メイン コンテンツをスキップする

セキュリティ ルールの評価

このページ上

セキュリティ ルールの評価

ユーザーがリソースへのアクセスを要求するたびに、Qlik SenseQlik Sense システムでセキュリティ ルールに照らし合わせてその要求を評価します。少なくとも 1 つのルールが「True」と評価されると、Qlik Sense はセキュリティ ルールで説明されている条件とアクションに従ってユーザーにアクセス権を与えます。ルールの評価で「True」という結果が出なければ、ユーザーはアクセスを拒否されます。Qlik Sense セキュリティ ルールはプロパティに基づいているため、Qlik Sense は非常に拡張性に優れており、ユーザーのグループに適用されるプロパティに基づいてルールを構築できます。

このようにセキュリティ ルール評価には包括的な方法を採用しており、Qlik Sense でリソースのセキュリティを設計する際は以下の原則を念頭におく必要があります:

  • 当該リソースの少なくとも 1 つのルールに、アクセスをリクエストしているユーザーのアクセス権が含まれている場合は、アクセスが提供されます。
  • 明示的にユーザーを除外するルールを作成する必要はありません。
  • ルールを作成する際は、なるべくユーザーのロール、ユーザー タイプ、グループのプロパティを使用します。

その後、ルールのプレビューおよび監査ツールを使用して、ルールが実際に機能することを確認・検証できます。

評価フロー

次の画像は、ユーザーが Qlik Sense のハブにアクセスした場合のセキュリティ ルールの評価方法を示しています。ルール評価の手順、およびルールがパフォーマンスに与える影響の詳細については、ブログ記事 「セキュリティ ルールと Qlik Sense のパフォーマンス」 を参照してください。また、ここでキャッシュの無効化についても説明します。

When a user or admin connects to the Hub or QMC the system checks the user context. Security rules are filtered by context, then the relevant security rules are evaluated based on a score in the Security rule evaluation cache. The evaluated security rules are applied to the user context, and the user or admin gains access to Hub or QMC resources, which can include apps, streams, bookmarks, and extensions based on their user context.

セキュリティ ルールの例

セキュリティ ルール作成の一般的な例を次に示します。

Example 1: ユーザーにアクセス権を提供するには 1 つのルールのみが必要です

財務部は財務結果を四半期業績と呼ばれるストリームに公開します。まず、財務部のユーザーのみがこのストリームを読み取ることができるようにします。この場合は、四半期業績ストリームの読み取りアクションを提供する財務部ユーザー向けのセキュリティ ルールのみを作成する必要があります。

このセキュリティ ルールを作成する最も簡単な方法は、QMC で [ストリーム] 概要に進み、[Associated items] の [System rules] で、リストからストリームを選択して [Edit] をクリックし、ユーザーの [Read] 条件をストリームに追加することです。既存のルールを編集することも、ユーザーの [Read] 条件を含むルールを新規で作成することもできます。条件には、ディレクトリ サービスからいずれかのグループ プロパティを使用するとよいでしょう。利用可能な場合、ディレクトリ サービスのグループ プロパティプロパティは、[基本] ビューのドロップダウンメニューに表示されます。ディレクトリ サービスに適切なグループ プロパティが含まれていない場合は、QMC でカスタム プロパティを作成できます (たとえば、値が [財務] の [部署] プロパティ)。

Example 2: 複数のルールがユーザーに適用される場合

四半期業績の例では、Active Directory グループ「財務」に属するユーザーが四半期業績ストリームを読み取れるようにするルール (ルール 1) を作成しました。別のルール (ルール 2) でも、Active Directory (AD) グループ「経営陣」に属するユーザーが四半期業績ストリームに読み取りアクセス権を付与すると想定します。

最後に、Active Directory グループ「営業」と「経営陣」の双方に営業部長が属していると想定します。

セキュリティ ルールの例 2
- ルール 1 ルール 2
ユーザーは以下が可能 読み取り 読み取り
対象リソース 四半期結果ストリーム 四半期結果ストリーム
前提 group=Finance group=Management
評価結果 FALSE True
結果的に営業部長が得たアクセス権 読み取りアクセス権の提供

Example 3: 複数のルールに異なるアクセス権がある場合

四半期業績の例では、Active Directory グループ「財務」に属するユーザーが四半期業績ストリームを読み取れるようにするルール (ルール 1) を作成しました。別のルール (ルール 2) でも、Active Directory (AD) グループ「経営陣」に属するユーザーが四半期業績ストリームに読み取りアクセス権を提供すると想定します。最後に、ルール 3 では、「経営陣」ユーザーが読み取りアクセス権のあるストリームでアプリを更新できます。

Active Directoy グループ「営業」と「経営陣」の双方に営業ディレクターが属していると想定します。

セキュリティ ルールの例 3
- ルール 1 ルール 2 ルール 3
ユーザーは以下が可能 読み取り 読み取り 更新プログラム
対象リソース 四半期結果ストリーム 四半期結果ストリーム ユーザーがストリームの読み取りアクセス権を持っている場合はすべてのアプリとシート
前提 group=Finance group=Management group=Management
評価結果 FALSE True True
結果的に営業部長が得たアクセス権 読み取りおよび更新アクセス権を提供

Example 4: すぐに利用できる ルールQlik Sense

英国の財務オフィスが、英国四半期報告書と呼ばれるアプリを四半期結果ストリームに公開しました。このアプリで読み取りアクセス権のあるユーザーは英国オフィスの財務ユーザーのみにしたいと考えています。この目的で、英国の管理者はルール 3 を作成し、AD グループ「財務」と英国オフィスに属するユーザーのみに読み取りアクセス権があると明示的に規定します。また、例 1 のルール 2 や、すぐに利用できるストリーム ルールもあると想定します。

この場合、英国の財務は、営業部長が英国四半期報告書アプリを読み取れないものと想定している可能性があります。ただし、ルール 2 では経営陣が四半期報告書ストリームを読み取ることができ、ストリーム ルールでは四半期報告書に読み取りアクセスのあるユーザー全員がこのストリームのあらゆるアプリを読み取れるため、これは「True」ではありません。

セキュリティ ルールの例 4
- ルール 2 ルール 3 ストリーム ルール
ユーザーは以下が可能 読み取り 読み取り 読み取り
対象リソース 四半期報告書ストリーム 四半期報告書ストリームで公開された英国の四半期報告書アプリ ストリームのすべてのアプリとシート
前提 group=Management group=Finance AND office=UK ユーザーはストリームの読み取りアクセスがあります
評価結果 True FALSE True
結果的に営業部長が得たアクセス権  読み取りアクセス権の提供