ユーザグループとアセットグループを使用してアクセス制御を設定する - 旧ドキュメント

  • 更新
フォローする

この機能を使用できるユーザー

admin-line.png
管理者・運用者

 

アクセス制御が必要なケース

カタログの閲覧・編集について、以下のような運用を実現したい場合、アセットグループとユーザーグループを用いたアクセス制御の設定が必要になります。

運用例

  • スキーマ毎に、アセットを編集可能なユーザーと閲覧のみ可能なユーザーに分類したい
  • 一部のスキーマのみ、全ユーザーに閲覧させたい

 

アセットグループとは

複数のアセットをグループ化したものです。アセットは複数のグループに含めることができます。

 

ユーザーグループとは

複数のユーザーをグループ化し、QDICの役割を設定したものです。ユーザーは複数のグループに属することができます。

SSO(シングルサインオン)認証の場合、ユーザーグループは、認証サービス(IdP)で作成したものを使用し、QDICで役割を付与します。

 

QDICの役割

ユーザーグループで設定する役割は、以下の通りです。

管理者

QDIC全体のシステム設定とユーザー権限を管理します。

全ての操作・設定が可能です。

データスチュワード(運用者)

データ品質管理を担当し、管理者の重要な決定をサポートします。

管理者から、以下を除いた全ての操作が可能です。

  • 組織管理 » ログイングインセキュリティ
  • 組織管理 » SSO設定

データスチュワード(運用者)補佐

運用者を補佐し、データ管理をサポートします。

データスチュワードから、以下を除いた操作が可能です。

  • 組織管理 » ユーザー管理
  • 組織管理 » ユーザーグループ
  • 組織管理 » アセットグループ
  • 組織管理 » クレデンシャル管理
  • アセット管理 » ファイル出力

開発者

アプリケーション開発と技術的な設定を担当します。

以下の操作が可能です。

  • アセットの編集とタグの新規作成および編集(ただし、ファイルによる一括作成・編集はできません。)
  • アセットおよびタグに対するコメントの付与
  • 組織管理 » クレデンシャル管理
  • アセット管理 » ファイル出力

コントリビュータ

主にカタログを利用しますが、メタデータの編集も協力します。

以下の操作が可能です。

  • アセットの編集(ただし、CSVファイルのインポートによる一括編集はできません。)
  • アセットおよびタグに対するコメントの付与
  • タグ用語集の閲覧

閲覧者

カタログを閲覧し、他のユーザーとのコラボレーションに参加します。

以下の操作が可能です。

  • アセットの閲覧
  • アセットおよびタグに対するコメントの付与
  • タグ用語集の閲覧

ゲスト閲覧者

カタログの閲覧のみ行い、他のユーザーとのコラボレーションには参加できません。

以下の操作が可能です。

  • 各アセットの閲覧
  • タグ用語集の閲覧役割で作成するユーザーグループに権限の割り当てを行うことができます。

 

アクセス制御の基本概念

ユーザーグループに対し、使用を許可するアセットグループを設定することで、使用可能なアセットの範囲と、アセットに対する権限を制御します。

例えば、下記のイメージ図の場合、各ユーザーグループがアクセスできるアセットの関係は次のようになります。

  • ユーザーグループ1に属するユーザーは、管理者として、全てのスキーマに属するアセットの編集が可能
  • ユーザーグループ2に属するユーザーは、運用者として、スキーマ1、2に属するアセットの編集が可能
  • ユーザーグループ3に属するユーザーは、運用者として、スキーマ3、4に属するアセットの編集が可能
  • ユーザーグループ4に属するユーザーは、閲覧者として、全てのスキーマに属するアセットの閲覧が可能

 

設定手順

以下の手順で行います。

  1. アセットグループを作成
  2. ユーザーグループを作成

アセットグループへのアクセス

アセットグループ画面は、設定 » 組織管理 » アセットグループ を選択します。

  1. 設定画面のメニューで[組織管理] > [アセットグループ]の順に選択します。
  2. [+新規追加する]をクリックします。
  3. アセットグループ名を入力します。
  4. アセットグループのタイプでは、[自動]もしくは[手動]を選択します。
    1. [自動]
      作成したアセットグループに割り当てられるID(アセットグループ作成後に、アセットグループ一覧から該当アセットを選択すると表示されるURL上の[asgp-]で始まる文字列のこと)を、Metadata Agent側のパラメータ(AssetGroupIds)に設定することで、Metadata Agentで収集したアセットは自動で該当アセットグループに割り当てられます。
    2. [手動]
      手動でアセットグループにアセットを割り当てます。アセット(スキーマ名、BIグループ名)を検索し、該当のアセットを追加します。
  5. [新規作成する]をクリックします。

 

ユーザーグループの作成

  1. 設定画面のメニューで[組織管理] > [ユーザーグループ]の順に選択します。
  2. [+グループを追加]をクリックします。
  3. [グループ名]の欄に、任意のユーザーグループ名を記入します。※後述の役割に応じた名前を追加しておくと、後々の管理がし易いでしょう。
  4. グループタイプでは、[手動]もしくは[自動]を選択します。
    1. [手動]
      このユーザーグループの作成画面ではユーザーの追加自体はできません。グループ作成後に、ユーザーグループの画面上で作成されたグループを選択し、[+ユーザーを追加]からユーザーを手動で追加できます。尚、追加できるユーザーは、Quollioのサービス上に存在するユーザー([ユーザー管理]画面に登録されているユーザー)が対象です。
    2. [自動]
      SSOからユーザーを自動的に取得します。
      • プロバイダー名
        あらかじめ[組織管理] > [SSO設定]で設定したプロバイダー名を利用します。
      • 関連するグループ
        [全て]を選ぶか、[選択されたグループ](Microsoft Entra IDやOkta側で用意したグループ)を設定することが可能です。[選択されたグループ]を利用する場合は、後述のデータアクセスや役割に応じてグループを設定します。[+新規追加する]から複数のグループIDを紐付けることが可能です。
  5. データアクセスでは、[全て]と[選択されたアセットグループ]のどちらかを選択します。
    1. [全て]
      Quollioサービス上に登録されたアセット全てにアクセスできます。
    2. [選択されたアセットグループ]
      [+ 新規追加する]をクリックし、ユーザーグループがアクセスできるアセットグループを設定します。同時に、表示する内容を制御することも可能です。
      • 表示制御できる項目
        • プロパティセット
          ※現状、一部のプロパティセットのみ非表示という設定はできません。
        • 解析
        • アクセスログ
        • リネージ
  6. 役割を選択します。
  7. [新規作成する]をクリックします。

 

アセットグループの削除

アセットグループの一覧から、(縦の)3点リーダーをクリックし、削除を選択します。削除の確認画面が表示されますので、ナビゲーションに従って操作してください。

 

ユーザーグループの削除

ユーザーグループの一覧から、削除したいユーザーグループを選択します。[+グループの管理]をクリックし、画面に表示される[ユーザーグループを削除]を選択すると、削除の確認画面が表示されますので、ナビゲーションに従って操作してください。

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

関連記事