできません。
- ユーザー Y はジャーニーを公開できません。