ユーザーがリソースへのアクセスを要求するたびに、Qlik Sense は Qlik Sense システムでセキュリティ ルールに照らし合わせてその要求を評価します。少なくとも 1 つのルールが「True」と評価されると、Qlik Sense はセキュリティ ルールで説明されている条件とアクションに従ってユーザーにアクセス権を与えます。ルールの評価で「True」という結果が出なければ、ユーザーはアクセスを拒否されます。Qlik Sense セキュリティ ルールはプロパティに基づいているため、Qlik Sense は非常に拡張性に優れており、ユーザーのグループに適用されるプロパティに基づいてルールを構築できます。
このようにセキュリティ ルール評価には包括的な方法を採用しており、Qlik Sense でリソースのセキュリティを設計する際は以下の原則を念頭におく必要があります:
- 当該リソースの少なくとも 1 つのルールに、アクセスをリクエストしているユーザーのアクセス権が含まれている場合は、アクセスが提供されます。
- 明示的にユーザーを除外するルールを作成する必要はありません。
- ルールを作成する際は、なるべくユーザーのロール、ユーザー タイプ、グループのプロパティを使用します。
その後、ルールのプレビューおよび監査ツールを使用して、ルールが実際に機能することを確認・検証できます。
評価フロー
次の画像は、ユーザーが Qlik Sense のハブにアクセスした場合のセキュリティ ルールの評価方法を示しています。ルール評価の手順、およびルールがパフォーマンスに与える影響の詳細については、ブログ記事 「セキュリティ ルールと Qlik Sense のパフォーマンス」 を参照してください。また、ここでキャッシュの無効化についても説明します。
セキュリティ ルールの例
セキュリティ ルール作成の一般的な例を次に示します。
例1: ユーザーにアクセス権を提供するには 1 つのルールのみが必要です
財務部は財務結果を四半期業績と呼ばれるストリームに公開します。まず、財務部のユーザーのみがこのストリームを読み取ることができるようにします。この場合は、四半期業績ストリームの読み取りアクションを提供する財務部ユーザー向けのセキュリティ ルールのみを作成する必要があります。
このセキュリティ ルールを作成する最も簡単な方法は、QMC で [ストリーム] 概要に進み、[Associated items] の [System rules] で、リストからストリームを選択して [Edit] をクリックし、ユーザーの [Read] 条件をストリームに追加することです。既存のルールを編集することも、ユーザーの [Read] 条件を含むルールを新規で作成することもできます。条件には、ディレクトリ サービスからいずれかのグループ プロパティを使用するとよいでしょう。利用可能な場合、ディレクトリ サービスのグループ プロパティプロパティは、[基本] ビューのドロップダウンメニューに表示されます。ディレクトリ サービスに適切なグループ プロパティが含まれていない場合は、QMC でカスタム プロパティを作成できます (たとえば、値が [財務] の [部署] プロパティ)。
例2: 複数のルールがユーザーに適用される場合
四半期業績の例では、Active Directory グループ「財務」に属するユーザーが四半期業績ストリームを読み取れるようにするルール (ルール 1) を作成しました。別のルール (ルール 2) でも、Active Directory (AD) グループ「経営陣」に属するユーザーが四半期業績ストリームに 読み取りアクセス権を付与すると想定します。
最後に、Active Directory グループ「営業」と「経営陣」の双方に営業部長が属していると想定します。
| - | ルール 1 | ルール 2 |
|---|---|---|
| ユーザーは以下が可能 | 読み取り | 読み取り |
| 対象リソース | 四半期結果ストリーム | 四半期結果 ストリーム |
| 前提 | group=Finance | group=Management |
| 評価結果 | FALSE | True |
| 結果的に営業部長が得たアクセス権 | 読み取りアクセス権の提供 | |
例3: 複数のルールに異なるアクセス権がある場合
四半期業績の例では、Active Directory グループ「財務」に属するユーザーが四半期業績ストリームを読み取れるようにするルール (ルール 1) を作成しました。別のルール (ルール 2) でも、Active Directory (AD) グループ「経営陣」に属するユーザーが四半期業績ストリームに 読み取りアクセス権を提供すると想定します。最後に、ルール 3 では、「経営陣」ユーザーが読み取りアクセス権のあるストリームでアプリを更新できます。
Active Directoy グループ「営業」と「経営陣」の双方に営業ディレクターが属していると想定します。
| - | ルール 1 | ルール 2 | ルール 3 |
|---|---|---|---|
| ユーザーは以下が可能 | 読み取り | 読み取り | 更新プログラム |
| 対象リソース | 四半期結果ストリーム | 四半期結果ストリーム | ユーザーがストリームの読み取りアクセス権を持っている場合はすべてのアプリとシート |
| 前提 | group=Finance | group=Management | group=Management |
| 評価結果 | FALSE | True | True |
| 結果的に営業部長が得たアクセス権 | 読み取りおよび更新アクセス権を提供 | ||
例4: すぐに利用できる Qlik Sense ルール
英国の財務オフィスが、英国四半期報告書と呼ばれるアプリを四半期結果 ストリームに公開しました。このアプリで読み取りアクセス権のあるユーザーは英国オフィスの財務ユーザーのみにしたいと考えています。この目的で、英国の管理者はルール 3 を作成し、AD グループ「財務」と英国オフィスに属するユーザーのみに 読み取りアクセス権があると明示的に規定します。また、例 1 のルール 2 や、すぐに利用できるストリーム ルールもあると想定します。
この場合、英国の財務は、営業部長が英国四半期報告書アプリを読み取れないものと想定している可能性があります。ただし、ルール 2 では経営陣が四半期報告書ストリームを読み取ることができ、 ストリーム ルールでは四半期報告書に読み取りアクセスのあるユーザー全員がこのストリームのあらゆるアプリを読み取れるため、これは「True」ではありません。
| - | ルール 2 | ルール 3 | ストリーム ルール | |
|---|---|---|---|---|
| ユーザーは以下が可能 | 読み取り | 読み取り | 読み取り | |
| 対象リソース | 四半期報告書ストリーム | 四半期報告書ストリームで公開された英国の四半期報告書アプリ | ストリームのすべてのアプリとシート | |
| 前提 | group=Management | group=Finance AND office=UK | ユーザーはストリームの読み取りアクセスがあります | |
| 評価結果 | True | FALSE | True | |
| 結果的に営業部長が得たアクセス権 | 読み取りアクセス権の提供 | |||