基于属性的访问控制端到端指南
在Adobe Experience Platform上使用基于属性的访问控制,以便为您自己和其他关注隐私的多品牌客户提供更大的灵活性来管理用户访问权限。 可以通过基于对象的属性和角色的策略来授予对单个对象(如方案字段和受众)的访问权限。 此功能允许您授予或撤销组织中特定 Platform 用户对各个对象的访问权限。
此功能允许您使用定义组织或数据使用范围的标签对架构字段、受众等进行分类。 您可以将这些相同的标签应用于Adobe Journey Optimizer中的历程、选件和其他对象。 同时,管理员可以定义有关Experience Data Model (XDM)架构字段的访问策略,并更好地管理哪些用户或组(内部、外部或第三方用户)可以访问这些字段。
快速入门
本教程需要您实际了解以下平台组件:
-
Experience Data Model (XDM) 系统:Experience Platform用于组织客户体验数据的标准化框架。
-
Adobe Experience Platform分段服务: Platform中的分段引擎用于根据客户行为和属性从客户配置文件创建受众区段。
用例概述
您将执行一个基于属性的访问控制工作流示例,其中您将创建和分配角色、标签和策略,以配置用户是否可以访问组织中的特定资源。 本指南以限制访问敏感数据为例演示了工作流程。 此用例概述如下:
您是医疗保健提供商,希望配置对组织中资源的访问权限。
- 您的内部营销团队应该能够访问 PHI/监管健康数据 数据。
- 您的外部机构应该不能访问 PHI/监管健康数据 数据。
为此,您必须配置角色、资源和策略。
您将会:
- 为用户的角色添加标签:以营销组与外部代理合作的医疗保健提供商(ACME业务组)为例。
- 为资源(架构字段和受众)添加标签:将 PHI/监管的运行状况数据 标签分配给架构资源和受众。
- 激活将它们链接在一起的策略:启用默认策略,通过将资源上的标签连接到角色中的标签来阻止对架构字段和受众的访问。 随后,具有匹配标签的用户将获得对架构字段的访问权限,并可在所有沙盒中进行分段。
权限
权限是Experience Cloud区域,管理员可以在其中定义用户角色和策略,以管理产品应用程序内功能和对象的权限。
通过权限,您可以创建和管理角色,并为这些角色分配所需的资源权限。 权限还允许您管理与特定角色关联的标签、沙盒和用户。
如果您没有管理员权限,请与系统管理员联系以获得访问权限。
一旦您拥有管理员权限,请转到Adobe Experience Cloud并使用您的Adobe凭据登录。 登录后,会为您拥有管理员权限的组织显示 概述 页面。 此页面显示贵组织订阅的产品,以及用于将用户和管理员添加到该组织的其他控件。 选择 权限 以打开平台集成的工作区。
Platform UI的权限工作区随即出现,并在 概述 页面上打开。
将标签应用于角色 label-roles
角色是对与Platform实例交互的用户类型进行分类的方法,是访问控制策略的构建块。 角色具有给定的权限集,组织的成员可以根据所需的访问范围分配给一个或多个角色。
若要开始,请从左侧导航中选择 角色,然后选择 ACME业务组。
接下来,选择 标签,然后选择 添加标签。
此时将显示组织中所有标签的列表。 选择 RHD 以添加 PHI/Regulated Health Data 的标签,然后选择 保存。
将标签应用于架构字段 label-resources
现在您已配置具有RHD标签的用户角色,下一步是将同一标签添加到要为该角色控制的资源。
从顶部导航中,选择由 图标表示的 应用程序切换器,然后选择 Experience Platform。
从左侧导航中选择 架构,然后从显示的架构列表中选择 ACME Healthcare。
接下来,选择 标签 以查看显示与架构关联字段的列表。 在此处,您可以一次性将标签分配给一个或多个字段。 选择 血糖 和 胰岛素水平 字段,然后选择 应用访问和数据治理标签。
将显示 编辑标签 对话框,允许您选择要应用于架构字段的标签。 对于此用例,请选择 PHI/监管的运行状况数据 标签,然后选择 保存。
将标签应用于受众
完成为架构字段设置标签之后,您现在可以开始为受众设置标签。
从 客户 部分下的左侧导航中选择 受众。 此时将显示组织中可用的受众列表。 在此示例中,将标记以下两个受众,因为它们包含敏感的健康数据:
- 血糖>100
- 胰岛素<50
选择 血糖>100(按受众名称,而不是复选框)以开始为受众设置标签。
将显示区段 详细信息 屏幕。 选择 管理访问权限。
将显示 应用访问和数据治理标签 对话框,允许您选择要应用于受众的标签。 对于此用例,请选择 PHI/监管的运行状况数据 标签,然后选择 保存。
对 胰岛素<50 重复上述步骤。
激活访问控制策略 policy
默认访问控制策略将利用标签来定义哪些用户角色有权访问特定平台资源。 在此示例中,对于未在架构字段具有相应标签的角色中的用户,将拒绝其在所有沙盒中访问架构字段和受众。
要激活访问控制策略,请从左侧导航中选择权限,然后选择 策略。
接下来,选择 Default-Field-Level-Access-Control-Policy 旁边的省略号(...
),此时下拉菜单会显示用于编辑、激活、删除或复制角色的控件。 从下拉列表中选择 激活。
此时会出现激活策略对话框,提示您确认激活。 选择 确认。
收到策略激活确认消息,并返回策略页面。
后续步骤
您已完成将标签应用于角色、架构字段和受众。 分配给这些角色的外部机构无法查看这些标签及其在架构、数据集和配置文件视图中的值。 在使用区段生成器时,也不允许在区段定义中使用这些字段。
有关基于属性的访问控制的详细信息,请参阅基于属性的访问控制概述。
以下视频旨在支持您了解基于属性的访问控制,并概述如何配置角色、资源和策略。