USER MANUALS

認可

Data Catalog の認可システムは、ユーザーに付与された権限のセットを表すロールに基づきます。ユーザーに直接権限を付与するのではなく、権限をロールに割り当ててから、そのロールをユーザーに割り当てるのです。これにより、同じロールのユーザーは同じ権限を持つことになります。そのため、権限を変更する際に、ユーザー 1 人 1 人を変更する必要がなくなり、共有されているロールの権限を変更するだけで、そのロールが割り当てられているすべてのユーザーの権限を変更できます。

一見シンプルな仕組みですが、ロールによる権限のモデル化は強力なツールです。ユーザーに複数のロールを割り当てれば、ロールに割り当てられたすべての権限を統合した権限をユーザーに付与することが可能です。同様の方法で、権限を割り当てたロールを組み合わせて新たなロールを定義することも可能です。つまり、複数のロールを別のロールに割り当てるだけで、権限を継承できます。

実務上においてユーザーの権限を構成する際は、以下の手順に従う必要があります。

  1. ユーザーアカウントを管理する、システム上のユーザーに割り当てるロールのセットを構成します。具体的な構成は使用する 認証 方法によります。注意点として、Data Catalog で認証を構成する際は、ユーザー資格情報の検証方法と、認証されたユーザーのロールを抽出する方法を指定する必要があります。ロールは LDAP サーバーの検索によって、SAML アサーションのフィールドなどから取得できる場合もあります。

  2. 接続先の Virtual DataPort サーバーで ロールを作成 します。

  3. Virtual DataPort と Data Catalog の双方で、ロールに権限を割り当てます。

    • データベース、ビュー、Web サービスにアクセスするため、Virtual DataPort からロールに付与する権限を定義します。Data Catalog はこれらの権限に従うため、ユーザーは他のすべての Denodo 製品 (Design Studio や JDBC ドライバーなど) から付与されるものと同じアクセス権を Data Catalog から付与されます。

      注釈

      Virtual DataPort では、ロールの継承も構成されます。

    • Data Catalog で認証を受けたユーザーであれば、Virtual DataPort 上のユーザーの権限に応じて、ビューまたは Web サービスの参照、検索、実行ができます。ただし、ビューの説明の編集、承認の記載、Web サービスへのタグの割り当てなど、Data Catalog でユーザーが実施できるタスクは他にも存在します。たとえば、[権限] ダイアログでは、ロールに 権限 を付与することで、ロールが Data Catalog で実施できるタスクを定義できます。

ユーザーが作成できるロールに加え、Virtual DataPort には一連の定義済みのロールが付属しています。これらのロールの一部は、ニーズに応じて変更できる デフォルトの権限 のリストを使用して構成されています。他の定義済みのロールは、 権限を暗黙的に表す ので、一部のタスクはそのロールを持つユーザーのみが実行できます。

最後に、Data Catalog では、特定のタスクを実行する権限を与えられた 特殊なユーザー もサポートされています。これらのユーザーは、ロールではなく、Virtual DataPort での定義方法または Data Catalog での認証方法によって特徴が決まります。

Data Catalog 上の権限

ユーザーの権限によって、Data Catalog でユーザーが実施できるタスクが決まります。権限は、 カタログ管理管理作業コラボレーションユーザー 、または request の 5 グループに大別されます。

カタログ管理

カタログ管理グループから割り当てられる権限は次のとおりです。

  • カテゴリの作成/削除: ユーザーに次のタスクを許可します。

    • カテゴリを作成する。

    • カテゴリを削除する。

    また、この権限には カテゴリの編集 権限と カテゴリの割り当て 権限が含まれます。

  • カテゴリの編集: ユーザーに次のタスクを許可します。

    • カテゴリの名前を編集する。

    • カテゴリの説明を編集する。

    • カテゴリの親カテゴリを編集する。

    また、この権限には カテゴリの割り当て 権限が含まれます。

  • カテゴリの割り当て: ビューや Web サービスへのカテゴリの割り当てをユーザーに許可します。

  • タグの作成/削除: ユーザーに次のタスクを許可します。

    • タグを作成する。

    • タグを削除する。

    また、この権限には タグの編集 権限と タグの割り当て 権限が含まれます。

  • タグの編集: ユーザーに次のタスクを許可します。

    • タグの名前を編集する。

    • タグの説明を編集する。

    また、この権限には タグの割り当て 権限が含まれます。

  • タグの割り当て: ビューや Web サービスへのタグの割り当てをユーザーに許可します。

  • プロパティグループの作成/削除: ユーザーに次のタスクを許可します。

    • プロパティグループを作成する。

    • プロパティグループを削除する。

    また、この権限には プロパティグループの編集 権限と プロパティグループの割り当て 権限が含まれます。

  • プロパティグループの編集: ユーザーに次のタスクを許可します。

    • プロパティグループの名前、説明、表示先を編集する。

    • グループに属するプロパティの名前、説明、タイプ、デフォルト値を編集する。

    • プロパティグループにプロパティを追加/削除する。

    • プロパティおよびプロパティグループの表示順序を変更する。

    また、この権限には プロパティグループの割り当て 権限が含まれます。

  • プロパティグループの割り当て: データベース、ビュー、Web サービスへのプロパティグループの割り当てをユーザーに許可します。

  • エレメントの編集: ユーザーに次のタスクを許可します。

    • データベースの説明を編集する。

    • ビューとそのフィールドの説明を編集する。

    • ビューの論理フィールド名を編集する。

    • Web サービスとそのフィールドの説明を編集する。

    • データベース、ビュー、Web サービスに割り当てられたカスタムプロパティの値を変更する。

管理作業

管理グループから割り当てられる権限は次のとおりです。

  • 同期: Virtual DataPort サーバーとの同期の実行をユーザーに許可します。

  • インポート/エクスポート: ユーザーに次のタスクを許可します。

    • Data Catalog のメタデータと設定をインポート/エクスポートする。

    • 現在の Virtual DataPort サーバーに保存された全ユーザーのクエリをインポート/エクスポートする。

  • サーバー: ユーザーに次のタスクを許可します。

    • Virtual DataPort サーバーを作成する。

    • Virtual DataPort サーバーに対するクエリの接続設定を編集する。

    • Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。

    • Data Catalog がメタデータを保管するデータベースを編集する。

    • LLM の構成を編集して Data Catalog の AI 機能を有効にする。

    • インデックスサーバーの作成と、Virtual DataPort サーバーへの割り当てを行う。

    • LLM の構成を編集して Data Catalog の AI 機能を有効にする。

  • パーソナライズ: すべてのパーソナライズ設定 (通知メッセージ、クエリの結果のエクスポート、使用状況統計、テーマなど) の利用をユーザーに許可します。

  • コンテンツ: コンテンツ検索に関する以下の設定の構成をユーザーに許可します。

    • 検索結果サマリのフィールド数のデフォルト。

    • 検索結果サマリに表示する結果の 1 エンティティあたりの最大件数。

    • Virtual DataPort サーバーに割り当てるインデックスサーバーの検索スニペット。

  • 権限: ロールへの権限の割り当てをユーザーに許可します。

コラボレーション

コラボレーショングループから割り当てられる権限は次のとおりです。

  • 承認の作成: 承認の作成をユーザーに許可します。

  • 承認の編集: 承認の編集をユーザーに許可します。

  • 承認の削除: 承認の削除をユーザーに許可します。

  • 警告の作成: 警告の作成をユーザーに許可します。

  • 警告の編集: 警告の編集をユーザーに許可します。

  • 警告の削除: 警告の削除をユーザーに許可します。

  • 廃止の作成: 廃止の作成をユーザーに許可します。

  • 廃止の編集: 廃止の編集をユーザーに許可します。

  • 廃止の削除: 廃止の削除をユーザーに許可します。

ユーザー

ユーザーグループから割り当てられる権限は次のとおりです。

  • VQL シェル: ユーザーに VQL シェルを使用した VQL クエリの実行を許可します。

Request

Request グループから割り当てられる権限は次のとおりです。

  • Create access: アクセスリクエストの作成をユーザーに許可します。

  • Manage access: アクセスリクエストの管理をユーザーに許可します。

  • Create change: 変更リクエストの作成をユーザーに許可します。

  • Manage change: 変更リクエストの管理をユーザーに許可します。

  • Create data quality: データ品質リクエストの作成をユーザーに許可します。

  • Manage data quality: データ品質リクエストの管理をユーザーに許可します。

  • Create question: 質問リクエストの作成をユーザーに許可します。

  • Manage question: 質問リクエストの管理をユーザーに許可します。

  • Configure requests: ユーザーに次のタスクを許可します。

    • リクエスト関連のイベントのメール通知を構成する。

    • リクエスト関連の権限を読み取りおよび更新する。

事前定義された権限を持つロール

Data Catalog 7.0 において、認可システムは事前定義された変更できない特定のロールのセットを基にしており、ロールを割り当てると、自動的に権限がユーザーに付与されていました。これらのロールは新しいバージョンの Data Catalog でも有効ですが、権限については上述のとおり再定義されました。7.0 で付与した権限と、現行バージョンの権限は完全には一致せず、現行バージョンの権限は不変ではなくなっています。そのため、必要に応じて権限の定義を変更できます。以下に、事前定義されたロールと、デフォルトで割り当てられる権限の完全なリストを示します。

data_catalog_editor

data_catalog_editor ロールでは、次のリストの権限がデフォルトで付与されます。

  • カテゴリの編集

  • カテゴリの割り当て

  • タグの編集

  • タグの割り当て

  • プロパティグループの編集

  • プロパティグループの割り当て

  • エレメントの編集

  • 承認の編集

  • 警告の編集

data_catalog_classifier

data_catalog_classifier ロールでは、次のリストの権限がデフォルトで付与されます。

  • カテゴリの割り当て

  • タグの割り当て

  • プロパティグループの割り当て

data_catalog_manager

data_catalog_manager ロールでは、次のリストの権限がデフォルトで付与されます。

  • カテゴリの作成/削除

  • カテゴリの編集

  • カテゴリの割り当て

  • タグの作成/削除

  • タグの編集

  • タグの割り当て

  • プロパティグループの作成/削除

  • プロパティグループの編集

  • プロパティグループの割り当て

  • エレメントの編集

  • 承認の作成

  • 承認の編集

  • 承認の削除

  • 警告の作成

  • 警告の編集

  • 警告の削除

  • 廃止の作成

  • 廃止の編集

  • 廃止の削除

data_catalog_content_admin

data_catalog_content_admin ロールでは、次のリストの権限がデフォルトで付与されます。

  • パーソナライズ

  • コンテンツ

暗黙的な権限を持つユーザー

[権限] ダイアログを使用してロールに割り当てることができない権限がいくつかあります。これらの権限は、代わりに特定のロールをユーザーに割り当てた場合に自動的に付与されます。以下に、Data Catalog で権限が暗黙的に付与される、事前定義されたロールのリストを示します。

data_catalog_exporter

ユーザーがクエリの結果をどのようにエクスポートできるかを構成するために、Data Catalog では [エクスポート] ダイアログが提供されています。利用可能なオプションの中で、権限を付与された一連のユーザーを Data Catalog エクスポーターに制限できます。これらは、 data_catalog_exporter ロールまたは selfserviceexporter ロール (後方互換性を確保する場合) を持つユーザーです。

data_catalog_data_preparation

Data Catalog には、ビューからデータを取得する方法がいくつかあります。その 1 つが データ準備 です。この機能は、 data_catalog_data_preparation ロールを持つユーザーのみが使用できます。

data_catalog_assisted_query

Data Catalog では、 アシスト付きクエリ を使用して自然言語でビューからデータを取得できます。この機能は、 data_catalog_assisted_query ロールを持つユーザーのみが使用できます。

data_catalog_admin

Data Catalog 管理者は、 data_catalog_admin ロールまたは selfserviceadmin ロール (後方互換性を確保する場合) を持つユーザーです。これらのユーザーには Data Catalog 内であらゆる操作を行う権限が付与されます。

重要

Denodo 9 に存在する selfserviceadmin ロールと selfserviceexporter ロールは Denodo 6.0 と後方互換性がありますが、ユーザーへの付与は推奨しません。これらのロールは非推奨であり、次のメジャーバージョンの Denodo で削除される予定です。代用として、 data_catalog_admin ロールまたは data_catalog_exporter ロールを使用してください。

暗黙的な権限を持つロール

Data Catalog では、ロールに基づく権限ではなく、Virtual DataPort 内での定義方法または Data Catalog への接続に使用する認証に基づく権限を持つ特殊なユーザーがサポートされています。これらのユーザーについて詳しく見てみましょう。

Data Catalog ローカルユーザー

Data Catalog ローカルユーザーは ローカル認証 方式で Data Catalog にアクセスするユーザーです。このユーザーは以下のタスクの実行を許可されます。

  • Virtual DataPort サーバーを作成する。

  • Virtual DataPort サーバーに対するクエリの接続設定を編集する。

  • Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。

  • Data Catalog がメタデータを保管するデータベースを編集する。

Denodo グローバル管理者

Virtual DataPort の 管理者タイプのユーザー は、Denodo Platform ではグローバル管理者と見なされ、すべての Denodo 製品の管理者として機能できます。したがって、Data Catalog 管理者はあらゆる操作を行う権限を付与されます。

serveradmin ロールまたは saas_server_admin ロールを持つユーザーもグローバル管理者と見なされることに注意してください。

Data Catalog のアシスト付きクエリのユーザー

Data Catalog のアシスト付きクエリのユーザーは、 data_catalog_assisted_query ロールを持つユーザーです。

このユーザーには以下の権限が付与されます。

  • アシスト付きクエリ機能のすべてのアクションを実行する。

注釈

このロールは、アシスト付きクエリ機能を構成するための権限を持ちません。この機能を有効化または構成するには、「パーソナライズ」権限を持つロールが必要です。

Add feedback