認可¶
Data Catalog の認可システムは、ユーザーに付与された権限のセットを表すロールに基づきます。ユーザーに直接権限を付与するのではなく、権限をロールに割り当ててから、そのロールをユーザーに割り当てるのです。これにより、同じロールのユーザーは同じ権限を持つことになります。そのため、権限を変更する際に、ユーザー 1 人 1 人を変更する必要がなくなり、共有されているロールの権限を変更するだけで、そのロールが割り当てられているすべてのユーザーの権限を変更できます。
一見シンプルな仕組みですが、ロールによる権限のモデル化は強力なツールです。ユーザーに複数のロールを割り当てれば、ロールに割り当てられたすべての権限を統合した権限をユーザーに付与することが可能です。同様の方法で、権限を割り当てたロールを組み合わせて新たなロールを定義することも可能です。つまり、複数のロールを別のロールに割り当てるだけで、権限を継承できます。
実務上においてユーザーの権限を構成する際は、以下の手順に従う必要があります。
ユーザーアカウントを管理する、システム上のユーザーに割り当てるロールのセットを構成します。具体的な構成は使用する 認証 方法によります。注意点として、Data Catalog で認証を構成する際は、ユーザー資格情報の検証方法と、認証されたユーザーのロールを抽出する方法を指定する必要があります。ロールは LDAP サーバーの検索によって、SAML アサーションのフィールドなどから取得できる場合もあります。
接続先の Virtual DataPort サーバーで ロールを作成 します。
Virtual DataPort と Data Catalog の双方で、ロールに権限を割り当てます。
データベース、ビュー、Web サービスにアクセスするため、Virtual DataPort からロールに付与する権限を定義します。Data Catalog はこれらの権限に従うため、ユーザーは他のすべての Denodo 製品 (Design Studio や JDBC ドライバーなど) から付与されるものと同じアクセス権を Data Catalog から付与されます。
注釈
Virtual DataPort では、ロールの継承も構成されます。
Data Catalog で認証を受けたユーザーであれば、Virtual DataPort 上のユーザーの権限に応じて、ビューまたは Web サービスの参照、検索、実行ができます。ただし、ビューの説明の編集、承認の記載、Web サービスへのタグの割り当てなど、Data Catalog でユーザーが実施できるタスクは他にも存在します。たとえば、[権限] ダイアログでは、ロールに 権限 を付与することで、ロールが Data Catalog で実施できるタスクを定義できます。
ユーザーが作成できるロールに加え、Virtual DataPort には一連の定義済みのロールが付属しています。これらのロールの一部は、ニーズに応じて変更できる デフォルトの権限 のリストを使用して構成されています。他の定義済みのロールは、 権限を暗黙的に表す ので、一部のタスクはそのロールを持つユーザーのみが実行できます。
最後に、Data Catalog では、特定のタスクを実行する権限を与えられた 特殊なユーザー もサポートされています。これらのユーザーは、ロールではなく、Virtual DataPort での定義方法または Data Catalog での認証方法によって特徴が決まります。
Data Catalog 上の権限¶
ユーザーの権限によって、Data Catalog でユーザーが実施できるタスクが決まります。権限は、 カタログ管理 、 管理作業 、 コラボレーション 、 ユーザー 、または request の 5 グループに大別されます。
カタログ管理¶
カタログ管理グループから割り当てられる権限は次のとおりです。
カテゴリの作成/削除: ユーザーに次のタスクを許可します。
カテゴリを作成する。
カテゴリを削除する。
また、この権限には カテゴリの編集 権限と カテゴリの割り当て 権限が含まれます。
カテゴリの編集: ユーザーに次のタスクを許可します。
カテゴリの名前を編集する。
カテゴリの説明を編集する。
カテゴリの親カテゴリを編集する。
また、この権限には カテゴリの割り当て 権限が含まれます。
カテゴリの割り当て: ビューや Web サービスへのカテゴリの割り当てをユーザーに許可します。
タグの作成/削除: ユーザーに次のタスクを許可します。
タグを作成する。
タグを削除する。
また、この権限には タグの編集 権限と タグの割り当て 権限が含まれます。
タグの編集: ユーザーに次のタスクを許可します。
タグの名前を編集する。
タグの説明を編集する。
また、この権限には タグの割り当て 権限が含まれます。
タグの割り当て: ビューや Web サービスへのタグの割り当てをユーザーに許可します。
プロパティグループの作成/削除: ユーザーに次のタスクを許可します。
プロパティグループを作成する。
プロパティグループを削除する。
また、この権限には プロパティグループの編集 権限と プロパティグループの割り当て 権限が含まれます。
プロパティグループの編集: ユーザーに次のタスクを許可します。
プロパティグループの名前、説明、表示先を編集する。
グループに属するプロパティの名前、説明、タイプ、デフォルト値を編集する。
プロパティグループにプロパティを追加/削除する。
プロパティおよびプロパティグループの表示順序を変更する。
また、この権限には プロパティグループの割り当て 権限が含まれます。
プロパティグループの割り当て: データベース、ビュー、Web サービスへのプロパティグループの割り当てをユーザーに許可します。
エレメントの編集: ユーザーに次のタスクを許可します。
データベースの説明を編集する。
ビューとそのフィールドの説明を編集する。
ビューの論理フィールド名を編集する。
Web サービスとそのフィールドの説明を編集する。
データベース、ビュー、Web サービスに割り当てられたカスタムプロパティの値を変更する。
管理作業¶
管理グループから割り当てられる権限は次のとおりです。
同期: Virtual DataPort サーバーとの同期の実行をユーザーに許可します。
インポート/エクスポート: ユーザーに次のタスクを許可します。
Data Catalog のメタデータと設定をインポート/エクスポートする。
現在の Virtual DataPort サーバーに保存された全ユーザーのクエリをインポート/エクスポートする。
サーバー: ユーザーに次のタスクを許可します。
Virtual DataPort サーバーを作成する。
Virtual DataPort サーバーに対するクエリの接続設定を編集する。
Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。
Data Catalog がメタデータを保管するデータベースを編集する。
LLM の構成を編集して Data Catalog の AI 機能を有効にする。
インデックスサーバーの作成と、Virtual DataPort サーバーへの割り当てを行う。
LLM の構成を編集して Data Catalog の AI 機能を有効にする。
パーソナライズ: すべてのパーソナライズ設定 (通知メッセージ、クエリの結果のエクスポート、使用状況統計、テーマなど) の利用をユーザーに許可します。
コンテンツ: コンテンツ検索に関する以下の設定の構成をユーザーに許可します。
検索結果サマリのフィールド数のデフォルト。
検索結果サマリに表示する結果の 1 エンティティあたりの最大件数。
Virtual DataPort サーバーに割り当てるインデックスサーバーの検索スニペット。
権限: ロールへの権限の割り当てをユーザーに許可します。
コラボレーション¶
コラボレーショングループから割り当てられる権限は次のとおりです。
承認の作成: 承認の作成をユーザーに許可します。
承認の編集: 承認の編集をユーザーに許可します。
承認の削除: 承認の削除をユーザーに許可します。
警告の作成: 警告の作成をユーザーに許可します。
警告の編集: 警告の編集をユーザーに許可します。
警告の削除: 警告の削除をユーザーに許可します。
廃止の作成: 廃止の作成をユーザーに許可します。
廃止の編集: 廃止の編集をユーザーに許可します。
廃止の削除: 廃止の削除をユーザーに許可します。
Request¶
Request グループから割り当てられる権限は次のとおりです。
Create access: アクセスリクエストの作成をユーザーに許可します。
Manage access: アクセスリクエストの管理をユーザーに許可します。
Create change: 変更リクエストの作成をユーザーに許可します。
Manage change: 変更リクエストの管理をユーザーに許可します。
Create data quality: データ品質リクエストの作成をユーザーに許可します。
Manage data quality: データ品質リクエストの管理をユーザーに許可します。
Create question: 質問リクエストの作成をユーザーに許可します。
Manage question: 質問リクエストの管理をユーザーに許可します。
Configure requests: ユーザーに次のタスクを許可します。
リクエスト関連のイベントのメール通知を構成する。
リクエスト関連の権限を読み取りおよび更新する。
事前定義された権限を持つロール¶
Data Catalog 7.0 において、認可システムは事前定義された変更できない特定のロールのセットを基にしており、ロールを割り当てると、自動的に権限がユーザーに付与されていました。これらのロールは新しいバージョンの Data Catalog でも有効ですが、権限については上述のとおり再定義されました。7.0 で付与した権限と、現行バージョンの権限は完全には一致せず、現行バージョンの権限は不変ではなくなっています。そのため、必要に応じて権限の定義を変更できます。以下に、事前定義されたロールと、デフォルトで割り当てられる権限の完全なリストを示します。
data_catalog_editor¶
data_catalog_editor
ロールでは、次のリストの権限がデフォルトで付与されます。
カテゴリの編集
カテゴリの割り当て
タグの編集
タグの割り当て
プロパティグループの編集
プロパティグループの割り当て
エレメントの編集
承認の編集
警告の編集
data_catalog_classifier¶
data_catalog_classifier
ロールでは、次のリストの権限がデフォルトで付与されます。
カテゴリの割り当て
タグの割り当て
プロパティグループの割り当て
data_catalog_manager¶
data_catalog_manager
ロールでは、次のリストの権限がデフォルトで付与されます。
カテゴリの作成/削除
カテゴリの編集
カテゴリの割り当て
タグの作成/削除
タグの編集
タグの割り当て
プロパティグループの作成/削除
プロパティグループの編集
プロパティグループの割り当て
エレメントの編集
承認の作成
承認の編集
承認の削除
警告の作成
警告の編集
警告の削除
廃止の作成
廃止の編集
廃止の削除
暗黙的な権限を持つユーザー¶
[権限] ダイアログを使用してロールに割り当てることができない権限がいくつかあります。これらの権限は、代わりに特定のロールをユーザーに割り当てた場合に自動的に付与されます。以下に、Data Catalog で権限が暗黙的に付与される、事前定義されたロールのリストを示します。
data_catalog_exporter¶
ユーザーがクエリの結果をどのようにエクスポートできるかを構成するために、Data Catalog では [エクスポート] ダイアログが提供されています。利用可能なオプションの中で、権限を付与された一連のユーザーを Data Catalog エクスポーターに制限できます。これらは、 data_catalog_exporter
ロールまたは selfserviceexporter
ロール (後方互換性を確保する場合) を持つユーザーです。
data_catalog_data_preparation¶
Data Catalog には、ビューからデータを取得する方法がいくつかあります。その 1 つが データ準備 です。この機能は、 data_catalog_data_preparation
ロールを持つユーザーのみが使用できます。
data_catalog_assisted_query¶
Data Catalog では、 アシスト付きクエリ を使用して自然言語でビューからデータを取得できます。この機能は、 data_catalog_assisted_query
ロールを持つユーザーのみが使用できます。
data_catalog_admin¶
Data Catalog 管理者は、 data_catalog_admin
ロールまたは selfserviceadmin
ロール (後方互換性を確保する場合) を持つユーザーです。これらのユーザーには Data Catalog 内であらゆる操作を行う権限が付与されます。
重要
Denodo 9 に存在する selfserviceadmin
ロールと selfserviceexporter
ロールは Denodo 6.0 と後方互換性がありますが、ユーザーへの付与は推奨しません。これらのロールは非推奨であり、次のメジャーバージョンの Denodo で削除される予定です。代用として、 data_catalog_admin
ロールまたは data_catalog_exporter
ロールを使用してください。
暗黙的な権限を持つロール¶
Data Catalog では、ロールに基づく権限ではなく、Virtual DataPort 内での定義方法または Data Catalog への接続に使用する認証に基づく権限を持つ特殊なユーザーがサポートされています。これらのユーザーについて詳しく見てみましょう。
Data Catalog ローカルユーザー¶
Data Catalog ローカルユーザーは ローカル認証 方式で Data Catalog にアクセスするユーザーです。このユーザーは以下のタスクの実行を許可されます。
Virtual DataPort サーバーを作成する。
Virtual DataPort サーバーに対するクエリの接続設定を編集する。
Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。
Data Catalog がメタデータを保管するデータベースを編集する。
Denodo グローバル管理者¶
Virtual DataPort の 管理者タイプのユーザー は、Denodo Platform ではグローバル管理者と見なされ、すべての Denodo 製品の管理者として機能できます。したがって、Data Catalog 管理者はあらゆる操作を行う権限を付与されます。
serveradmin
ロールまたは saas_server_admin
ロールを持つユーザーもグローバル管理者と見なされることに注意してください。
Data Catalog のアシスト付きクエリのユーザー¶
Data Catalog のアシスト付きクエリのユーザーは、 data_catalog_assisted_query
ロールを持つユーザーです。
このユーザーには以下の権限が付与されます。
アシスト付きクエリ機能のすべてのアクションを実行する。
注釈
このロールは、アシスト付きクエリ機能を構成するための権限を持ちません。この機能を有効化または構成するには、「パーソナライズ」権限を持つロールが必要です。