アクセスコントロール

はじめに

  • スキーマごとにメタデータを編集できるユーザーと閲覧しかできないユーザーを分けたい
  • 一部のスキーマのみ全ユーザーに閲覧させたい

といった、Quollioサービス上に登録されたアセットのメタデータの編集や閲覧を制御したい場合、アセットグループとユーザーグループの2つのグループの概念を利用することによって実現可能です。

アセットグループ

複数のアセット(※1)を1つのグループとして定義します。1つのアセットを複数のグループに含めることもできます。

ユーザーグループ

複数のユーザーを1つのグループとして定義します。各ユーザーは複数のグループに属することができます(※2)。

また、各ユーザーグループに対して役割とアクセスできるアセットグループを設定します。役割については本ページの後半をご参照ください。

※1:2024年3月時点では、アセットとして選択できるのはスキーマ・BIグループとなります。

※2:SSOを利用している場合、ユーザーグループに属するユーザーを自動で制御することも可能です。

 

例えば、下記のイメージ図の場合、各ユーザーグループがアクセスできるアセットの関係は次のようになります。

wholeImage

  • ユーザーグループ1に属するユーザーは、すべてのスキーマに属するアセットのメタデータの編集が可能
  • ユーザーグループ2に属するユーザーは、スキーマ1、2に属するアセットのメタデータの編集が可能
  • ユーザーグループ3に属するユーザーは、スキーマ3、4に属するアセットのメタデータの編集が可能
  • ユーザーグループ4に属するユーザーは、すべてのスキーマに属するアセットの閲覧が可能

設定の流れ

  1. アセットグループの作成
  2. ユーザーグループの作成

アセットグループの作成

  1. 設定画面のメニューで[組織管理] > [アセットグループ]の順に選択します。
  2. [+新規追加する]をクリックします。
  3. アセットグループ名を入力します。
  4. アセットグループのタイプでは、[自動]もしくは[手動]を選択します。
    1. [自動]
      作成したアセットグループに割り当てられるID(アセットグループ作成後に、アセットグループ一覧から該当アセットを選択すると表示されるURL上の[asgp-]で始まる文字列のこと)を、Metadata Agent側のパラメータ(AssetGroupIds)に設定することで、Metadata Agentで収集したアセットは自動で該当アセットグループに割り当てられます。
    2. [手動]
      手動でアセットグループにアセットを割り当てます。アセット(スキーマ名、BIグループ名)を検索し、該当のアセットを追加します。
  5. [新規作成する]をクリックします。

ユーザーグループの作成

  1. 設定画面のメニューで[組織管理] > [ユーザーグループ]の順に選択します。
  2. [+グループを追加]をクリックします。
  3. [グループ名]の欄に、任意のユーザーグループ名を記入します。※後述の役割に応じた名前を追加しておくと、後々の管理がし易いでしょう。
  4. グループタイプでは、[手動]もしくは[自動]を選択します。
    1. [手動]
      このユーザーグループの作成画面ではユーザーの追加自体はできません。グループ作成後に、ユーザーグループの画面上で作成されたグループを選択し、[+ユーザーを追加]からユーザーを手動で追加できます。尚、追加できるユーザーは、Quollioのサービス上に存在するユーザー([ユーザー管理]画面に登録されているユーザー)が対象です。
    2. [自動]
      SSOからユーザーを自動的に取得します。
      • プロバイダー名
        あらかじめ[組織管理] > [SSO設定]で設定したプロバイダー名を利用します。
      • 関連するグループ
        [全て]を選ぶか、[選択されたグループ](Microsoft Entra IDやOkta側で用意したグループ)を設定することが可能です。[選択されたグループ]を利用する場合は、後述のデータアクセスや役割に応じてグループを設定します。[+新規追加する]から複数のグループIDを紐付けることが可能です。
  5. データアクセスでは、[全て]と[選択されたアセットグループ]のどちらかを選択します。
    1. [全て]
      Quollioサービス上に登録されたアセット全てにアクセスできます。
    2. [選択されたアセットグループ]
      [+ 新規追加する]をクリックし、ユーザーグループがアクセスできるアセットグループを設定します。同時に、表示する内容を制御することも可能です。
      • 表示制御できる項目
        • プロパティセット
          ※現状、一部のプロパティセットのみ非表示という設定はできません。
        • 解析
        • アクセスログ
        • リネージ
  6. 枠内に表示された7種類の役割に対してチェックを入れます。
    管理者 全ての操作が可能
    データスチュワード ログインセキュリティ/SSO設定以外の全ての操作が可能
    データスチュワード補佐

    データスチュワードから以下の操作を除いた操作が可能

    • 設定:組織管理
      ユーザー管理/ユーザーグループ/アセットグループ/クリデンシャル管理
    • 設定:アセット管理
      ファイル出力

    開発者

    以下の操作が可能
    • 各アセットのメタデータの編集とタグ操作(新規作成・編集)
      ※ファイルによる一括編集はできません。
    • 各アセットやタグに対するコメント
    • 設定:組織管理
      クリデンシャル管理
    • 設定:アセット管理
      ファイル出力
    コントリビュータ

    以下の操作が可能

    • 各アセットのメタデータの編集
      ※ファイルによる一括編集はできません。
    • 各アセットやタグに対するコメント
    • タグ用語集の閲覧
    閲覧者 以下の操作が可能
    • 各アセットの閲覧
    • 各アセットやタグに対するコメント
    • タグ用語集の閲覧
    ゲスト閲覧者 以下の操作が可能
    • 各アセットの閲覧
    • タグ用語集の閲覧役割で作成するユーザーグループ
    • に権限の割り当てを行うことができます。
  7. [新規作成する]をクリックします。

その他の操作

アセットグループの削除

アセットグループの一覧から、(縦の)3点リーダーをクリックし、削除を選択します。削除の確認画面が表示されますので、ナビゲーションに従って操作してください。

ユーザーグループの削除

ユーザーグループの一覧から、削除したいユーザーグループを選択します。[+グループの管理]をクリックし、画面に表示される[ユーザーグループを削除]を選択すると、削除の確認画面が表示されますので、ナビゲーションに従って操作してください。