動的アクセスコントロール (DAC) は、オブジェクトレコードのアクセスコントロールモデルで、「一致共有ルール」および/または「カスタム共有ルール」を使って、レコードの閲覧者、編集者および所有者ロールへのユーザ割り当てを自動化します。DAC はオブジェクトレコードレベルのセキュリティを提供します。
一致共有ルールは設定が単純で、メンテナンスも少なくて済みます; これらのルールを使用して、組織のロール割り当ての大部分を行うことができます。カスタム共有ルールにはより多くのメンテナンスが必要ですが、特定のシナリオにオーバーライドを提供するのに役立ちます。
組織は、一致とカスタム共有ルールの両方を特定のオブジェクトに個別に有効化することができます。これらの機能を使用すると、一部のオブジェクトに対してオブジェクトのレコードレベルのアクセスコントロールを提供することができる一方、その他のオブジェクトは引き続き権限セット経由でオブジェクトレベルのアクセスコントロールを使用できます。
注: カスタムセキュリティまたはアクセスコントロールを実装する際に、管理者は本番サイトに変更を加える前に UAT (ユーザ受入テスト) を実施する必要があります。変更によっては、アプリケーション固有の機能に、Vault の使用が難しくなる影響を及ぼす可能性があります。
一致共有ルール
一致共有ルールは、ドキュメントの DAC と同じように動作します: Vault は、自動管理グループのメンバーシップを利用して、個別のオブジェクトレコードのユーザのロールを割り当てます。この設定では、組織は、ユーザロール設定オブジェクトでルールを設定し、レコードを管理することで、ロール割り当てを制御します。ユーザロール設定レコードはグループに対応します。ユーザロール設定レコードには、ユーザ、ロール、ロールに対するユーザのコンテキストの条件を満たすいくつかの「一致する」フィールドが含まれます。一致フィールドは、ユーザロール設定オブジェクトと、保護しているオブジェクト両方に存在するフィールドです (例: 国、製品)。
一致共有ルールの設定についてご確認ください。
カスタム共有ルール
オブジェクトにカスタム共有ルールを使用する際に、Vault は、ルール条件を特定のユーザ割り当てに一致させることで、特定のオブジェクトレコードのユーザのロールを管理します。例えば、エージェンシーが DKI Direct であるマーケティングキャンペーンで、Gladys は編集者で Thomas は所有者です。
カスタム共有ルールの設定についてご確認ください。
注: これまでのバージョンでは、この機能は動的セキュリティと呼ばれていました。V15 でこの機能の名前を変更しました。カスタム共有ルールは、一致共有ルールと併せて機能し、管理可能で強力かつ俊敏なアクセスの制御方法を提供します。
共有設定の保護
共有設定の保護によりユーザは、プロファイルセキュリティとアクションのアトミックセキュリティを組み合わせて、各レコード、ロール、ライフサイクル状態による共有設定へのユーザのアクセスを制御することができます。有効化されていると、共有設定アクションを非表示にするか、閲覧可能 (表示されるが編集不可) にするか、または実行可能 (ユーザが直接ロール割り当てを追加できる) にするか制御することができます。Vault は、API に共有設定セキュリティも付与します。このオプションはデフォルトで無効化されています。無効化されている場合、オブジェクトレコードにアクセスできるユーザは、共有設定を表示でき、オブジェクトレコードを更新できるユーザは共有設定からロール割り当ての追加または削除が行えます。
共有設定セキュリティを有効化する方法
- 管理者 > コンテンツ設定 > オブジェクト > [オブジェクト] > オプションに進みます。
- 共有設定を制御するにはアクションセキュリティを使用しますチェックボックスを選択します。チェックボックスを表示するには、一致共有ルールの有効化またはカスタム共有ルールの有効化のいずれかを選択する必要があります。有効化すると、Vault で共有設定アクションにセキュリティを設定することができます。
共有設定アクションのセキュリティについて
共有設定を制御するにはアクションセキュリティを使用しますチェックボックスを有効にすると、Vault は該当するオブジェクトに共有設定アクションを自動作成します。他のオブジェクトアクションにセキュリティを設定するように、2 つのレベルで共有設定を構成することができます:
- プロファイルセキュリティ: ユーザのセキュリティプロファイルごとにオブジェクトレベルで、表示権限と実行権限を用いて、共有設定アクションへのアクセス権限を制御することができます。Vault は、権限セットがオブジェクトに対して編集権限を持つ場合に、オブジェクトアクションに実行権限を自動付与します。オブジェクトに参照権限がある場合、Vault はアクションに表示権限を自動的に付与します。共有設定にセキュリティを有効化した後に、さらにカスタム権限セットを設定することができます。
- アトミックセキュリティ: 非表示、表示および実行権限と、特定のアプリケーションロールの設定をオーバーライドする権限を用い、個別のライフサイクル状態ごとに共有設定アクションを保護することができます。
既知の問題
以下の既知の問題が、オブジェクトタイプが有効化されたオブジェクトの共有設定セキュリティの設定に影響を及ぼします:
Vault が共有設定オブジェクトアクションを作成する際に、Vault は基本オブジェクトタイプにのみアクションを割り当てます。管理者 > コンテンツ設定 > オブジェクト > オブジェクトタイプ > アクションに進み、すべてのオブジェクトタイプにアクションを割り当てます。
オブジェクトレコードロール
オブジェクトが動的アクセスコントロールを使用する場合、Vault はオブジェクトレコードにロールを導入します。これらのロールは、レコードに対するユーザのアクセスタイプを制御します。Vault が一致共有ルールを使用している場合、これらのロールは同じラベルを持つアプリケーションロールレコードにマッピングされます。
注: 動的アクセスコントロールは、セキュリティプロファイルと権限セットを上書きしません。ユーザは、必要なオブジェクト権限を付与するセキュリティプロファイルも持っている必要があります。例えば、オブジェクト > マーケティングキャンペーン > 読取りは、ユーザがマーケティングキャンペーンレコードを表示できるかどうかを制御します。
所有者
レコードを作成するユーザは、自動的にこのロールを取得します (動的アクセスコントロールが有効化された後)。このロールがあると以下が行えます:
- 手動割り当て経由で、追加のユーザ/グループを所有者、編集者、または閲覧者ロールに割り当てる
- 手動割り当てを編集して、所有者、編集者、または閲覧者のロールからユーザ/グループを削除する
- オブジェクトレコード詳細を表示・編集する
- ドキュメントフィールドのオブジェクトレコードの選択、または 2 つのオブジェクトレコード間の関係作成時にオブジェクトレコードを選択する
- オブジェクトレコードの削除
編集者に対して所有者が唯一追加で有している権限は、所有者ロールにおけるユーザの追加/削除権限です。
エディタ
ユーザは、共有ルールまたは手動割り当て経由で編集者ロールを取得する必要があります。このロールがあると以下が行えます:
- 手動割り当て経由で、追加のユーザ/グループを編集者または閲覧者ロールに割り当てる
- 手動割り当て経由で、編集者または閲覧者ロールからユーザ/グループを削除する
- オブジェクトレコード詳細を表示・編集する
- ドキュメントフィールドのオブジェクトレコードの選択、または 2 つのオブジェクトレコード間の関係作成時にオブジェクトレコードを選択する
- オブジェクトレコードの削除
閲覧者
ユーザは、共有ルールまたは手動割り当て経由で閲覧者ロールを取得する必要があります。このロールがあると以下が行えます:
- オブジェクトレコード詳細を表示する
- ドキュメントフィールドのオブジェクトレコードの選択、または 2 つのオブジェクトレコード間の関係作成時にオブジェクトレコードを選択する
カスタムロール
一致共有ルールまたはカスタム共有ルールを使用する場合、管理者はオブジェクトにさらにアプリケーションロールを追加することができます。
カスタムロールに使用できるアクションは、オブジェクトの権限設定に基づきます:
- 読取り: オブジェクトレコードの詳細を表示し、ドキュメントフィールド、または 2 つのオブジェクトレコード間の関係を作成している際にオブジェクトレコードを選択する。
- 編集: オブジェクトレコードの詳細の編集
- 削除: オブジェクトレコードの削除
カスタムロールを有するユーザは手動割り当てを使用できません。編集者ロールまたは所有者ロールを持つユーザは、手動割り当てを使用してカスタムロールにユーザを割り当てることはできません。
ロールなし
ロールがない場合、ユーザはオブジェクトレコード詳細 (ホバーカードに表示される詳細を含む) を表示することができません。ドキュメントフィールドのオブジェクトレコードの選択や、2 つのオブジェクトレコード間の関係作成時にもオブジェクトレコードを選択することができません。ドキュメントフィールドが、アクセスできないオブジェクトレコードに初期設定される場合には、Vault はデフォルト値を適用しません。例えば、Thomas には製品 Nyaxa に対するロールがありません。Thomas が Nyaxa のドキュメントをコピーして、元のドキュメントのフィールド値を含めようとしても、製品フィールドは Nyaxa に初期設定されません。
動的アクセスコントロールは、ユーザに表示できないレコードにリンクされたドキュメントやオブジェクトレコードが、ユーザに表示されないようにできません。例えば、Gladys は製品 CholeCap にロールを有していませんが、その製品のいくつかのドキュメントに対するドキュメントの表示権限を有しています。グラディスがこれらのドキュメントを閲覧する際に、製品フィールドに CholeCap が選択されていることが表示されます。
これらの設定により、ドキュメントタブのフィルタや検索の操作は変化しません。例えば、Gladys は、ライブラリに製品 > 一般名フィルタを追加して、値 chopredol が CholeCap 製品レコードにある場合でも、フィルタに設定することができます。
注: 階層コピーを使用して、ユーザはロールを有さない子レコードをコピーすることができます。この状況では、Vault は、コピーして作成された新規レコードの所有者ロールに Vault 所有者グループを自動的に割り当てます。コピーしたユーザは、元の子レコードにアクセス権限を持たず、この新規レコードにもアクセス権限を持ちません。
有効化後のロールおよびアクセス
オブジェクトで一致またはカスタム共有ルールを有効化した直後には、オブジェクトレコードにロール割り当てがありません。この時点では、Vault 所有者アクション > すべてのオブジェクトレコード > すべてのオブジェクトレコードの編集権限を持つユーザのみがレコードにアクセスして手動でアクセスを割り当てることができます。デフォルトでは、Vault 所有者のセキュリティプロファイルしかこの権限を含んでいません。アクセスコントロールを有効化し設定するユーザに、適切な権限が付与されているか確認してください。
オブジェクトレコードへのロールの割り当て
ユーザがオブジェクトレコードにアクセスするには 3 通りの方法があります。
- 一致共有ルールは、自動管理グループ (ユーザロール設定レコード経由で維持) を、レコードの一致フィールド値がユーザロール設定のレコード値と一致するレコードのロールに割り当てます。
- カスタム共有ルールは、クエリを定義し、クエリ条件を満たすレコードのロールに特定のユーザを割り当てます。
- 手動割り当てでは、適切な権限を持つユーザは直接レコードに進み、そのレコードのロールにのみ特定のユーザ/グループを追加することができます。
手動割り当て
オブジェクトに DAC を有効化すると (「一致共有ルール」または「カスタム共有ルール」経由)、オブジェクトレコードに対する編集者または所有者ロールを有するユーザは、ロールに別のユーザを追加することで、そのレコードを手動で共有することができます。オブジェクトレコードに編集権限があるユーザは、オブジェクトライフサイクルに設定された標準またはカスタムロールの手動割り当てを追加または削除することができます。所有者を追加または削除するには、ユーザは所有者ロールに割り当てられている必要があります。
ユーザは、手動割り当てオプションを使用して、共有ルールから割り当てられたグループを削除することはできません。
ユーザを手動で共有設定のオブジェクトレコードに割り当てることができます。
ユーザオブジェクトの DAC 設定
ユーザオブジェクトに DAC を設定すると、ユーザレコードに対するアクセスを制御し、識別情報をマスキングしてユーザの可視性を制限することができます。この設定を使用すると、1 つの Vault でパートナー組織と一緒に作業する組織が、別の組織に関連付けられているユーザに Vault がどのようにユーザ情報を表示するかを制御できます。
詳細は、ユーザオブジェクトの動的アクセスコントロールをご覧ください。
レコード共有設定の表示
オブジェクトレコードの表示権限がある場合、そのレコードの詳細ページから共有設定ページに進むことができます。このページでは、レコードに適用されるロール割り当てを表示することができます。