属性ベースのアクセス制御 attribute-based-access

このページ: Adobe Journey Optimizerの属性ベースのアクセス制御を使用して、機密性の高いスキーマフィールド、プロファイル属性、およびオーディエンスを承認済みの役割に制限します。これにより、個人データを保護し、権限のないユーザーが操作するのを防ぐことができます。

属性ベースのアクセス制御機能を使用すると、特定のユーザーチームまたはユーザーグループのデータアクセスを管理する権限を定義できます。 機密性の高いデジタルアセットを権限のないユーザーから保護し、個人データの保護を強化することを目的としています。

Adobe Journey Optimizer の属性ベースのアクセス制御を使用して、データを保護し、エクスペリエンスデータモデル(XDM)スキーマ、プロファイル属性、オーディエンスなどの特定のフィールド要素に対する特定のアクセス権を付与します。

属性ベースのアクセス制御で使用される用語のリストについて詳しくは、Adobe Experience Platform ドキュメントを参照してください。

この例では、「国籍」スキーマフィールドにラベルを追加して、権限のないユーザーによる使用を制限します。 これを機能させるには、次の手順を実行します。

  1. 新しい​ 役割 ​を作成し、スキーマフィールドにアクセスして使用できるようにさせたいユーザーに対応する​ ラベル ​を割り当てます。

  2. Adobe Experience Platform で​ ラベル ​を​ 国籍 ​スキーマフィールドに割り当てます。

  3. Adobe Journey Optimizer で​ スキーマフィールド ​を使用します。

役割ポリシー​および​ 製品 ​には、属性ベースのアクセス制御 API を使用してアクセスすることもできます。 詳しくは、このドキュメントを参照してください。

ロールの作成とラベルの割り当て assign-role

IMPORTANT
​>役割の権限を管理する前に、ポリシーを作成します。 詳しくは、Adobe Experience Platform ドキュメントを参照してください。

役割​は、組織内で同じ権限、ラベル、サンドボックスを共有するユーザーの集まりです。 役割​に属する各ユーザーには、製品に含まれるアドビのアプリとサービスに対する権限が付与されます。 自身の​ 役割 ​を作成して、インターフェイス内の特定の機能やオブジェクトに対するユーザーのアクセスを微調整することもできます。

選択したユーザーに C2 というラベルの「国籍」フィールドへのアクセス権を付与するには、特定のユーザーの集まりで新しい​ 役割 ​を作成し、C2 ラベルを付与して、ジャーニー​の​ 国籍 ​詳細を使用できるようにします。

  1. Permissions 製品で、左側のパネルのメニューから「役割」を選択し、「役割を作成」をクリックします。 ラベル​は、ビルトインの役割に追加することもできます。

    権限製品での新しい役割の作成

  2. 新しい​ 役割 ​に、名前​と​ 説明 ​を追加します。ここでは「Restricted role demographic」とします。

  3. ドロップダウンで​ サンドボックス ​を選択します。

  4. リソース​メニューで「Adobe Experience Platform」をクリックし、様々な機能を開きます。 ここでは、「ジャーニー」を選択します。

  5. ドロップダウンで、「ジャーニーの表示」や「ジャーニーの公開」など、選択した機能にリンクされている​ 権限 ​を選択します。

  6. 新しく作成した​ 役割 ​を保存したら、「プロパティ」をクリックして、役割へのアクセスをさらに設定します。

  7. ユーザー」タブで、「ユーザーを追加」をクリックします。

  8. ラベル」タブで、「ラベルを追加」を選択します。

  9. 役割に追加したい​ ラベル ​を選択して、「保存」をクリックします。 この例では、先ほど制限したスキーマのフィールドにアクセスできるようにしたいユーザーに、ラベル「C2」を付与します。

    ラベル設定の保存

これで「制限付き役割デモグラフィック」の役割のユーザーが、C2 のラベルが付いたオブジェクトにアクセスできるようになりました。

Adobe Experience Platform でオブジェクトにラベルを割り当てます。 assign-label

WARNING
ラベルの使用が正しくないと、ユーザーへのアクセスが中断され、ポリシー違反がトリガーされる可能性があります。

ラベル​は、属性ベースのアクセス制御を使用して特定の特徴領域を割り当てるために使用できます。 この例では、「国籍」フィールドへのアクセスは制限されています。 このフィールドには、対応する​ ラベル ​が​ 役割 ​に割り当てられているユーザーのみがアクセスできます。

なお、ラベル​は、スキーマデータセット​および​ オーディエンス ​にも追加できます。

  1. スキーマ​を作成します。 詳しくは、このドキュメントを参照してください。

  2. 新しく作成された​ スキーマ ​で、まずは​ 国籍 ​フィールドを含む​ デモグラフィックの詳細 ​フィールドグループを追加します。

  3. ラベル」タブで、制限されたフィールド名、この例では​ 国籍 ​を確認します。 次に、右側のパネルのメニューから、「ガバナンスラベルを編集」を選択します。

    フィールドのガバナンスラベルの編集

  4. 対応する​ラベル(このケースでは C2)を選択します。データをサードパーティにエクスポートすることはできません。 使用可能なラベルの詳細なリストについては、こちらのページを参照してください。

  5. 必要に応じてスキーマをさらにパーソナライズしてから、有効化します。 スキーマを有効にする方法に関する手順について詳しくは、こちらのページを参照してください。

これで、スキーマのフィールドは、C2 ラベルが設定された役割に属するユーザーにのみ表示および使用できるようになります。 ラベル​を​ フィールド名 ​に適用することで、作成されるすべてのスキーマで​ ラベル ​が自動的に「国籍」フィールドに適用されます。

Adobe Journey Optimizer のラベル付きオブジェクトへのアクセス attribute-access-ajo

新しいスキーマと役割で「国籍」フィールド名にラベルを付けたら、この制限の影響を Adobe Journey Optimizer で確認できます。 この例の場合:

  • 「C2」というラベルの付いたオブジェクトにアクセスできるユーザー X は、制限付きの​ フィールド名 ​をターゲティングする条件でジャーニーを作成します。
  • 「C2」というラベルの付いたオブジェクトにアクセスできないユーザー Y は、ジャーニーを公開しようと試みます。
  1. Adobe Journey Optimizer から、データソース​を新しいスキーマに設定する必要があります。

    データソースの設定

  2. 新しく作成した​ スキーマ ​の新しい​ フィールドグループ ​をビルトインの​ データソース ​に追加します。 また、新しい外部​ データソース ​および関連する​ フィールドグループ ​を作成することもできます。

    データソースにフィールドグループを追加する

  3. 以前に作成した​ スキーマ ​を選択した後、フィールド​カテゴリから「編集」をクリックします。

  4. ターゲット設定する​ フィールド名 ​を選択します。 ここでは、制限付きの「国籍」フィールドを選択します。

  5. 特定の国籍を持つユーザーにメールを送信するジャーニーを作成します。 イベント​と​ 条件 ​を追加します。

  6. 制限付きの「国籍」フィールドを選択して、式の作成を開始します。

  7. 条件」を編集し、制限付きの「国籍」フィールドを持つ特定の母集団をターゲットにします。

  8. 必要に応じてジャーニーをパーソナライズします。ここでは、メール​アクションを追加します。

    ジャーニーにメールアクションを追加する

ラベル「C2」オブジェクトへのアクセス権を持たないユーザー Y が、制限付きフィールドを使用するこのジャーニーにアクセスする必要がある場合:

  • ユーザー Y にはこのフィールドは表示されないので、ユーザー Y は制限付きのフィールド名を使用できません。
  • ユーザー Y は、制限付きのフィールド名を使用した式を、詳細設定モードで編集できません。 次のエラーが表示されます。The expression is invalid. Field is no longer available or you do not have enough permission to see it
  • ユーザー Y は式を削除できます。
  • ユーザー Y はジャーニーをテストできません。
  • ユーザー Y はジャーニーを公開できません。
AI ナレッジリファレンス

このセクションには、このトピックに関連する解釈、検索、質問への回答をサポートすることを目的とした構造化された知識が含まれています。

理解を深めるには、この情報をこのページのドキュメントと組み合わせる必要があります。 どちらのソースも単独で使用することを意図していません。このページでは、機能について説明しますが、この節では、用語、意図、適用可能性、および制約の曖昧さを解消するのに役立つ追加のコンテキストを提供します。

  • TL;DR: Journey Optimizerの機密データフィールドを保護するには、ガバナンスラベルをスキーマフィールドに適用し、一致するラベルを役割に割り当てます。これにより、権限のないユーザーは、これらの制限されたフィールドを使用するジャーニーを表示、編集、テスト、公開できません。

インテント:

  • 役割を作成し、ガバナンスラベルを割り当てて、特定のスキーマフィールドへのアクセスを制限します
  • Adobe Experience Platformのスキーマフィールドにラベルを適用して、アクセス制限を適用する
  • Journey Optimizer ジャーニーでのラベル付きスキーマフィールドの使用
  • ジャーニーで必要なラベルのエクスペリエンスへのアクセス制限を持たないユーザーがどのようにジャーニーを使用するかを理解します
  • 属性ベースのアクセス制御APIによる役割、ポリシー、製品の管理

用語集:

  • ABAC (属性ベースのアクセス制御): ラベル (製品固有)​などの属性に基づいて、特定のチームまたはユーザーグループのデータアクセスを管理する権限を定義する機能
  • 役割:組織​ (製品固有) ​内で同じ権限、ラベル、サンドボックスを共有する一連のユーザー
  • ラベル: スキーマフィールド、データセット、またはオーディエンスに適用されるガバナンスマーカー(C2など)で、どの役割がそれにアクセスできるかを制御します​(製品固有)
  • ポリシー:役割の権限を管理する前に作成する必要がある設定 – ABAC (製品固有)​の前提条件
  • XDM スキーマ: Adobe Experience Platform (product-specific)​でデータ構造を定義するために使用されるExperience Data Model スキーマ

ガードレール:

  • 役割の権限を管理する前に、ポリシーを作成する必要があります(ページの重要なメモに記載されているように、前提条件)
  • ラベルの使用が正しくないと、ユーザーやトリガーポリシー違反のアクセス権が失われる可能性があります(ページの「警告」に記載されています)
  • 制限フィールドと一致するラベルを持たないユーザーは、制限フィールド名を表示したり、詳細モードで参照する式を編集したり、ジャーニーをテストしたり、ジャーニーを公開したりすることはできません

用語:

  • 正式名称:属性ベースのアクセス制御 – 頭字語:ABAC – 変種:属性ベースのアクセス管理
  • 正式名称:Experience Data Model — Acronym: XDM — バリアント:XDM スキーマ、XDM スキーマ
  • 同義語:「ラベル」 = 「ガバナンスラベル」 = 「データガバナンスラベル」
  • 「役割」(共有された権限とラベルを持つユーザーのグループ)≠「ポリシー」(ラベルに基づくデータアクセスの適用を管理するルール)を混同しないでください
  • 混同しないでください。ABAC (プラットフォームレベルのラベルポリシーを介したスキーマフィールド、データセット、オーディエンスへのアクセスを制御)≠OLAC (ジャーニーやキャンペーンなどの特定のJourney Optimizer オブジェクトへのアクセスを制御)

FAQ:

  • Q: ラベルを組み込みロールに追加できますか? – はい、ラベルはカスタム役割と組み込み役割の両方に追加できます。
  • Q: ジャーニーの制限付きフィールドのラベルが不足しているユーザーはどうなりますか? — フィールドは表示されません。フィールドを参照する式を編集したり、ジャーニーをテストしたり、ジャーニーを公開したりすることはできません。
  • Q: スキーマフィールド以外のオブジェクトにラベルを適用できますか? — スキーマ、データセット、オーディエンスにもラベルを適用できます。
  • Q: ABACで役割、ポリシー、製品を管理するためのAPIはありますか? – はい。役割、ポリシー、製品には、属性ベースのアクセス制御APIを介してアクセスできます。
recommendation-more-help
journey-optimizer-help