Location Intelligence モジュールのセキュリティ
Location Intelligence モジュールは、Spectrum™ Technology Platformに対して使用される役割ベースのセキュリティを使用します。セキュリティはプラットフォーム レベルで処理されるので、Location Intelligence モジュールのすべてのセキュリティ アクティビティの管理には Management Console を使用できます。これには、ユーザ アカウントの管理 (ユーザ アカウントの作成、変更、削除) に加えて、名前付きリソースの権限の設定が含まれます。
定義済みの spatial の役割
Location Intelligence モジュールをインストールすると、Management Console で 3 つの定義済み役割が使用可能になります。
- spatial-admin
- spatial-admin 役割は、すべての名前付きリソースと、名前付きテーブルに関連付けられたすべてのデータセットに対する全権限 (作成/表示/変更/削除) を提供できます。これらの権限は、Location Intelligence モジュールのセキュア エンティティ タイプ Location Intelligence.Named Resources および Location Intelligence.Dataset.DML を使用して制御します。Location Intelligence モジュール サービスのユーザには、最低限、使用するリソースとその従属リソースに対する表示権限が必要です。データセットの権限の制御については、データセットに対するアクセス制御を参照してください。
- spatial-user
- spatial-user 役割は、名前付きリソースの表示権限のみを提供します。これらの権限は、Location Intelligence モジュールのセキュア エンティティ タイプ Location Intelligence.Named Resources を使用して制御されます。Location Intelligence モジュール サービスのユーザには、最低限、使用するリソースとその従属リソースに対する表示権限が必要です。
- spatial-dataset-editor
- spatial-dataset-editor 役割は、データセットに対するすべての権限 (作成/表示/変更/削除) を提供します。これらの権限は、Location Intelligence モジュールのセキュア エンティティ タイプ Location Intelligence.Dataset.DML を使用して制御します。この役割と、データセットでの権限の制御については、データセットに対するアクセス制御を参照してください。
名前付きリソースにアクセスする必要のあるデータフロー設計者は、"designer" 役割では付与されない権限を必要とします。空間データフロー設計者の作成方法については、空間データフロー設計者の作成を参照してください。
カスタムの spatial の役割とアクセス制御の設定
定義済みの spatial の役割を基にしてカスタム役割を作成し、それをユーザ アカウントに割り当てた後、個別の名前付きリソース、データセット、フォルダまたはディレクトリにアクセス制御設定 (オーバーライド) を適用することによって、これらの役割およびユーザの名前付きリソースに対するアクセスを微調整できます。Location Intelligence モジュールにおけるセキュリティの設定については、権限なしの役割を作成して、その役割にアクセス制御設定を適用し (例えば、特定のフォルダ内の名前付きリソースに対する変更および削除権限を許可するなど)、そのカスタム役割や、いずれかの定義済みの spatial の役割をユーザに割り当てるというのが、典型的なシナリオであり、ベスト プラクティスです。よくある別のシナリオとしては、1 人のユーザに対してオーバーライド権限を設定するというものがあります。例えば、名前付きリソースに対する表示権限のみを持つユーザ アカウントを作成してから、特定のフォルダ内の名前付きリソースの変更と削除を許可するアクセス制御設定を、そのユーザに適用します。
フォルダ
フォルダ権限は、下位のリソースおよびフォルダにそれをオーバーライドする特定のアクセス制御設定がない限り、それらのリソースおよびフォルダに継承されます。これは、一連のリソースに権限を設定したい場合に便利です。指定したユーザまたは役割のみがアクセスできるフォルダを作成できます。このフォルダおよびその下位にあるすべての要素は他のユーザには表示されません。Location Intelligence.Named Resources エンティティ タイプでは、スラッシュ (/) で終わるすべての表示リソースがリポジトリ内のフォルダまたはディレクトリです。
ただし、このフォルダ レベルの権限は、下位の個別リソース レベルで設定された権限をオーバーライドしません。例えば、あるフォルダに対する作成権限を持つ特定の役割またはユーザに対し、そのフォルダ内の 1 つのリソース (名前付きテーブルなど) の表示権限のアクセス制御設定が適用されている場合、その 1 つのリソースに対する表示 (読み取り専用) 権限がフォルダに対する作成権限よりも優先されます。