スペース内の権限は、メンバーがスペースに追加されたときにメンバーに割り当てられたロールによって制御されます。ロールは、スペースのメンバーに一連の権限を、スペースのリソースを付与します。
共有スペースのメンバーには、複数のロールを割り当てることができます。これにより、メンバーごとにスペースへのアクセスをカスタマイズできます。テナントでグループが許可されている場合、同じロールを持つユーザーのグループをスペースに追加できます。スペースのメンバーがスペース内で個人権限とグループ権限が異なる場合、最も高い権限レベルが適用されます。
スペースを作成すると、所有者スペース ロールが割り当てられます。所有者は、新しいメンバーをスペースに追加できるようになります。[所有者] および [管理可能] スペース ロールを持つユーザーは、権限を割り当てることができます。スペースの権限は、[スペースの詳細] > [メンバー] で管理します。
共有スペースでの自分の権限は、[スペースの詳細] > [メンバー] をクリックすることによって確認できます。[メンバー] が表示されない場合は、そのスペースでの権限が [閲覧可能]、[編集可能]、[アプリでデータ編集可能]、または [データ消費可能] になっています。
App はスペースのメンバー以外とも共有できます。詳細については、「スペースのメンバーではないユーザーとの app の共有」を参照してください。
利用可能なスペースの各役割に許可されたアクションの詳細については、次を参照してください。
共有スペースで使用できるロール
次のスペース ロールは、共有スペースで使用できます。
- 所有者: 所有者は、スペースとそこに所属するメンバーを管理し、スペースにコンテンツを作成できる最初の管理者です。管理者でない限り、このロールをスペースの他のメンバーに割り当てることはできません。また、このスペース ロールは、管理者の操作なしにスペース メンバーから削除できません。管理者として Administration アクティビティ センターにアクセスできない限り、 [所有者] ロールを持つメンバーをスペースから削除することはできません。
- 管理可能: スペースとそこに所属するメンバーの管理に加えて、スペースにコンテンツを作成できます。
- 編集可能: アプリのコンテンツを追加および編集できます。スペースとそのメンバーシップを管理することはできません。
- アプリでデータ編集可能: アプリのコンテンツの追加および編集に加えて、共有スペースでアプリのロード スクリプトとビジネス ロジックを編集できます。スペースとそのメンバーシップを管理することはできません。
- 閲覧可能: スペースでアプリを表示できますが、コンテンツの作成またはスペースの管理はできません。
- データ消費可能: データ ソースを消費できますが、データ ソースの作成または編集はできません。コンテンツの作成またはスペースの管理はできません。スペース内のデータ ソースについては、分析データの追加と管理 を参照してください。
共有スペースのメンバーの権限を変更する
メンバーの権限は、変更して、スペース内での新しいロールをユーザーに付与することができます。閲覧可能ロールを持っているユーザーは、ロールを編集可能に変化することによってアプリ開発者に変更可能です。
スペースの所有者と [管理可能] ロールを持つメンバーは、メンバーの権限を変更できます。
アプリまたはスクリプトのユーザー権限を変更すると、起動中のアプリまたはスクリプトでは変更が瞬時に反映されません。ユーザー権限の変更が確実に更新されるようにするには、影響を受けるアプリまたはスクリプトに属するブラウザーのすべてのタブを閉じ、最低 2 分間 (アプリ セッションの Time To Live) 待ってから、アプリを再度開きます。これは、個人スペース、共有スペース、管理スペースのアプリおよびスクリプト権限に当てはまります。新しく開いた app には権限の変更が瞬時に反映されます。
次の手順を実行します。
- スペースで、[スペースの詳細] をクリックし、[メンバー] を選択します。
- メンバーの [ロール] 列にある矢印
をクリックします。 - メンバーに適切な役割を選択します。
一般的なユース ケース
次のセクションでは、スペース メンバーに役割を割り当てるときに適用できる一般的なアプローチのいくつかの概要を示します。
特定のスペース メンバーに、別のユーザーが消費するための分析を開発する許可を与える
このためには、コンテンツ開発者に [編集可能] (またはそれ以上) の権限を割り当て、コンテンツ消費者に [表示可能] の権限を割り当てます。
この構成により、コンテンツ消費者がスペースで表示や作成できるものを制限できます。ブックマーク、ストーリー、メモ、またその他のアセットを作成することはできますが、自身のアプリやシートを作成することはできません。
他のユーザーのアプリやスクリプトのデータをスペース メンバーが編集できるようにする
このためには、スペースの特定のユーザーに [アプリでデータ編集可能] の役割を割り当てます。この役割を持つユーザーには、アプリやスクリプトによりロードされたデータを編集するためのアクセス権が付与されます。また、アプリ内のビジネス ロジックと配布リストを管理する機能も有します。
この役割により、データ モデルの共同開発できるようになります。また、この役割により、所有者がスペースまたはテナントから退出する際にテナント管理者を煩わせることなく、他のユーザーがアプリやスクリプトのソース データを変更できるように許可することもできます。
アプリやスクリプトの所有者にも、これらの権限があります。
ユーザーにスペースへのフル アクセスを付与することなく、スペースのデータを使用することをユーザーに許可する
特定のユーザーがアプリなどの他のスペース アセットにアクセスすることなく、そのユーザーにスペース内のデータ ソースへのアクセスを許可することを希望する場合があります。もう 1 つの要件として、スペースにあるデータ ソースを管理する特定のユーザーの機能を制限しながら、既存のデータ ソースを使用できるようにする場合があります。
これらの目的のいずれにおいても、特定のデータ消費者に [データ消費可能] の権限を割り当てることができます。
例えば、データ ソース格納専用のスペースを設けることができます。これらのデータ ソースを使用してアプリの開発用に分離したスペースを作成します。データ ソース スペースのユーザーに [データ消費可能] を割り当ててから、これらのユーザーに、開発スペースでのアプリ開発者 ([編集可能]) 権限を付与します。この設定により、データ管理の一元化を実現しながら、ユーザーはデータ ソースを自由に使用して分析コンテンツを構築することができます。
スペースの権限とアプリの所有権
共有スペースでのロールは、権限とアクセス ルールをユーザーに提供します。操作しているアプリの所有者であるかどうかによって、追加の権限が決まります。
アプリの所有者は、アプリを作成したユーザーです。 アプリの所有者と [アプリでデータ編集可能] のユーザーのみが、データ モデル ビューアー、データ ロード エディター、またはデータ マネージャーでデータを編集できます。アプリでデータ編集可能を持つアプリの所有者およびユーザーのみが、アプリのビジネス ロジックを編集できます。
スペースの権限はアプリの所有権より優先されます。アプリ所有者がアクセス権限を持たないスペースにアプリが移動されると、アプリ所有者はそのアプリにアクセスできなくなります。スペースでのアプリ所有者の権限が [閲覧可能] または [データ消費可能] に変更されると、アプリへのデータの追加やアプリのリロードができなくなります。アプリの所有者が [アプリでデータ編集可能] ロールを持たない場合、自分のアプリのロード スクリプトは編集できますが、スペースの他のアプリのロード スクリプトは編集できません。スペース間でアプリを移動する際に、アプリの所有者がアプリのリロードとデータ モデルを引き続き管理できるようにする場合は、移動先のスペースで、アプリの所有者が [編集可能]、[アプリでデータ編集可能]、[管理可能]、または [所有者] のロールを持つようにしてください。
リロードのスケジュールのあるアプリをスペース間で移動すると、リロード スケジュールは削除されます。必要に応じて、新しいスペースでスケジュールを再作成します。
スペースの権限とデータ ソース
あるスペース内のデータ ソースは、別のスペースで使用することができます。例えば、ユーザーは、個人スペースからのデータ接続を使用して、共有スペースにアプリを作成できます。ただし、特定のスペース アクションでは、リソース所有者によるデータ ソースへのアクセス権のほかにスペース メンバーが必要になる場合があります。前の例では、他のスペース メンバーはアプリをリロードすることができません。アプリは個人スペースからのデータ接続を使用しているからです。ユース ケースに応じて、アクセス制御が望ましい場合もあれば、望ましくない場合もあります。
通常、データ ソースの所有者には、スペース ロールにより管理される権限に対する例外が一切ありません。唯一の例外は、データ接続の編集アクションです。データ接続の所有者のみが、接続を編集できます。接続が編集されるたびに、ユーザーは、接続で自身を再認証する必要があります。
データ接続の所有者がスペースへの必要なアクセスを失ったり、テナントを退出したりすると、その接続に依存するエンティティは、接続から新しいデータをフェッチすることができなくなります。接続の所有者がテナントを退出する場合は、テナント管理者に連絡して接続の所有権を再度割り当て、必要に応じて所有権を新しいスペースに移動します。接続の所有者がスペース メンバーではなくなった場合は、別のスペース メンバーにより接続を再作成することができます。
データ ファイルの作成者は、そのファイルの所有者として割り当てられます。管理者は、データ ファイルの所有者を変更できます。データ ファイルがユーザーの個人用スペースにない限り、データ ファイルの所有権はアクセス制御に影響しません。予想される動作の詳細については、「データ ファイルの所有権」を参照してください。
データ ファイルの所有者がスペースやテナントを退出しても、他のスペース メンバーは引き続きファイルを表示したり、使用したりすることができます。
スペースの権限とユーザー資格
Qlik Sense Enterprise SaaS または Qlik Sense Business サブスクリプションがある場合、割り当てられたスペース ロールとユーザー資格 (Professional または Analyzer) の両方に応じて実行できるアクションが決定します。Analyzer 資格 のユーザーは、実行できるアクションがより制限されます。スペース所有者とスペースで管理可能ロールを持つメンバーには、Professional 資格を付与することが推奨されます。
Full User 資格を持つサブスクリプションでは、スペース ロールのみにより、スペースで実行できるアクションが決定されます。 Full User 資格 は権限とは連動していません。
スペースの権限とグローバル テナント ロール
このセクションでは、グローバル テナント ロール (管理者により割り当て) がどのようにスペース権限に影響を与えるかの概要を示します。
管理者の役割
Qlik Cloud テナントで管理者の役割を割り当てられている場合、スペース権限は同一スペースのユーザー権限とは異なります。以下の一般的なルールが適用されます。
-
管理者は通常、スペースのリソースを表示したり、スペース メンバーシップを管理したり、特定のリソースを削除したりすることができます。共有スペースと管理スペースを作成することができ、そうした操作に Shared Space Creator や Managed Space Creator セキュリティ ロールは必要ありません。管理者は必要に応じて、自分自身をスペースに追加することもできます。
-
その他のアクション (コンテンツの作成や編集など) では、管理者の役割がスペース権限を無視することはなく、管理者にはスペースでの十分な役割が必要です。
詳細については、次を参照してください
-
セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (Qlik Anonymous Access サブスクリプション)
セキュリティ ロール
特定のアクションには、管理者により追加のセキュリティ ロールを割り当てる必要があります。セキュリティ ロールのみが必要な場合もあれば、セキュリティ ロールとスペース ロールの組み合わせが必要な場合もあります。
例えば、ビジネス用語集を操作するためのフル アクセス権を得るには、必要なスペース ロースに加えて Steward の役割が必要です。
詳細については、次を参照してください
-
セキュリティ ロールとカスタム ロールを割り当てる (容量ベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (ユーザーベースのサブスクリプション)
-
セキュリティ ロールとカスタム ロールを割り当てる (Qlik Anonymous Access サブスクリプション)
トラブルシューティング
スペースでの作業中に遭遇する一般的な問題の解決策については、「トラブルシューティング - スペースでの作業」を参照してください。