はじめに
DataSetでPDP(Personalized Data Permissions)ポリシーを設定することで、Domoのユーザーやグループにカスタマイズされた体験を作り上げることができます。このポリシーにより、指定のユーザーやグループに対してDataSetのデータをフィルターすることができるようになります。このユーザーやグループがPDPポリシーが適用されたKPIやSumoカードを閲覧すると、自分に関連する情報のみが表示されます。
例えば、アメリカの西部と東部地域のデータを示す地図のカードがあるとします。この場合、「西部」と「東部」で1つずつPDPポリシーを作成できます。「西部」のポリシーには西部地域の販売員を選び、「東部」ポリシーには東部地域の販売員を選びます。ワシントン州を拠点にしているラリーという販売員がカードを開くと、西部地域の州のデータのみが見え、東部地域の州にはデータは表示されません。
PDPポリシーを作成する際には、次のいずれかのフィルターを使用できます。
-
シンプルフィルター。特定の列値に基づくポリシーを作成できます。例えば、上述のように、「西部」リージョンと「東部」リージョンのポリシーを作成できます。
-
カスタムフィルター。ポリシーで使用するフィルターをカスタマイズできます。さまざまなルールが利用可能です。「よりも大きい」および「よりも小さい」のルールを使用して特定のしきい値に基づいてフィルターを作成したり、「範囲内」ルールを使用して値や日付の範囲を対象としたフィルターを作成したりできます。「最初の文字」ルールを適用して、文字列にフィルターを適用することもできます。
-
ユーザー属性別のフィルター。名前、メール、従業員番号などのユーザー属性に基づいて動的なPDPフィルターを作成できます。[管理者設定]、[セキュリティ]、[信頼済み属性] で、PDPで使用できる属性を確認できます。チェックされた属性は、セキュリティ違反を防ぐためにロックされます。これらのロックを解除できるのは管理ユーザーのみであり、属性がPDPポリシーで使用されていない場合にのみロックを解除できます。ユーザー属性を有効または無効にする方法については、「動的PDPポリシーの属性を有効または無効にする」を参照してください。
PDPポリシーは、アラートやDataFusionなど、Domoのその他のツールにも適用されます。PDP DataSetにより情報が追加されているカードのアラートにサブスクライブすると、アラートはそのPDPポリシーを反映するようカスタマイズされます。PDPポリシーが有効化されている入力DataSetを使ってDataFusionを作成すると、これらのポリシーは出力DataSetにも組み込まれます。
動画 - 動的Personalized Data Permissions(PDP)
PDPポリシーを作成する
PDPポリシーの作成と管理は、Data Centerで行います。
動画 - Personalized Data Permissions(PDP)ポリシーの作成
PDPポリシーを作成するには
-
画面右上のツールバーの [データ] をクリックします。
-
左側のナビゲーションペインで
をクリックします。
-
ポリシーを適用するDataSetを探してクリックします。
-
[Personalized Data Permissions] タブをクリックします。
-
(オプション)[インパクト] ボタンをクリックして、このDataSetのPDPポリシーで影響を受けるカードとアラートのリストを開きます。
これは必要条件ではありませんが、続行する前にこのリストを閲覧することを推奨します。詳細は 、以下の「PDP結果を閲覧する」を参照してください。 -
(オプション)DataSetの所有者と「管理者」以外にこのDataSetのすべてのデータにアクセスできるユーザーがいる場合は、以下の方法でそのユーザーに完全な権限を付与することができます。
-
[全ての行] 行で、
をクリックします。
-
[グループとユーザーを追加] ダイアログで、データに対して完全なアクセス権を持つべきユーザーまたはグループの名前を入力します。ポリシーに追加する名前を選択します。
-
[適用] をクリックします。
重要:このDataSetがDataFlowの入力DataSetである場合、DataFlowの所有者に対して全アクセス権を付与することをお勧めします。そうでない場合、PDPポリシーが設定されると、DataFlowが切断する恐れがあります。
-
-
[ポリシーを追加] をクリックします。
-
このポリシーを説明する名称を入力します。
-
[データを追加] をクリックし、[データアクセスを追加] ダイアログを開きます。
-
[列名] のドロップダウンで、フィルターを適用する列を選択します。
-
[アクセスタイプ] メニューで、このポリシーのベースにするフィルタータイプを選択します。
-
特定の列の値に基づいてポリシーを作成する場合は、[シンプルフィルター] を選択します。例えば、「東部」地域のユーザーに、自分の地域のデータのみを表示できるようにする地域ベースのポリシーを作成する場合、このフィルターオプションを選択し、絞り込む地域として「東部」を選択します。
-
ポリシーにカスタマイズしたフィルターを作成する場合は、[カスタムフィルター] を選択します。例えば、特定の日付範囲内または特定のしきい値を超えるまたは下回るデータの表示のみを許可するユーザーのグループがあるとします。このオプションを使用すると、このようなポリシーを作成できます。
-
選択したユーザー属性に基づいて動的PDPポリシーを有効にする場合は、[ユーザー属性別のフィルター]を選択します。例えば、ユーザーが表示できる行を自分のメールアドレスの行のみとし、他の全て除外するように設定します。このオプションを使用すると、このような設定が可能です。このオプションを使用するには、[管理者設定]、[セキュリティ]、[信頼済み属性] でPDP対応の属性を選択する必要があります。詳細については、以下の「動的PDPポリシーの属性を有効または無効にする」を参照してください。
-
-
(条件付き)ステップ11で [シンプルフィルター] を選択した場合...
-
[行の値を検索/追加] フィールドで、フィルターを適用する行の名前を選択します。
-
(オプション)ステップ8を繰り返し、フィルターする列を全て追加します。
-
[適用] をクリックします。
-
-
(条件付き)ステップ11で [カスタムフィルター] を選択した場合...
-
[このルールと一致する値を含める] の下のメニューで、目的のフィルター条件を選択します。
-
右側のフィールドで、値または文字列を入力するか、条件を完了する日付を選択します。([範囲内] を選択した場合は、フィールドが2つになります。1つは最小値または開始日であり、もう1つは最大値または終了日のフィールドです)。
例えば、特定の日付範囲内のデータの表示のみをユーザーに許可するポリシーを作成する場合は、メニューで [範囲内] を選択し、最初のフィールドに開始日を、2番目のフィールドに終了日を選択します。 -
(オプション)カスタムフィルターをさらに追加する場合は、[ルールの追加] をクリックしてから、手順13aおよび13bを繰り返します。
-
準備が整ったら、[適用] をクリックします。
-
-
(条件付き)ステップ11で [ユーザー属性別のフィルター] を選択した場合...
-
[ユーザー属性を選択] をクリックし、動的にフィルターを適用する属性を選択します。
-
[適用] をクリックします。
注記:動的PDPポリシーを利用するには、[管理者設定]、[セキュリティ]、[信頼済み属性] で選択したユーザー属性を有効にする必要があります。
-
-
新たに追加したポリシーの行で
をクリックし、[グループとユーザーを追加] ダイアログを開きます。
-
[グループとユーザーを検索/追加] フィールドで、次のいずれかを実行します。
-
ポリシーに追加するグループかユーザーの名前を入力します。ポリシーに追加する名前を選択します。
-
青色の [全員を追加] リンクをクリックして、DataSetへのアクセス権を持つ全てのユーザーをポリシーに追加します。
-
-
[適用] をクリックします。
-
[保存] をクリックします。
これでポリシーが作成されました。ただ、まだこのDataSetには適用されていません。DataSetのPDPを有効にするには、「PDPを有効にする」の隣のをクリックします。このDataSetによってDomoで起動しているもの、または関連している全てのものがポリシーの影響を受け、
のスタンプがつき、PDPにより、利用可能なデータが全て表示されているわけではないことをユーザーに通知します。
このポリシーをオフにするには、をクリックします。
DataSetの [Personalized Data Permissions] タブの [ポリシーを追加] をクリックし、前述の手順を繰り返すことで、複数のポリシーを同じDataSetに追加できます。ポリシー内では異なるフィルタータイプを組み合わせることができます(例えば、カスタムフィルターを使用して1つのルールを作成し、ユーザー属性定義のフィルターを使用して別のルールを作成できます)。
複数のPDPポリシーにユーザーを追加する
同じDataSet上の複数のポリシーにユーザーやグループを追加する場合もあるかもしれません。例えば、「東部」地域で仕事をしている「テッド」という名前の販売員が、カリフォルニア州のデータにもアクセスが必要になったとします。この場合、カリフォルニア州のデータがテッドにも適用されるポリシーを新規で追加します。東部地域のポリシーに「カリフォルニア州」を追加しても動作しません。DataSetは空欄として表示されます。これは、同じDataSetから複数の値を選択すると、ANDステートメントが適用され、そしてDataSetの東部地域には 「カリフォルニア」 が見つからないため、ポリシーによりデータは表示されなくなります。その点、同一DataSetにおける別のポリシーはORステートメントとみなされるため、テッドのデータは、東部地域にもカリフォルニアにも表示されることになります。
動画 - Personalized Data Permissions(PDP)でのクエリ作成
PDP結果を閲覧する
[インパクト] ボタンをクリックするとダイアログが開き、DataSetのPDPポリシーを設定することによって、DataFlowや、DataSetに関係するカードが受ける影響が表示されます。影響される全てDataFlowは [注意] タブに、そして影響される全てのカードは [パーソナライズ] タブに入ります。ポリシーがどのDataFlowやカードにも影響しない場合は、タブは表示されません。
DataSetでポリシーを作成する前に、PDP結果を閲覧することをお勧めします。特にDataSetがDataFlowの入力DataSetである場合は注意が必要です。このDataSetにPDPポリシーを設定したことによりDataFlowが切断される場合は、[修正] ボタンが表示されます。[全ての行] グループにDataFlowの所有者を含めることもできます。これによりDataFlowが切断されないようにすることができます。
動画 - インパクトに関するインサイト - Personalized Data Permissions(PDP)
PDPポリシーにより影響を受けたDataSetをプレビューする
全てのPDPポリシーには、そのポリシーにより影響を受けるDataSetのデータをプレビューする機能が含まれています。ポリシーを作成したら、そのポリシーのデータをプレビューし、必要なデータのみが表示されていることを確認することをお勧めします。
PDPポリシーのDataSetをプレビューはするには、
-
プレビューするDataSetの [Personalized Data Permissions] タブで、プレビューするポリシーの行にマウスポインタを合わせます。
-
目のアイコン
をクリックしてプレビューを開きます。
-
データのプレビューが終わったら、[終了] をクリックします。
PDPポリシーを削除する
PDPポリシーの削除は、そのポリシーのDataSetの [Personalized Data Permissions] タブで行います。ポリシーを削除すると、カードやアラート、DataFlowなどには適用されなくなります。
PDPポリシーを削除するには、
-
削除するポリシーがあるDataSetの [Personalized Data Permissions] タブで、削除するポリシーの行にマウスポインタを合わせます。
-
ゴミ箱のアイコン
をクリックしてポリシーを削除します。
-
[削除] をクリックして、削除を確認します。
これがDataSetに適用されている唯一のポリシーである場合、ポリシーが削除された場合にアクセス権のある全てのユーザーがデータを閲覧できるようになるという警告が表示されます。 -
本当に削除するには、再度 [削除] をクリックします。
動的PDPポリシーの属性を有効または無効にする
動的PDPポリシーを使用すると、個人ごとに専用のポリシーを割り当てることができます。特定のユーザーまたはグループに関連する特定の列の個々の値を選択する代わりに、列とユーザー属性を選択します。そうすると、ユーザー属性に一致する行のみをユーザーが表示できるようにDomoにより自動的に許可されます。例えば、ユーザーのメールアドレスに基づいた属性定義のPDPポリシーを作成します。その後、ユーザーがこのPDPポリシーが適用されたカードを開くと、Domoにはユーザーのメールアドレスを含む行に対応するデータのみが表示されます。
セキュリティ違反を防ぐには、PDPポリシーで使用する前にユーザー属性を [管理者設定] でロックする必要があります。この操作は、「管理者」セキュリティ権限を持つユーザーのみが実行できます。ロックされた属性を解除できるのは管理ユーザーのみであり、属性がPDPポリシーで使用されていない場合にのみロックを解除できます。例えば、ユーザーSpankyが「従業員番号」属性にフィルターを適用するPDPポリシーを作成している場合、管理者ユーザーAlfalfaが属性のロックを解除するために [管理者設定] に移動しても、その属性のロックを解除することはできません。SpankyまたはAlfalfaが、最初にPDPポリシーを無効にする必要があります。
動的PDPポリシーは、シンプルフィルターとカスタムフィルターとを組み合わせて使用できます。
引き続き、[管理者設定] で属性を有効化/ロックする方法について説明します。DataSetに動的PDPポリシーを追加する方法については、上述の「PDPポリシーを作成する」を参照してください。
PDPのユーザー属性を有効にするには
-
[詳細] > [管理者] > [セキュリティ] > [信頼済み属性] を選択します。
この画面にアクセスするには、「管理者」セキュリティプロフィールが必要です。セキュリティプロフィールの詳細については「セキュリティ権限リファレンス」を参照してください。 -
PDPでの使用を有効にする全てのボックスを全てオンにします。
グレー表示のボックスは、PDPで既に使用されている属性を示します。 -
完了したら、[変更を保存] をクリックします。
PDPのユーザー属性を無効にするには、
-
[詳細] > [管理者] > [セキュリティ] > [信頼済み属性] を選択します。
この画面にアクセスするには、「管理者」セキュリティプロフィールが必要です。セキュリティプロフィールの詳細については「セキュリティ権限リファレンス」を参照してください。 -
無効にするすべての属性のチェックボックスをオフにします。
グレー表示のボックスは、PDPで既に使用されている属性を示します。これらの属性は、PDPポリシーで無効にするまで無効にすることはできません。 -
完了したら、[変更を保存] をクリックします。
サンプルシナリオ - PDPをカードに適用
このわかりやすい例は、PDPポリシーをカードに追加すると、カードのデータが、さまざまなユーザーにどのように表示されるかを示します。「Kablinko Electronics」という会社が、「東部」と「西部」という地域別に売上が分類されているDataSetを使用して、米国内の売上を追跡するとします。データは、米国のマップを使用して表示されます。デフォルトでは、PDPポリシーが設定されていないため、DataSetの全てのデータが下のように表示されます。
セールス部門の部長であるロス・ジャンセンは、各地域の販売員がそれぞれ自分の地域のデータのみを見られるようにしたいと考えています。全ての販売員が「Kablinko東部」、「Kablinko西部」、「Kablinko南部」、「Kablinko中部」 の4つのグループのいずれか属しているため、単純に各グループに、それと対応するポリシーを関連付けるだけで済みます。
ロスはデータセンターに行き、関連するDataSetを見つけ、[Personalized Data Permissions] をクリックして、DataSetのPDPタブを開きます。ポリシー名として 「東部地域」 と入力し、[データを追加] をクリックして、[データアクセスを追加] ダイアログを開きます。列に「地域」、値に「東部」を選択して、変更を適用します。最後に、[グループとユーザーを追加] ダイアログで「Kablinko東部」を選択し、新しいポリシーを保存します。「西部地域」ポリシーで同じ手順を繰り返し、値に「西部」、グループに「Kablinko西部」を選択します。彼は「Kablinko中部」または「Kablinko南部」のポリシーはまだ作成していません。
この場合、DataSetの [Personalized data Permissions] タブは次のように表示されます。
ポリシーが設定されたため、3つのグループのユーザーが見るマップのデータは、グループのポリシーにより異なっています。「東部」グループのユーザーには、カードは以下のように表示されます。
「東部地域」の州のデータのみが表示されています。また、チャートの合計もPDPポリシーを反映して変更されており(PDP前のバージョンのチャートでは1,453,971.45でした)、そしてタイトルの近くにはスタンプが表示され、このビューがデータのPDPによりフィルターされたバージョンであることを示しています。
同様に、「西部」グループのユーザーには、カードは以下のように表示されます。
ロスは「Kablinko中部」と「Kablinko南部」のポリシーは作成しなかったため、これらのグループのユーザーがカードにアクセスしようとすると、以下が表示されることになります。
そこでこのユーザーは、[アクセスをリクエスト] ボタンをクリックしてBuzzメッセージをロス(つまりDataSetの所有者)に送信することで、自分に関連するデータの「スライス」を閲覧するために必要なポリシーを作成するよう依頼できます。
PDPポリシーを削除する
PDPポリシーの削除は、そのポリシーのDataSetの [Personalized Data Permissions] タブで行います。ポリシーを削除すると、カードやアラート、DataFlowなどには適用されなくなります。
PDPポリシーを削除するには、
-
削除するポリシーがあるDataSetの [Personalized Data Permissions] タブで、削除するポリシーの行にマウスポインタを合わせます。
-
ゴミ箱のアイコン
をクリックしてポリシーを削除します。
-
[削除] をクリックして、削除を確認します。
これがDataSetに適用されている唯一のポリシーである場合、ポリシーが削除された場合にアクセス権のあるすべてのユーザーがデータを閲覧できるようになるという警告が表示されます。 -
本当に削除するには、再度 [削除] をクリックします。
コメント
0件のコメント
サインインしてコメントを残してください。