メイン コンテンツをスキップする

プロパティベースのアクセス制御

アクセス制御はプロパティベースで、プロパティはアクセス リクエストの関係者について説明するために使われます。この場合、関係者は以下の通りです。

  • リクエストを行っているユーザー
  • リクエストが行われる環境
  • リクエストが適用されるリソース

各プロパティは、"group = Sales" や "resourcetype = App" などのいわゆるプロパティ値ペアの値によって定義されます。また、各リクエストには、要請者がリソースでの実行を求めているアクション (作成、更新、削除など) とともに、リクエストに関与しているユーザー、環境、リソースのプロパティ値ペアが含まれます。

A request containers Properties and Actions. Properties contains USER, ENVIRONMENT, RESOURCE. USER contains the following properties and values: name = MyName, userid = mne, group = Sales, etc. ENVIRONMENT contains the following properties and values: ip = 192.0.0.0, os = Windows, secureRequest = True. RESOURCE contains the following properties and values: name = MyApp, resourcettype = App, owner = MyName. REQUEST also contains the following Actions: create, update, delete, etc.

アクセスのリクエスト

ルールを使用したアクセスの評価

プロパティ値ペアに基づいてルールを作成することができます。これは、要請者のプロパティ値がリソースのセキュリティ ルールで定義されたプロパティ値の条件に一致する場合にのみ、当該リソースでのアクションのリクエストが受け入れられることを意味します。

通常、ルールは文章として読み取ることができます:

"[条件] の場合、要請者に [リソース] の [アクション] を許可する"

 

各ルールでは、アクションと、アクションを適用するリソースについて説明する必要があります。リソースのルールを定義しなければ、どのユーザーもそのリソースにアクセスできません。

注: 条件を定義する必要はありませんが、条件を定義しなければ、すべてのユーザーとリソースにルールが適用されます。

リクエストを受け取ると、ルール エンジンは該当するすべてのルールに照らし合わせてリクエストを評価します。該当するルールとは、リクエストと同じタイプのリソースに適用されるルールを指します。各ルールにはリソース フィルタが付随しているため、ルール エンジンはすべてのリソースに対してリクエストを評価する必要がありません。最後に、条件にリソースのプロパティ条件を与えることにより、ルールがどのリソースに適用されるのか正確に指定することができます。

ルール評価のワークフロー

Example: 条件のうちひとつのプロパティ値ペア:

たとえば、あなたが会社の営業部に勤務しており、財務部が発表した四半期業績ストリームを読みたいとします。たとえば、あなたが会社の営業部に勤務しており、財務部が発表した四半期業績ストリームを読みたいとします。 この場合は、「財務」アクティブ ディレクトリ グループに属するユーザーのみがストリームを読み取れるというルールがこのストリームにはあります。

これをルールに置き換えると、以下のようになります:

「[グループ=財務] の場合、ユーザーに [四半期決算のストリーム] を [読み取る] ことを許可」

この例では、ルールの評価で「False」という結果が出ます。つまり、あなたのグループは「財務」でないため、読み取りアクセス権がありません。実際には、ストリームのアイコンさえ表示されません。

REQUEST contains Properties and Actions. REQUEST connects to RULE ENGINE, which contains Identify applicable rules and Evaluate request vs rule. RULE ENGINE has an arrow pointing back to REQUEST, but with an "Access not granted" in the middle of the arrow. Properties inside of REQUESt contains USER and RESOURCE boxes. The USER box contains the following properties and values: name = MyName, userid = mne, group = Sales. The RESOURCE box contains the following properties and values: name = Quarterly results, resourcettype = Stream. Below the Properties container, there is an Actions container which contains a read box. Identify applicable rules inside of RULE ENGINE contains RULE, which contains the following rules: Allow Read, On resource Quarterly results stream, Provided that group = finance. Identify applicable rules connects to Evaluate request vs rule inside. Evaluate request vs rule contains three colums and four rows. The first is: action = Read, checkmark, action = Read. The second row is: resource = Quarterly results, checkmark, resource = Quarterly results. The third row is: resourcetype = stream, checkmark, resourcetype = stream. The third row is: group = sales, X mark, group = finance.

ルールの評価

ルール評価のワークフローは次のとおりです。 

  1. ユーザーによって送信された [Quarterly results stream (四半期業績ストリーム)] の [read (読み取り)] リクエスト
  2. ルール エンジンが、リクエストを評価するルールがどれであるか特定します
  3. ルール エンジンによってリクエストが評価されます
  4. 基準を満たしていない場合、アクセス権は与えられません

Example: 条件の複数のプロパティ値ペア:

ルール評価のワークフローの例は基本的なもので、1 つの条件を持つ 1 つのリソースに 1 つのアクションがあります。しかし、Qlik Sense セキュリティ ルールの長所は、1 つのルールで条件の異なる複数のリソースに対して複数のアクションを適用できるという点です。四半期業績の例を見ると、入力にアクティブ ディレクトリ グループを使用して、財務部と管理部の双方への読み取りおよび更新アクセス権を提供するようルールを拡張できます。

「グループ=財務 またはグループ=管理の場合、ユーザーに [四半期決算のストリーム] の読み出しおよび更新を許可」

Qlik Sense で事前に定義されたセキュリティ ルール

Qlik Sense には、[ReadOnly] および [Default] ルールと呼ばれる予め定義されたルールが含まれています。これらのルールは、QMC 管理者が Qlik Sense システムを管理し、セキュリティ ルールを作成、更新、管理できるようにするために提供されています。ReadOnly ルールはセキュリティにとって重要で、編集できません。既定のルールは、会社とシステムの要件に合わせて編集できます。

注: Qlik Sense が提供する既定のルールを編集する場合、ルールのタイプの定義は [既定] から [カスタム] に変更されます。既定のルールを変更したり、既定のルールに影響が及ぶ新しいルールを追加したりすると、Qlik Sense において予期せぬ動作を引き起こす場合があります。既定のルールに変更を加える前に、ルールのプレビュー機能を使用して、ルールの動作を確認してください。Qlik Sense を新しいバージョンにアップグレードする場合は、読み取り専用ルールおよび既定のルールのみが自動で更新されることに、注意してください。