認可

Data Catalog の認可システムは、ユーザーに付与された権限のセットを表すロールに基づきます。ユーザーに直接権限を付与するのではなく、権限をロールに割り当ててから、そのロールをユーザーに割り当てるのです。これにより、同じロールのユーザーは同じ権限を持つことになります。そのため、権限を変更する際に、ユーザー 1 人 1 人を変更する必要がなくなり、共有されているロールの権限を変更するだけで、そのロールが割り当てられているすべてのユーザーの権限を変更できます。

一見シンプルな仕組みですが、ロールによる権限のモデル化は強力なツールです。ユーザーに複数のロールを割り当てれば、ロールに割り当てられた権限を統合した権限をユーザーに付与することが可能です。同様の方法で、権限を割り当てたロールを組み合わせて新たなロールを定義することも可能です。つまり、複数のロールを別のロールに割り当てるだけで、権限を継承できます。

実務上においてユーザーの権限を構成する際は、以下の手順に従う必要があります。

  1. ユーザーアカウントを管理する、システム上のユーザーに割り当てるロールのセットを構成します。具体的な構成は使用する 認証 方法によります。注意点として、Data Catalog で認証を構成する際は、ユーザー資格情報の検証方法と、認証されたユーザーのロールを抽出する方法を指定する必要があります。ロールは LDAP サーバーの検索によって、SAML アサーションのフィールドなどから取得できる場合もあります。

  2. 接続先の Virtual DataPort サーバーで ロールを作成 します。

  3. Virtual DataPort と Data Catalog の双方で、ロールに権限を割り当てます。

    • データベース、ビュー、Web サービスにアクセスするため、Virtual DataPort からロールに付与する権限を定義します。Data Catalog はこれらの権限に従うため、ユーザーは他のすべての Denodo 製品 (Design Studio や JDBC ドライバーなど) から付与されるものと同じアクセス権を Data Catalog から付与されます。

      注釈

      Virtual DataPort では、ロールの継承も構成される点に注意してください。

    • Data Catalog で認証を受けたユーザーであれば、Virtual DataPort 上のユーザーの権限に応じて、ビューまたは Web サービスの参照、検索、実行ができます。ただし、ビューの説明の編集、承認の記載、Web サービスへのタグの割り当てなど、Data Catalog でユーザーが実施できるタスクは他にも存在します。たとえば、 権限の構成 ダイアログでは、ロールが Data Catalog で実施できるタスクを定義できます。

Data Catalog 上の権限

ユーザーの権限によって、Data Catalog でユーザーが実施できるタスクが決まります。権限は、カタログ管理、管理作業、コラボレーションの 3 グループに大別されます。

カタログ管理グループから割り当てられる権限は次のとおりです。

  • カテゴリの作成/削除: ユーザーに次のタスクを許可します。

    • カテゴリを作成する。

    • カテゴリを削除する。

    また、この権限には カテゴリの編集 権限と カテゴリの割り当て 権限が含まれます。

  • カテゴリの編集: ユーザーに次のタスクを許可します。

    • カテゴリの名前を編集する。

    • カテゴリの説明を編集する。

    • カテゴリの親カテゴリを編集する。

    また、この権限には カテゴリの割り当て 権限が含まれます。

  • カテゴリの割り当て: ビューや Web サービスへのカテゴリの割り当てをユーザーに許可します。

  • タグの作成/削除: ユーザーに次のタスクを許可します。

    • タグを作成する。

    • タグを削除する。

    また、この権限には タグの編集 権限と タグの割り当て 権限が含まれます。

  • タグの編集: ユーザーに次のタスクを許可します。

    • タグの名前を編集する。

    • タグの説明を編集する。

    また、この権限には タグの割り当て 権限が含まれます。

  • タグの割り当て: ビューや Web サービスへのタグの割り当てをユーザーに許可します。

  • カスタムエレメントの作成/削除: ユーザーに次のタスクを許可します。

    • プロパティグループを作成する。

    • プロパティグループを削除する。

    また、この権限には カスタムエレメントの編集 権限と カスタムエレメントの割り当て 権限が含まれます。

  • カスタムエレメントの編集: ユーザーに次のタスクを許可します。

    • プロパティグループの名前、説明、表示先を編集する。

    • グループに属するプロパティの名前、説明、タイプ、デフォルト値を編集する。

    • プロパティグループにプロパティを追加/削除する。

    また、この権限には カスタムエレメントの割り当て 権限が含まれます。

  • カスタムエレメントの割り当て: データベース、ビュー、Web サービスへのプロパティグループの割り当てをユーザーに許可します。

  • エレメントの編集: ユーザーに次のタスクを許可します。

    • データベースの説明を編集する。

    • ビューとそのフィールドの説明を編集する。

    • Web サービスとそのフィールドの説明を編集する。

    • データベース、ビュー、Web サービスに割り当てられたカスタムプロパティの値を変更する。

管理グループから割り当てられる権限は次のとおりです。

  • 同期: Virtual DataPort サーバーとの同期の実行をユーザーに許可します。

  • インポート/エクスポート: ユーザーに次のタスクを許可します。

    • Data Catalog のメタデータと設定をインポート/エクスポートする。

    • 現在の Virtual DataPort サーバーに保存された全ユーザーのクエリをインポート/エクスポートする。

  • サーバー: ユーザーに次のタスクを許可します。

    • Virtual DataPort サーバーを作成する。

    • Virtual DataPort サーバーに対するクエリの接続設定を編集する。

    • Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。

    • Data Catalog がメタデータを保管するデータベースを編集する。

    • インデックスサーバーの作成と、Virtual DataPort サーバーへの割り当てを行う。

  • パーソナライズ: すべてのパーソナライズ設定 (通知メッセージ、クエリの結果のエクスポート、使用状況統計、テーマなど) の利用をユーザーに許可します。

  • コンテンツ: コンテンツ検索に関する以下の設定の構成をユーザーに許可します。

    • 検索結果サマリのフィールド数のデフォルト。

    • 検索結果サマリに表示する結果の 1 エンティティあたりの最大件数。

    • Virtual DataPort サーバーに割り当てるインデックスサーバーの検索スニペット。

  • 権限: ロールへの権限の割り当てをユーザーに許可します。

コラボレーショングループから割り当てられる権限は次のとおりです。

  • 承認の作成: 承認の作成をユーザーに許可します。

  • 承認の編集: 承認の編集をユーザーに許可します。

  • 承認の削除: 承認の削除をユーザーに許可します。

  • 警告の作成: 警告の作成をユーザーに許可します。

  • 警告の編集: 警告の編集をユーザーに許可します。

  • 警告の削除: 警告の削除をユーザーに許可します。

  • 廃止の作成: 廃止の作成をユーザーに許可します。

  • 廃止の編集: 廃止の編集をユーザーに許可します。

  • 廃止の削除: 廃止の削除をユーザーに許可します。

注釈

コラボレーショングループを使用するには、 セマンティクス フューチャー パック が必要です。所有しているサブスクリプションバンドルを確認するには、Data Catalog の [概要] ダイアログを開いてください。

事前定義された権限を持つユーザー

Data Catalog は、ユーザーの集団に事前定義された権限が割り当てられているものと見なします。この集団は認証方法、ユーザータイプ、または特定のロールによって特徴づけられます。権限を持つユーザーの一覧を以下に示します。

注釈

Data Catalog 7.0 において、認可システムは事前定義された変更できない特定のロールのセットを基にしており、ロールを割り当てると、自動的に権限がユーザーに付与されていました。これらのロールは Data Catalog 8.0 でも有効ですが、権限については上述のとおり再定義されました。7.0 で付与した権限と、現行バージョンの権限は完全には一致せず、ほとんどの権限は不変ではなくなっています。そのため、必要に応じて権限の定義を変更できます。

Data Catalog エディター

Data Catalog エディターは data_catalog_editor ロールを持つユーザーです。このユーザーには以下の権限が付与されますが、これらの権限は不変ではなく、変更が可能です。

  • カテゴリの編集

  • カテゴリの割り当て

  • タグの編集

  • タグの割り当て

  • カスタムエレメントの編集

  • カスタムエレメントの割り当て

  • エレメントの編集

  • 承認の編集

  • 警告の編集

Data Catalog エレメント管理者

Data Catalog エレメント管理者は data_catalog_classifier ロールを持つユーザーです。このユーザーには以下の権限が付与されますが、これらの権限は不変ではなく、変更が可能です。

  • カテゴリの割り当て

  • タグの割り当て

  • カスタムエレメントの割り当て

Data Catalog マネージャー

Data Catalog マネージャーは data_catalog_manager ロールを持つユーザーです。このユーザーには以下の権限が付与されますが、これらの権限は不変ではなく、変更が可能です。

  • カテゴリの作成/削除

  • カテゴリの編集

  • カテゴリの割り当て

  • タグの作成/削除

  • タグの編集

  • タグの割り当て

  • カスタムエレメントの作成/削除

  • カスタムエレメントの編集

  • カスタムエレメントの割り当て

  • エレメントの編集

  • 承認の作成

  • 承認の編集

  • 承認の削除

  • 警告の作成

  • 警告の編集

  • 警告の削除

  • 廃止の作成

  • 廃止の編集

  • 廃止の削除

Data Catalog コンテンツ管理者

Data Catalog コンテンツ管理者は data_catalog_content_admin ロールを持つユーザーです。このユーザーには以下の権限が付与されますが、これらの権限は不変ではなく、変更が可能です。

  • パーソナライズ

  • コンテンツ

Data Catalog 管理者

Data Catalog 管理者は data_catalog_admin ロールまたは selfserviceadmin ロールを持つユーザーです。このユーザーには以下の権限が付与されます。

  • カテゴリの作成/削除

  • カテゴリの編集

  • カテゴリの割り当て

  • タグの作成/削除

  • タグの編集

  • タグの割り当て

  • カスタムエレメントの作成/削除

  • カスタムエレメントの編集

  • カスタムエレメントの割り当て

  • エレメントの編集

  • 同期

  • インポート/エクスポート

  • サーバー

  • パーソナライズ

  • コンテンツ

  • アクセス許可

  • 承認の作成

  • 承認の編集

  • 承認の削除

  • 警告の作成

  • 警告の編集

  • 警告の削除

  • 廃止の作成

  • 廃止の編集

  • 廃止の削除

注釈

ここに列挙した権限は不変であり、変更できません。

Data Catalog エクスポーター

Data Catalog エクスポーターは data_catalog_exporter ロールまたは selfserviceexporter ロールを持つユーザーです。 エクスポート ダイアログから、クエリの結果を特定のフォーマットでエクスポートする権限を、このユーザーだけに与えるように構成することが可能です。

Data Catalog グローバル管理者

Data Catalog グローバル管理者は Virtual DataPort の 管理者タイプのユーザー または severadmin ロールを持つユーザーです。このユーザーは Data Catalog のすべての権限を付与されるため、あらゆるタスクを実施できます。

Data Catalog ローカルユーザー

Data Catalog ローカルユーザーは ローカル認証 方式で Data Catalog にアクセスするユーザーです。このユーザーは以下のタスクの実行を許可されます。

  • Virtual DataPort サーバーを作成する。

  • Virtual DataPort サーバーに対するクエリの接続設定を編集する。

  • Kerberos を使用したシングルサインオンを有効化するための、認証構成を編集する。

  • Data Catalog がメタデータを保管するデータベースを編集する。

重要

Denodo 8.0 に存在する selfserviceadmin ロールと selfserviceexporter ロールは Denodo 6.0 と後方互換性がありますが、ユーザーへの付与は推奨しません。これらのロールは非推奨であり、次のメジャーバージョンの Denodo で削除される予定です。代用として、 data_catalog_admin ロールまたは data_catalog_exporter ロールを使用してください。