スペース内の権限は、メンバーがスペースに追加されたときにメンバーに割り当てられた役割によって制御されます。ロールは、スペースのそのメンバーに一連の権限を、スペースのリソースを付与します。
管理スペースのメンバーには、複数の役割を割り当てることができます。これにより、メンバーごとにスペースへのアクセスをカスタマイズできます。テナントでグループが許可されている場合、同じロールを持つユーザーのグループをスペースに追加できます。スペースのメンバーがスペース内で個人権限とグループ権限が異なる場合、最も高い権限レベルが適用されます。
テナント管理者と分析管理者、スペースの所有者、[管理可能] スペース ロールを持つメンバーは、新しいメンバーをスペースに追加して権限を割り当てることができます。スペースの権限は、[スペースの詳細] > [メンバー] で管理します。
スペースの所有者には、所有者のロールが割り当てられます。このスペース ロールは、管理者の操作なしにスペース メンバーから削除できません。管理者として Administration アクティビティ センターにアクセスできない限り、 [所有者] ロールを持つスペース メンバーをスペースから削除することはできません。
App はスペースのメンバー以外とも共有できます。詳細については、「スペースのメンバーではないユーザーとの app の共有」を参照してください。
利用可能なスペースの各役割に許可されたアクションの詳細については、次を参照してください。
管理スペースで使用できるロール
次のスペース ロールは、管理スペースで使用できます。
- 所有者: スペースとそこに所属するメンバーを管理でき、スペース内でアプリを開くことができます。管理者でない限り、このロールをスペースの他のメンバーに割り当てることはできません。また、このスペース ロールは、管理者の操作なしにスペース メンバーから削除できません。管理者として Administration アクティビティ センターにアクセスできない限り、 [所有者] ロールを持つメンバーをスペースから削除することはできません。
- 管理可能: スペースとそこに所属するメンバーを管理できます
- 公開可能: アプリをこのスペースに公開できます。スペース内でアプリを開くことはできません。
- 寄与可能: スペース内でアプリを閲覧および開くことができます。寄与者はアプリ内に個人用コンテンツを作成し、そのコンテンツを公開できます。
- 閲覧可能: スペース内でアプリを閲覧および開くことができます。
-
ビューが制限されています: スペース内でアプリを閲覧および開くことができます。
- データ消費可能: データ ソースを消費できますが、データ ソースを作成または編集することはできません。コンテンツを作成したり、スペースを管理したりすることはできません。スペース内のデータ ソースについては、分析データの追加と管理 を参照してください。
- 操作可能: アプリをリロードし、スケジュールされたリロードを作成することができます。
管理スペースのメンバーの権限を変更する
メンバーのロールを変更して、スペースの新しい権限を付与できます。
テナント管理者と分析管理者、スペースの所有者、[管理可能] ロールを持つメンバーは、メンバーの権限を変更できます。
アプリまたはスクリプトのユーザー権限を変更すると、起動中のアプリまたはスクリプトでは変更が瞬時に反映されません。ユーザー権限の変更が確実に更新されるようにするには、影響を受けるアプリまたはスクリプトに属するブラウザーのすべてのタブを閉じ、最低 2 分間 (アプリ セッションの Time To Live) 待ってから、アプリを再度開きます。これは、個人スペース、共有スペース、管理スペースのアプリおよびスクリプト権限に当てはまります。新しく開いた app には権限の変更が瞬時に反映されます。
次の手順を実行します。
- スペースで、[スペースの詳細] をクリックし、[メンバー] を選択します。
- メンバーの [ロール] 列にある矢印
をクリックします。 - メンバーに適切な役割を選択します。
一般的なユース ケース
次のセクションでは、スペース メンバーに役割を割り当てるときに適用できる一般的なアプローチのいくつかの概要を示します。
ユーザーが、データ ソースにアクセスすることなく分析を作成できるようにする
このためには、管理スペースでユーザーに [寄与可能] の役割を割り当てます。これらのユーザーは、アプリで新しいシートやビジュアライゼーションを作成できますが、スペースにあるデータ ソースを管理することはできません。
ユーザーが、データにアクセスすることなくコンテンツをスペースに公開できるようにする
管理スペースには通常、これを開発したソース スペースよりも高いセキュリティとガバナンス要件が必要なデータが含まれています。アプリ データ モデルとベース シートの開発責任を担うアプリ開発者チームがある場合には、モック データのみを使用して開発します。アプリの開発者は、実稼働データを消費して分析するユーザーと同一であるとは限りません。
アプリ開発者にアプリを完了して公開する責任を負わせることを希望する場合があります。そのためには、これらのユーザーに [公開可能] の役割を割り当てます。そうすると、アプリ開発者はコンテンツを管理スペースに公開できるようになりますが、管理スペースからデータやコンテンツにアクセスすることはできません。
スペースの権限とデータ ソース
あるスペース内のデータ ソースは、別のスペースで使用することができます。例えば、ユーザーは、個人スペースからのデータ接続を使用して、共有スペースにアプリを作成できます。ただし、特定のスペース アクションでは、リソース所有者によるデータ ソースへのアクセス権のほかにスペース メンバーが必要になる場合があります。前の例では、他のスペース メンバーはアプリをリロードすることができません。アプリは個人スペースからのデータ接続を使用しているからです。ユース ケースに応じて、アクセス制御が望ましい場合もあれば、望ましくない場合もあります。
通常、データ ソースの所有者には、スペース ロールにより管理される権限に対する例外が一切ありません。唯一の例外は、データ接続の編集アクションです。データ接続の所有者のみが、接続を編集できます。接続が編集されるたびに、ユーザーは、接続で自身を再認証する必要があります。
データ接続の所有者がスペースへの必要なアクセスを失ったり、テナントを退出したりすると、その接続に依存するエンティティは、接続から新しいデータをフェッチすることができなくなります。接続の所有者がテナントを退出する場合は、テナント管理者に連絡して接続の所有権を再度割り当て、必要に応じて所有権を新しいスペースに移動します。接続の所有者がスペース メンバーではなくなった場合は、別のスペース メンバーにより接続を再作成することができます。
データ ファイルの作成者は、そのファイルの所有者として割り当てられます。管理者は、データ ファイルの所有者を変更できます。データ ファイルがユーザーの個人用スペースにない限り、データ ファイルの所有権はアクセス制御に影響しません。予想される動作の詳細については、「データ ファイルの所有権」を参照してください。
データ ファイルの所有者がスペースやテナントを退出しても、他のスペース メンバーは引き続きファイルを表示したり、使用したりすることができます。
スペースの権限とユーザー資格
Qlik Sense Enterprise SaaS または Qlik Sense Business サブスクリプションがある場合、割り当てられたスペース ロールとユーザー資格 (Professional または Analyzer) の両方に応じて実行できるアクションが決定します。Analyzer 資格 を持つユーザーの許可されたアクションには制限が多くなります。スペース所有者とスペースで [管理可能] の役割を持つメンバーには、Professional 資格があることが推奨されます。
Full User 資格を持つサブスクリプションでは、スペース ロールのみにより、スペースで実行できるアクションが決定されます。 Full User 資格 は権限とは連動していません。Basic User は、[ビューが制限されています] ロールのみを持つことができることに注意してください。基本ユーザーに追加の権限を付与すると、自動的にフル ユーザーに昇格します。
ユーザー資格別の役割の割り当て
Professional 資格または Full User 資格 のあるユーザーには、役割を割り当て、次の種類のアクションを実行する権限を付与できます。
-
スペース管理 ([所有者] または [管理可能])
-
コンテンツとデータ ソースの作成 ([所有者] または [管理可能])
-
リロード (([所有者]、[管理可能]、または [操作可能])
-
公開 ([公開可能])
-
コンテンツおよび/またはデータの消費 (任意の役割)
Analyzer 資格 のあるユーザーには、コンテンツ消費用の役割のみを割り当てることが必要です。こうした役割には、[寄与可能]、[表示可能]、[制限付き表示]、および [データ消費可能] などがあります。
スペースの権限とグローバル テナント ロール
このセクションでは、グローバル テナント ロール (管理者により割り当て) がどのようにスペース権限に影響を与えるかの概要を示します。
管理者の役割
Qlik Cloud テナントで管理者の役割を割り当てられている場合、スペース権限は同一スペースのユーザー権限とは異なります。以下の一般的なルールが適用されます。
-
管理者は通常、スペースのリソースを表示したり、スペース メンバーシップを管理したり、特定のリソースを削除したりすることができます。共有スペースと管理スペースを作成することができ、そうした操作に Shared Space Creator や Managed Space Creator セキュリティ ロールは必要ありません。管理者は必要に応じて、自分自身をスペースに追加することもできます。
-
その他のアクション (コンテンツの作成や編集など) では、管理者の役割がスペース権限を無視することはなく、管理者にはスペースでの十分な役割が必要です。
詳細については、次を参照してください
-
セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (Qlik Anonymous Access サブスクリプション)
セキュリティ ロール
特定のアクションには、管理者により追加のセキュリティ ロールを割り当てる必要があります。セキュリティ ロールのみが必要な場合もあれば、セキュリティ ロールとスペース ロールの組み合わせが必要な場合もあります。
例えば、ビジネス用語集を操作するためのフル アクセス権を得るには、必要なスペース ロースに加えて Steward の役割が必要です。
詳細については、次を参照してください
-
セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (Qlik Anonymous Access サブスクリプション)
トラブルシューティング
スペースでの作業中に遭遇する一般的な問題の解決策については、「トラブルシューティング - スペースでの作業」を参照してください。