この記事では、AEM Assets でのグループベースの権限が、デジタルアセットフォルダーのセキュリティ保護、管理の効率化、ブランドの一貫性、規制コンプライアンス、運用管理の確保に果たす重要な役割について説明します。また、データセキュリティとシステムの安定性を維持することを目的に、ユーザーグループと権限を設定および維持するベストプラクティスについて説明します。
ユーザーグループと権限の基本を学ぶ
AEM Assets の基本を学ぶ際のベストプラクティスとヒントおよびフォルダーの構造と命名について説明しました。この記事では、これらのベストプラクティスに基づいて、ユーザーと権限に焦点を当てています。
様々なアセットに対して異なるアクセス権を持つ複数のユーザーグループを管理する必要がある組織では、デジタルアセットフォルダーを権限で保護することが不可欠です。
AEM Assets では、ユーザー は AEM Assets インスタンスにログインする個々のアカウントであり、グループ はユーザー、グループまたはその両方の論理的なコレクションです。
グループは固定される傾向にありますが、ユーザーはより頻繁に追加または削除されます。
ユーザーグループと権限を使用する理由
権限は、アセットを表示、編集、管理できるユーザーを制御します。
グループベースの権限により、管理が簡素化され、安全なアクセスが確保されます。
グループを使用すると、グループに対して行われた変更がグループのメンバー全員に適用されるので、権限とアクセスの管理が簡素化されます。多くの場合、グループには次の項目が反映されています。
- アプリケーション内の役割 - コンテンツの表示を許可されているユーザー、コンテンツの投稿を許可されているユーザーなどです。
- 組織のコンテンツアクセス制御のニーズ - 異なる部門の投稿者を区別し、それぞれがアクセスして実行できる内容を区別できます。
ユーザーグループと権限は、次の項目を提供または許可します。
- データセキュリティ - 機密性の高いアセットを保護します。
- ブランドの一貫性 - 承認済みユーザーのみがアセットにアクセスし、公開できます。
- 規制コンプライアンス - 著作権、ライセンス、Digital Rights Management、プライバシー法(例:GDPR)をサポートします。
- 運用管理 - 無権限のアクセス、変更、削除を防ぎます。
各グループ内には、AEM Assets 内のコンテンツにアクセス、読み取り、変更できるユーザーを定義する特定の権限が設定されています。AEM では、アクセス制御リスト(ACL)を使用して権限を設定します。ACL は次のとおりです。
- フォルダー、アセットまたはノードに適用されるルール。
- グループごとに設定され、そのグループ内のユーザーによる様々な機能へのアクセスを許可または拒否します。
- 優先度の最も高い項目が先頭になるように順序付けられています。
「AEM Assets は階層的なフォルダー構造を活用し、親フォルダーに適用された権限は子フォルダーとそれに含まれるアセットに自動的にカスケードされます。この組み込みの継承により、アクセス管理が効率化され、管理オーバーヘッドが削減されるので、大規模なコンテンツツリーをまたいで一貫性のある権限適用が確保されます。」
- Deepak Khetawat 氏、Palo Alto Networks プリンシパルソフトウェアエンジニア、AEM Champion
グループと権限の設定に関するベストプラクティス
-
役割に基づくユーザーグループを作成 - 例:作成者、マーケター、クリエイティブ、エージェンシー。
-
個人ではなく、常にグループに権限を割り当て - スケーラビリティを向上させ、監査を簡素化します。
-
過剰なエンジニアリングを回避 - クリーンな許可ベースの構造を使用すると、維持とトラブルシューティングが簡単になります。
-
システムグループまたはデフォルトグループを使用 - AEM に事前定義済みの作成者や DAM ユーザーなど。必要に応じて、役割ベースのアクセス用にカスタムグループ(例:マーケティング承認者、法務レビュアー)を定義します。
-
最小限の権限を付与 - ユーザー/グループには、それぞれの役割に必要な権限のみを付与し、それ以上の権限は付与しません。
-
「許可中心」のモデルを目指す - 例:編集可能、表示可能。「拒否」は、上位レベルまたはグループメンバーシップからの「許可」を上書きする必要がある場合にのみ使用し、「拒否」ステートメントは可能な限り具体的に記述します。
-
アクセス制御リスト(ACL)でトップダウン方式で権限を定義 - リスト内の項目の順序を常に考慮します。評価順序で最初に明示的に一致する ACL が適用されます。
「AEM Assets の権限は、個々のユーザーに直接割り当てるのではなく、常にグループレベルで割り当てる必要があります。このグループベースのアプローチは、スケーラビリティを向上させ、権限監査を簡素化し、エンタープライズアクセス管理のベストプラクティスにも一致します。グループに最初に 1 人のユーザーしか含まれていない場合でも、グループに権限を割り当てることで、ユーザーが参加、退会または役割を変更した場合でも、メンテナンスが簡単になります。権限を変更する必要なく、ユーザーを既存のグループに再割り当てするだけで済みます。」
- Deepak Khetawat 氏、Palo Alto Networks プリンシパルソフトウェアエンジニア、AEM Champion
グループと権限の維持に関する運用上のベストプラクティス
ユーザーグループと権限の設定は、1 回限りの作業ではありません。組織の変化に合わせて、ユーザーグループと権限を定期的に変更し、監査します。メンテナンスとガバナンスの頻度を確立します。
- 定期的に監査 - 特に機密性の高いフォルダーについては、定期的に権限を確認し、コンプライアンスを確保します。
- 環境のパリティを保持 - 開発環境、ステージング環境、実稼動環境をまたいで権限構造をミラーリングし、デプロイメント時の予期しない事態を防ぎます。
- 権限マトリックスを維持 - 透明性、オンボーディング、コンプライアンスを確保し、必要に応じて AEM Assets ユーザー以外の関係者と権限の共有に、グループの役割とアクセスレベルを文書化します。
- レプリケーションの影響を考慮 - アセットへのアクセスが公開サイトに影響を与える場合、権限の変更がパブリッシュインスタンスに反映されるようにします。
試してみる
ユーザーグループと権限の設定に関するベストプラクティスについて説明したので、AEM でグループと権限を試します。
- グループを作成または維持 - Assets/ツール/セキュリティ/ユーザーとグループに移動します。このインターフェイスを使用して、ユーザーを管理し、役割に基づいて関連するグループに割り当てます。
- フォルダーレベルの権限を設定 - AEM Assets で目的の DAM フォルダーに移動し、プロパティ/「権限」タブを開きます。
- レポートを活用 - ユーザーの最終ログインアクティビティを取得します。監査をサポートおよび実行することで、アクセス権を確認するだけでなく、一定期間ログインしていないユーザーやアクセスが不要になったユーザーを削除できます。
追加の学習リソース
インサイトについて詳しくは、Adobe Experience Makers:The Skill Exchange セッションタイトルの AEM ラーニングクラス:アセットワークフロー、権限および統合 を参照してください。また、次のリソースは、AEM Assets でユーザーグループと権限を確立する際に役立ちます。
- ユーザーと権限(AEM as a Cloud Service ドキュメント)
- ユーザー管理とセキュリティ(AEM 6.5 ドキュメント)
- ユーザー、グループおよびアクセス権限の管理(AEM 6.5 ドキュメント)
- ユーザーレポートの生成(コミュニティ投稿)
次の手順
ユーザーグループと権限を介したアクセス制御のベストプラクティスに関するこの記事は、Adobe Experience Manager Assets の基本を学ぶ際の基本的なガイダンス、ベストプラクティス、Adobe Champion のヒントを含む一連の記事の一部です。シリーズの続きとして、次回はメタデータに焦点を当てます。
この AEM Assets の基本的なシリーズのすべての記事を探索するには、次を参照してください。