メインコンテンツへスキップ
Connect AI のデータガバナンスでは、ロールベースアクセス制御(RBAC)を使用してきめ細かい権限管理を行います。各ユーザーに個別にリソースへのアクセスを付与するのではなく、認証されたユーザーは 1 つ以上のロールに所属します。ロールは、Connect AI 内のエンティティ、操作、および管理タスクに対する権限を決定します。 各データソースへの接続方法は、認証パターンを選択することでさらに制御できます。すべてのユーザーが単一のサービスアカウントを介してデータソースにアクセスする共有認証と、各ユーザーが自身の認証情報で認証するユーザーごとの認証のいずれかを選択できます。

ユーザー

Connect AI インスタンスの管理者は、E メールで新規ユーザーを招待します。すべてのユーザーは、ユーザー名とパスワードでConnect AI にログインします。管理者は、新規ユーザーに適切なロールを割り当てることができます。詳しくは Users を参照してください。

ロール

ロールは、リソースにアクセスするための権限の集合です。ロールは以下のガイドラインに従います:
  • 任意のロールを任意のユーザーに割り当てることができます。
  • 各ロールには固有の権限があります。
  • ロールがユーザーに割り当てられると、そのユーザーはロールに関連付けられたすべての権限を取得します。複数のロールを持つユーザーは、それぞれのロールに関連付けられたすべての権限を持ちます。ロールが競合する場合は、より緩いロールが優先されます。例えば、ユーザーが role_1 と role_2 を持ち、role_1 にはデータコネクションに対するSelect 権限があり、role_2 にはそのデータコネクションへのアクセス権がない場合、role_1 が優先され、ユーザーはデータコネクションにアクセスできます。
Connect AI には、Administrator、Connection Administrator、User Administrator、Query の 4 つの事前定義されたプラットフォームロールが用意されています。さらにきめ細かいセキュリティのために、カスタムロールを定義することもできます。 以下の表は、Connect AI の各プラットフォームロールのスコープを示しています。
ロールスコープログアクセス
Administratorアカウントへのフルアクセス:コネクション、ユーザー、請求、設定すべてのクエリログとすべての監査イベント
Connection Administratorコネクションおよびワークスペースの作成/編集/削除、ジョブおよびデータウェアハウスの管理、コネクションおよびワークスペースの権限の割り当て、ユーザーの参照(読み取り専用)、すべてのコネクションへのクエリ実行すべてのクエリログ、コネクションドメインの監査イベントのみ
User Administratorユーザーの作成/招待/編集/無効化、User Administrator ロールおよびQuery ロールの割り当て/取り消し、コネクションおよびワークスペースの参照(読み取り専用)、明示的に権限が付与されたコネクションへのクエリ実行ユーザードメインの監査イベントのみ(招待、ユーザー作成、ロール変更、PAT アクティビティ、なりすまし、ログインアクティビティ)、自身のクエリログのみ
Query権限が付与されたコネクションへのクエリ実行、設定されている場合はUser Credentials による認証自身のクエリログのみ、監査ログへのアクセスはなし

権限

権限は、ロールを構成するよりきめ細かいアクセスレベルです。以下のエンティティ権限を割り当てることができます:
権限の文脈では、エンティティ とはデータコネクション(例:Salesforce1)またはワークスペース(例:MyWorkspace)を指します。エンティティはコネクションのロゴで表示され、ワークスペースはフォルダアイコンで表示されます。
  • Select: ユーザーがエンティティ内のテーブルから行を選択できるようにします。
  • Insert: ユーザーがエンティティのテーブルに行を挿入できるようにします。
  • Update: ユーザーがエンティティのテーブルの行を更新できるようにします。
  • Delete: ユーザーがエンティティ内のテーブルから行を削除できるようにします。
  • Execute: ユーザーがエンティティ内のストアドプロシージャを実行できるようにします。
Connect AI では、これらの権限を割り当てる方法として、ユーザー単位(1 人のユーザーに対して複数のエンティティ)またはエンティティ単位(1 つのエンティティに対して複数のユーザー)の 2 つを提供します。

ユーザー単位で権限を割り当てる

エンティティ権限は、Edit User ページからユーザー単位で付与できます。または Edit Role ページでカスタムロールを定義することにより、複数のユーザーに対して一度に付与できます。
Assign permissions by user
テーブル内の個別のボックスをクリックして、単一のエンティティに対する権限を切り替えるか、テーブルカラムの上部にあるボックスをクリックして、すべてのエンティティに対してその権限を切り替えます。

エンティティ単位で権限を割り当てる

権限は、Edit/Add Connection ページまたは Workspace ページからエンティティ単位で割り当てることもできます。例えば、Edit Acumatica Connection ページの Permissions タブでは、コネクションに対する権限を複数のユーザーに一度に付与できます。以下の例では、すべてのユーザーがデータを選択できますが、データを挿入できるのは 3 人のユーザーだけです:
Assign permissions by entity
テーブル内の個別のボックスをクリックして、単一のユーザーに対する権限を切り替えるか、テーブルカラムの上部にあるボックスをクリックして、すべてのユーザーに対してその権限を切り替えます。

認証パターン

サービスアカウント(共有)認証

デフォルトでは、アカウントのすべてのユーザーが、サービスアカウント(共有認証)を使用してデータソースのデータにアクセスできます。サービスアカウント認証は、ユーザー固有の権限を含まない読み取り専用のデータソース、またはユーザーごとの認証がないシステムに使用します。 例えば、サービスアカウント(共有認証)を使用したSalesforce へのコネクションがある場合、すべてのユーザーアカウントは、そのSalesforce コネクション用に作成されたSalesforce アカウントのデータにアクセスできます。クエリ権限はユーザーごとにカスタマイズして利用可能な操作を制限できますが、これらの制限の下ですべてのユーザーは同じデータにアクセスします。

ユーザーごとの認証

特定のデータソースは、アカウントの各ユーザーに対して、自身のログイン認証情報でコネクションにログインすることを強制する機能をサポートしています。規制要件に準拠する場合や、ユーザーごとに異なるデータの場合は、ユーザーごとの認証を使用してください。ユーザーごとの認証により、ユーザーは自身がアクセスする必要があるアカウントのデータのみにアクセスできます。さらに、この方法でコネクションを構成すると、アカウントの最大数に対して単一のコネクションスロットとしてのみカウントされます。 データソースがユーザーごとの認証をサポートしている場合、コネクション設定の Authentication セクションの下に Authentication Model セクションが表示されます。Shared Authentication または Per-User Authentication のいずれかを選択します。
Authentication Model
特定のデータソースでこの機能が利用できず、ご希望の場合は、サポートチームまでお問い合わせください。
この機能には以下の制限が適用されます:
  • Administrator のみがデータソースを Shared AuthenticationPer-User Authentication の間で切り替えることができますが、すべてのロールのユーザーが自身の認証情報でユーザーごとの認証コネクションにログインできます。
  • ユーザーごとの認証は、OData API の使用時はサポートされていません。データソースをOData API に接続するには、共有認証を使用する必要があります。
  • キャッシュは共有認証でのみ許可されており、ユーザーごとの認証では許可されていません。詳しくは キャッシュ を参照してください。