セクションへの安全なアクセス管理

セキュリティ管理には、データロードスクリプトのセクションアクセスを使用します。この方法であれば、複数のユーザーやグループのデータを 1 つのファイルで保管できます。Qlik Sense は認証と承認のためセクションアクセスで情報を使用し、データを動的に減らすため、ユーザーには自身のデータしか表示されません。

Qlik Sense Enterprise on Kubernetes ではユーザーグループに対応していません。

ファイル自体にセキュリティが組み込まれるので、ダウンロードしたファイルもある程度は保護されます。しかし、徹底的なセキュリティ対策を講じるには、ファイルのダウンロードやオフライン使用を防止しなければなりません。また、ファイルの公開は必ず Qlik Sense サーバーで行う必要があります。この方法では 1 つのファイルにすべてのデータを保持するため、ファイルのサイズが非常に大きくなる可能性がある点に留意してください。

セクションアクセスコントロールが適用される前に、アプリは公開されていなければなりません。アプリをリロードすると、新規または変更済みセクションアクセススクリプトは適用されません。

制限されているデータを公開しないようにするには、アプリを公開する前に、セクションアクセス設定が含まれるすべての添付ファイルを削除します。

添付したファイルは、アプリが公開されるときに含まれます。公開済みアプリがコピーされると、添付ファイルがそのコピーに含まれます。ただし、添付したデータファイルにセクションアクセス制限が適用されている場合、ファイルがコピーされるときにセクションアクセス設定が保持されません。そのため、コピーしたアプリのユーザーは、添付ファイルのすべてのデータを表示することができます。

スナップショットには、スナップショットを取得するユーザーのアクセス権限に従ってデータが表示され、そのスナップショットは 1 つのストーリーで共有することができます。ただし、ユーザーがアプリでライブデータを見るためにストーリーからビジュアライゼーションに戻ると、それらのスナップショットは、それ独自のアクセス権限によって制限されます。

セクションアクセスを使用する場合、または極秘データを扱う場合は、値が色構成により公開される可能性があるため、マスター軸の値に色を割り当てないでください。

スクリプトのセクション

アクセス制御は、Qlik Sense のデータのロードと同じ方法でロードされる 1 つまたは複数のセキュリティテーブルを通じ管理されます。そのため、これらのテーブルは通常のデータベースに格納できます。セキュリティテーブルを管理するスクリプトステートメントは、スクリプトの中で Section Access ステートメントで開始されるアクセスセクション内に指定します。

スクリプト内でアクセスセクションが定義されている場合、アプリのデータをロードする部分のスクリプトを Section Application で開始される別のセクション内に配置する必要があります。

Example:

Section Access; LOAD * inline [ ACCESS, USERID USER, User_ID ]; Section Application; LOAD... ... from... ...

セクションアクセスのシステム項目

アクセスレベルは、セクションアクセス内にロードされた 1 つまたは複数のテーブルに含まれるユーザーに割り当てられます。これらのテーブルには、USERID やアクセスレベルを定義する ACCESS など、ユーザー固有のさまざまなシステム項目を含めることができます。認証と承認は、セクションアクセスのすべてのシステムフィールドに基づき行われます。セクションアクセスのすべてのシステム項目は次のとおりです。

ACCESS

対応するユーザーに与えられるアクセス権を定義します。

指定したユーザーまたはユーザーのグループに対して、Qlik Sense アプリへのアクセスを承認できます。セキュリティテーブルでは、アクセスレベルの ADMIN または USER をユーザーに割り当てることができます。有効なアクセスレベルが割り当てられていないユーザーは、アプリを開くことができません。

ADMIN 権限を持つユーザーは、アプリのすべてのデータにアクセスできます。USER 権限を持つユーザーは、セキュリティテーブルで指定されたデータにのみアクセスできます。

テンプレートアプリの On-demand アプリ生成 (ODAG) シナリオでセクションアクセスが使用されている場合、INTERNAL\SA_API ユーザーは、セクションアクセステーブルに ADMIN として含まれる必要があります。例:

Section Access; LOAD * inline [ ACCESS, USERID ADMIN, INTERNAL\SA_API ];

USERID

Qlik Sense ユーザー名に対応する文字列を含みます。Qlik Sense はプロキシからログイン情報を取得し、その情報をこの項目の値と比較します。

GROUP

Qlik Sense 内のグループに対応する文字列を含みます。Qlik Sense は、プロキシから提供されるユーザーを、このグループに基づいて解決します。

グループを使用してデータを削減し、Qlik Management Console を使用する場合でも、INTERNAL\SA_SCHEDULER アカウントユーザーが必要とされます。

OMIT

この特定のユーザーに対して省略する項目の名前を含みます。ワイルドカードを使用することができます。空にすることもできます。これは、サブフィールドを用いることで簡単に行えます。

OMIT をキー項目に適用しないことをお勧めします。省略されたキー項目はデータモデルビューアーに表示されますが、コンテンツは使用できないので、ユーザーを混乱させる可能性があります。さらに、ビジュアライゼーションで使用されるキー項目に OMIT を適用すると、省略された項目へのアクセス権を持っていないユーザーにはビジュアライゼーションが不完全なものになります。

Qlik Sense はプロキシから取得したユーザーを UserID と比較し、そのユーザーがテーブル内のグループに含まれているか確認します。ユーザーがアクセス権のあるグループに属する場合、あるいはユーザーが一致した場合、アプリへのアクセスが付与されます。

Qlik Sense では同じ内部ロジックがアクセスセクションでも使用されているため、セキュリティ項目をさまざまなテーブルに配置できます。セクションアクセス内の LOAD または SELECT ステートメントにリストする項目は、すべて大文字で記述する必要があります。データベース内の小文字を含む項目名は、LOAD または SELECT ステートメントで読み取る前に、Upper 関数で大文字に変換されます。

詳細については、「Upper - スクリプトおよびチャート関数」を参照してください。

ワイルドカード (*) は、この項目に含まれるすべての値 (リストされている値)、つまりこのテーブル内のその他の場所にリストされている値として解釈されます。スクリプトのアクセスセクションでロードされたテーブル内のシステム項目 (USERID、GROUP) の 1 つで使用すると、この項目のすべての可能な値 (リストされていない値も含む) として解釈されます。

QVD ファイルからデータをロードする際に Upper 関数を使用すると、ロード速度が低下します。

セクションアクセスを有効にした場合は、ここにリストされたセクションアクセスのシステム項目名をデータモデルの項目名として使用できなくなります。

Example:

この例では、財務部のユーザーのみがドキュメントを開けます。

ドキュメントへのアクセス
アクセス	グループ
ユーザー	財務

動的データ削減

Qlik Sense は動的データ削除をサポートしています。動的データ削除では、アプリのデータの一部を、セクションアクセスログインに基づき、ユーザーに対し非表示にすることができます。

例えば、システム項目 OMIT を使用して項目 (列) を非表示にできます。
レコード (行) は、実データにセクションアクセスデータをリンクさせて、非表示にすることができます。表示されるまたは除外される値の選択は、セクションアクセスおよびセクションアプリケーションで 1 つ以上の項目に共通の名前を付けることで制御されます。ユーザーログインの後、Qlik Sense はセクションアクセスの項目にある選択と、同じ項目名 (項目名は大文字で書かれる必要があります) のセクションアプリケーションの項目との照合を試みます。選択が行われると、Qlik Sense は選択によって除外されたすべてのデータをユーザーに表示しなくなります。

セクションアクセスでは、すべての項目名と項目値がデフォルトで大文字に変換されるので、上で説明した転送で使用するすべての項目名とそれらの項目のすべての項目値を大文字にする必要があります。

Qlik Management Console タスクでスクリプトのリロードを有効にする場合は、ADMIN アクセス権を付与されている INTERNAL\SA_SCHEDULER アカウントユーザーが必要とされます。

Example: ユーザー ID に基づくデータ削減

Section Access; LOAD * inline [ ACCESS, USERID, REDUCTION, OMIT USER, AD_DOMAIN\ADMIN, *, USER, AD_DOMAIN\A, 1, USER, AD_DOMAIN\B, 2, NUM USER, AD_DOMAIN\C, 3, ALPHA ADMIN, INTERNAL\SA_SCHEDULER, *, ]; section application; T1: LOAD *, NUM AS REDUCTION; LOAD Chr( RecNo()+ord('A')-1) AS ALPHA, RecNo() AS NUM AUTOGENERATE 3;

現在、項目 REDUCTION (大文字) がセクションアクセスとセクションアプリケーションの両方にあります (項目値はすべて大文字)。2 つの項目は通常全く別のもので分かれていますが、セクションアクセスを使用すると、この項目はリンクし、ユーザーに表示されるレコードの数が減ります。

セクションアクセスの項目 OMIT で、ユーザーに表示しない項目を定義します。

結果は次のようになります。

ユーザー ADMIN は、REDUCTION が 1 または 2、3 の場合にその他のユーザーに表示されるレコードとすべての項目を見ることができます。
User A は、すべての項目と、REDUCTION=1 に関連付けられたレコードを見ることができます。
User B は、NUM 以外のすべての項目と、REDUCTION=2 に関連付けられたレコードを見ることができます。
User C は、ALPHA 以外のすべての項目と、REDUCTION=3 に関連付けられたレコードを見ることができます。

Example: ユーザー　グループに基づくデータ削減

Section Access; LOAD * inline [ ACCESS, USERID, GROUP, REDUCTION, OMIT USER, *, ADMIN, *, USER, *, A, 1, USER, *, B, 2, NUM USER, *, C, 3, ALPHA USER, *, GROUP1, 3, ADMIN, INTERNAL\SA_SCHEDULER, *, *, ]; section application; T1: LOAD *, NUM AS REDUCTION; LOAD Chr( RecNo()+ord('A')-1) AS ALPHA, RecNo() AS NUM AUTOGENERATE 3;