行レベルのセキュリティ
概要
行レベルのセキュリティを使用すると、LASRテーブル内の特定の行にアクセスできるユーザーを制御できます。これは、データフィルタ式で定義されます。行レベルのアクセスを区別する際、単純な属性(セキュリティクリアランスレベルなど)にも、複数の条件から構成されるより複雑な式にも基づくことができます。
行レベルのセキュリティは、リソース内にあるデータのサブセットへのアクセスに影響します。行レベルのセキュリティを設定するには、アクセス許可条件という制約を、読み取りアクセス許可の明示的許可に追加します。それぞれのアクセス許可条件は、特定のユーザーまたはグループに対して、特定のLASRテーブルをフィルタリングします。それぞれのアクセス許可条件は、読み取りアクセス許可の明示的許可を制約するため、関連付けられたユーザーまたはグループには、指定された条件に合う行だけが表示されます。
行レベルのセキュリティを使用する場合、データを表示するユーザー要求に対する権限決定の結果は次の3つのいずれかになります。
許可
条件付き許可
拒否
許可
要求ユーザーは、すべての行を表示できます。
条件付き許可
要求ユーザーは、指定されたフィルタ条件を満たす行だけを表示できます。
拒否
要求ユーザーは、行を表示できません。
ヒント
SAS Visual Analyticsアプリケーション(エクスプローラなど)で条件をテストする場合、(保存した変更がアクセス許可条件に反映された結果が得られるように)そのアプリケーションのデータソースを最新の情報に更新します。
キャッシュを参照してください。アクセス許可の優先順位
次に、アクセス許可条件がメタデータ層アクセスコントロールの評価プロセスに使用される際のキーポイントを示します。
-
アクセス許可条件は、要求ユーザーに最も近い設定に指定されている場合にのみ適用されます。より遠くに移動されたグループからのアクセス許可条件は関連しても、アクセスの追加や累積は行いません。
-
IDの優先順位が最高レベルのグループが複数ある場合、それらの同等の条件はブール値のOR式で結合されます。同等のIDの優先順位の中に条件のない許可が含まれている場合、アクセスはどの条件によっても制限されません。
次の表に例を示します。
|
原則
|
シナリオ
|
結果と説明
|
|---|---|---|
|
複数のグループに割り当てられているため、ユーザーに適用されるアクセス許可条件が複数ある場合、最も優先順位の高いIDが結果を制御します。
|
TableAの条件は、GroupAに対する読み取りアクセス許可を制限します。
TableAのもう1つの条件は、SASUSERSグループに対する読み取りアクセス許可を制限します。
ユーザーは、GroupAとSASUSERSのメンバです。
|
ユーザーには、GroupAが表示を許可している行だけが表示されます。GroupAのIDの優先順位はSASUSERSより高いレベルであるため、GroupAに割り当てられたフィルタによってユーザーのアクセスが定義されます。
|
|
IDの優先順位が最も高いレベルのアクセス許可条件が複数ある場合、結合された条件によって許可されたデータが返されます。
|
TableAの条件は、GroupAに対する読み取りアクセス許可を制限します。
TableAのもう1つの条件は、GroupBに対する読み取りアクセス許可を制限します。
ユーザーは、GroupAとGroupBの第1レベルのメンバです。
|
ユーザーには、GroupAまたはGroupBのいずれかで許可されている行が表示されます。
|
構文(拡張エディタ)
ヒント
拡張エディタにアクセスする方法については、を参照してください。.-
ビジュアルタブで、左ペインから演算子やデータアイテムをドラッグアンドドロップします。注: 値を入力する場合、それらを一重引用符で囲まないようにします。必要な一重引用符はエディタが追加します。
-
テキストタブでは、テキストを直接入力できます。ビジュアルタブで利用可能な演算子のみを使用します。注: テキストタブでは、基本エディタやバッチツールと同じ構文は使用しません。ヒントを表示するには、テキストタブを選択した後、ウィンドウツールバーにある
をクリックします。
構文(基本エディタ、バッチ)
概要
このトピックは、次のコンテキストで作成されたアクセス許可条件に適用されます。
-
SAS Visual Analytics Administrator 6.1以前。
-
メタデータ権限のバッチツール内。SAS Intelligence Platform: Security Administration GuideのBatch Tools for Metadata Authorizationを参照してください。
標準ガイドライン
-
数字以外の文字値は引用符で囲みます。
-
記号
||はサポートされていません。かわりに、キーワードORを使用します。 -
月や日付を含む式はサポートされません。
-
WHEREキーワードは式に使えません。
サポートされる構文
|
構文要素
|
例
|
|---|---|
AND、OR、NOT |
Toy_Type='cars' OR Toy_Type='dolls' |
IN、NOTIN |
Toy_Type IN ('dolls' 'cars' 'animals') |
CONTAINS、? |
Toy_Type CONTAINS 'cars' |
BETWEEN、NOT
BETWEEN |
Toy_Price BETWEEN 20 AND 30 |
LIKE |
Toy_Type LIKE 'dolls' |
=、> 、<、>= 、<=、<> |
Toy_Price=25 |
^=、NE |
Toy_Price^=30 |
IDドリブンプロパティ
次の表には、IDドリブンアクセス許可条件の作成に使用できるプロパティを示します。アクセス許可条件でこれらのプロパティを使用する場合、要求ユーザーのメタデータIDに基づき、ランタイムで条件の値が動的に置き換わります。
|
構文要素
|
説明
|
|---|---|
SUB::SAS.Userid |
要求ユーザーの認証IDを戻しますが、大文字形式のUSERIDまたはUSERID@DOMAINに標準化されています。
次に、バッチツールの使用例を示します。
-condition "empID='SUB::SAS.Userid'" |
SUB::SAS.IdentityGroups |
要求ユーザーのグループと役割メンバシップ(直接、間接、および暗黙)を戻します。戻されたリストには、グループと役割名が含まれています(表示名は含まれません)。
次に、バッチツールの使用例を示します。
-condition "FacilityRegion IN ('SUB::SAS.IdentityGroups')" |
SUB::SAS.PersonName |
要求ユーザーの名前(ユーザーのメタデータ定義の一般タブの名前フィールドで指定された値)を戻します。
|
SUB::SAS.ExternalIdentity |
要求ユーザーのサイト固有の識別子を戻します。外部ID値は、メタデータにユーザー情報をバルクロードする場合に、プラットフォームのユーザーインポートマクロによって作成されます。
|
たとえば、LASRテーブルのempID列の値が、ユーザー認証に使用するユーザーIDと一致する場合、
empID='SUB::SAS.Userid'という条件を使用する場合があります。ユーザーのIDがそれぞれ、条件の右側に入れられます。sasdemoユーザーからの要求では、条件はempID='sasdemo'として解決され、empID列の値がsasdemoである行のみがsasdemoユーザーに返されます。グループに条件を割り当てる場合、各メンバのアクセスは、認証ユーザーIDとempID値が一致する行に限定されます。次に、バッチツールでのフルコマンドの使用例を示します。sas-set-metadata-access -profile Admin "/Shared Data/LASRtableA(Table)" -grant sasusers:Read -condition "empID='SUB::SAS.Userid'"
注: 2つの新しいプロパティ(SAS.IdentityNameおよびSAS.IdentityGroupName)が追加されていますが、使用頻度が高くないためここでは説明しません。SAS Intelligence Platform: Security Administration GuideのAbout Identity-Driven Propertiesを参照してください。