管理スペースでの権限の管理

スペース内の権限は、メンバーがスペースに追加されたときにメンバーに割り当てられた役割によって制御されます。ロールは、スペースのそのメンバーに一連の権限を、スペースのリソースを付与します。

管理スペースのメンバーには、複数の役割を割り当てることができます。これにより、メンバーごとにスペースへのアクセスをカスタマイズできます。テナントでグループが許可されている場合、同じロールを持つユーザーのグループをスペースに追加できます。スペースのメンバーがスペース内で個人権限とグループ権限が異なる場合、最も高い権限レベルが適用されます。

テナント管理者と分析管理者、スペースの所有者、[管理可能] スペース ロールを持つメンバーは、新しいメンバーをスペースに追加して権限を割り当てることができます。スペースの権限は、[スペースの詳細] > [メンバー] で管理します。

スペースの所有者には、所有者のロールが割り当てられます。このスペース ロールは、管理者の操作なしにスペース メンバーから削除できません。管理者として 管理コンソール にアクセスできない限り、所有者のロールを持つメンバーをスペース ロールから削除することはできません。

App はスペースのメンバー以外とも共有できます。詳細については、「スペースのメンバーではないユーザーとの app の共有」を参照してください。

利用可能なスペースの各役割に許可されたアクションの詳細については、次を参照してください。

• Professional またはフル ユーザー資格 を持つユーザーの管理スペース権限

• Analyzer 資格 を持つユーザーの管理スペース権限

• 管理者用の管理スペース権限

管理スペースで使用できるロール

次のスペース ロールは、管理スペースで使用できます。

• 所有者: スペースとそこに所属するメンバーを管理でき、スペース内でアプリを開くことができます。管理者でない限り、このロールをスペースの他のメンバーに割り当てることはできません。また、このスペース ロールは、管理者の操作なしにスペース メンバーから削除できません。管理者として 管理コンソール にアクセスできない限り、所有者ロールを持つメンバーをスペースから削除することはできません。
• 管理可能: スペースとそこに所属するメンバーを管理できます
• 公開可能: アプリをこのスペースに公開できます。スペース内でアプリを開くことはできません。
• 寄与可能: スペース内でアプリを閲覧および開くことができます。寄与者はアプリ内に個人用コンテンツを作成し、そのコンテンツを公開できます。
• 閲覧可能: スペース内でアプリを閲覧および開くことができます。

• ビューが制限されています: スペース内でアプリを閲覧および開くことができます。[ユーザーの規定値] 設定で許可されている場合は、シートまたはチャートを画像またはデータとしてエクスポートできます。「ユーザーと管理者のロールと権限」を参照してください。

• データ消費可能: データ ソースを消費できますが、データ ソースを作成または編集することはできません。コンテンツを作成したり、スペースを管理したりすることはできません。スペース内のデータ ソースについては、スペース内でのデータ ソースの管理 を参照してください。
• 操作可能: アプリをリロードし、スケジュールされたリロードを作成することができます。

一般的なユース ケース

次のセクションでは、スペース メンバーに役割を割り当てるときに適用できる一般的なアプローチのいくつかの概要を示します。

ユーザーが、データ ソースにアクセスすることなく分析を作成できるようにする

このためには、管理スペースでユーザーに [寄与可能] の役割を割り当てます。これらのユーザーは、アプリで新しいシートやビジュアライゼーションを作成できますが、スペースにあるデータ ソースを管理することはできません。

ユーザーが、データにアクセスすることなくコンテンツをスペースに公開できるようにする

管理スペースには通常、これを開発したソース スペースよりも高いセキュリティとガバナンス要件が必要なデータが含まれています。アプリ データ モデルとベース シートの開発責任を担うアプリ開発者チームがある場合には、モック データのみを使用して開発します。アプリの開発者は、実稼働データを消費して分析するユーザーと同一であるとは限りません。

アプリ開発者にアプリを完了して公開する責任を負わせることを希望する場合があります。そのためには、これらのユーザーに [公開可能] の役割を割り当てます。そうすると、アプリ開発者はコンテンツを管理スペースに公開できるようになりますが、管理スペースからデータやコンテンツにアクセスすることはできません。

スペースの権限とデータ ソース

あるスペース内のデータ ソースは、別のスペースで使用することができます。例えば、ユーザーは、個人スペースからのデータ接続を使用して、共有スペースにアプリを作成できます。ただし、特定のスペース アクションでは、リソース所有者によるデータ ソースへのアクセス権のほかにスペース メンバーが必要になる場合があります。前の例では、他のスペース メンバーはアプリをリロードすることができません。アプリは個人スペースからのデータ接続を使用しているからです。ユース ケースに応じて、アクセス制御が望ましい場合もあれば、望ましくない場合もあります。

通常、データ ソースの所有者には、スペース ロールにより管理される権限に対する例外が一切ありません。唯一の例外は、データ接続の編集アクションです。データ接続の所有者のみが、接続を編集できます。接続が編集されるたびに、ユーザーは、接続で自身を再認証する必要があります。

データ接続の所有者がスペースへの必要なアクセスを失ったり、テナントを退出したりすると、その接続に依存するエンティティは、接続から新しいデータをフェッチすることができなくなります。接続の所有者がテナントを退出する場合は、テナント管理者に連絡して接続の所有権を再度割り当て、必要に応じて所有権を新しいスペースに移動します。接続の所有者がスペース メンバーではなくなった場合は、別のスペース メンバーにより接続を再作成することができます。

データ ファイルの作成者は、そのファイルの所有者として割り当てられます。これを変更することはできませんが、データ ファイルの所有権がスペース権限に影響することは一切ありません。データ ファイルの所有者がスペースやテナントを退出しても、他のスペース メンバーは引き続きファイルを表示したり、使用したりすることができます。

スペースの権限とユーザー資格

スペースの権限とグローバル テナント ロール

このセクションでは、グローバル テナント ロール (管理者により割り当て) がどのようにスペース権限に影響を与えるかの概要を示します。

管理者の役割

Qlik Cloud テナントで管理者の役割を割り当てられている場合、スペース権限は同一スペースのユーザー権限とは異なります。以下の一般的なルールが適用されます。

• 管理者は通常、スペースのリソースを表示したり、スペース メンバーシップを管理したり、特定のリソースを削除したりすることができます。共有スペースと管理スペースを作成することができ、そうした操作に Shared Space Creator や Managed Space Creator セキュリティ ロールは必要ありません。管理者は必要に応じて、自分自身をスペースに追加することもできます。

• その他のアクション (コンテンツの作成や編集など) では、管理者の役割がスペース権限を無視することはなく、管理者にはスペースでの十分な役割が必要です。

詳細については、「セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション) または セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)」を参照してください。

セキュリティ ロール

特定のアクションには、管理者により追加のセキュリティ ロールを割り当てる必要があります。セキュリティ ロールのみが必要な場合もあれば、セキュリティ ロールとスペース ロールの組み合わせが必要な場合もあります。

例えば、ビジネス用語集を操作するためのフル アクセス権を得るには、必要なスペース ロースに加えて Steward の役割が必要です。

詳細については、「セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション) または セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)」を参照してください。

トラブルシューティング

スペースでの作業中に遭遇する一般的な問題の解決策については、「トラブルシューティング - スペースでの作業」を参照してください。