アクセス許可
アクセス許可について
キーポイント
次に、アクセス許可に関するキーポイントを示します。
-
-
SAS Visual Analyticsは行レベルのセキュリティをサポートしています。SAS Visual Analyticsは列レベルのアクセス許可をサポートしていません。注: テーブル内の各列で、メタデータの読み取りアクセス許可を拒否に設定しないでください。1つまたは複数の列へのアクセス権を持たないユーザーがテーブルをロードする場合、利用できない列に関しては複製メタデータエントリが作成されます。
-
Administratorでは、フォルダ、ライブラリ、テーブル、行レベルのアクセス許可を設定できます。別のインターフェイスについては、SAS Intelligence Platform: Security Administration GuideのAccess Managementを参照してください。注: Administratorでは、メタデータ結合ライブラリをサポートするオブジェクト(保護ライブラリフォルダ、保護ライブラリ、保護テーブル)に関するアクセス許可の表示や設定が行えません。
-
各オブジェクトへのアクセスは、オブジェクトのプロパティの一部として表示されます。すべてのアクセス許可が、すべてのオブジェクトに関連するとは限りません。
-
SAS Trusted Userのメタデータの読み取りアクセスをブロックしないでください(sastrust@saspwなど)。アクセス権を確保するには、メタデータの読み取り許可をSAS System Servicesグループに付与します。
-
簡易化するために、個々のオブジェクトではなくフォルダにアクセス許可を設定します。テーブルを含むほとんどのオブジェクトは、その親フォルダからアクセス許可を継承します。メタデータフォルダ構造をカスタマイズする方法については、SAS Intelligence Platform: System Administration GuideのWorking with SAS Foldersを参照してください。
-
簡易化するために、個々のユーザーではなくグループにアクセス許可を割り当てます。最も一般的なグループはPUBLICと呼ばれます。SASUSERSグループは登録ユーザーをすべて含んでいます。アクセスコントロールテンプレートを使用してアクセス許可をシステマティックに管理する方法については、SAS Intelligence Platform: Security Administration GuideのAccess to Metadata Foldersを参照してください。
アクセス許可定義
次の表に、SAS Visual Analyticsで特別な目的を持つアクセス許可およびいくつかの標準的なアクセス許可を示します。
|
アクセス許可
|
対象となるアクション
|
|---|---|
|
管理(A)
|
LASRライブラリで、テーブルのロードとインポートを行います。
SAS LASR Analytic Serverで、サーバーの停止またはテーブル制限の設定を行います。
|
|
読み取り(R)
|
LASRテーブルで、データを読み取ります。
LASRライブラリで、テーブルのロードとインポートを行います。
暗号化されたSASHDATライブラリで、データの追加、削除、ロードを行います。
|
|
書き込み(W)
|
LASRテーブルで、テーブルのアンロードとリロード、行の追加と削除、計算列の編集を行います。
|
|
メタデータの読み取り(RM)
|
オブジェクトを表示します。たとえば、探索、レポート、テーブル、ライブラリを表示するには、そのオブジェクトのメタデータの読み取りアクセス許可が必要です。
|
|
メタデータの書き込み(WM)
|
オブジェクトの編集、名前の変更、アクセス許可設定、削除、オブジェクト間の特定の関連付けを作成します。
|
|
メンバメタデータの書き込み(WMM)
|
フォルダで、オブジェクトの追加または削除を行います。
|
詳細については、SAS Intelligence Platform: Security Administration GuideのMetadata Authorization Modelを参照してください。
タスク別のアクセス許可
LASRテーブルとサーバー
次の表に、LASRテーブルやSAS LASR Analytic Serverを操作する場合に必要となるメタデータ層のアクセス許可を示します。
|
タスク
|
サーバー
|
ライブラリ
|
フォルダ
|
テーブル
|
|---|---|---|---|---|
|
データの読み取り
|
RM
|
RM
|
RM
|
RM、R
|
|
行の追加または削除
|
RM
|
RM
|
RM
|
RM、R、W
|
|
計算列の編集
|
RM
|
RM
|
RM
|
RM、R、W
|
|
テーブルのロードまたはインポート1
|
RM
|
RM、R、WM、A
|
RM、R、WMM、W
|
-
|
|
停止リストのロード
|
RM、WM
|
RM、R、WM、A
|
RM、R、WMM、W
|
-
|
|
テーブルのリロード
|
RM
|
RM
|
RM
|
RM、R、WM、W
|
|
テーブルのアンロード
|
RM
|
RM
|
RM
|
RM、R、W
|
|
サーバーの開始
|
RM
|
-
|
-
|
-
|
|
サーバーの停止
|
RM、A
|
-
|
-
|
-
|
|
サーバーのテーブル制限を設定
|
RM、WM、A
|
-
|
-
|
-
|
|
ライブラリをサーバーに割り当て
|
RM、WM
|
RM、WM
|
-
|
-
|
|
テーブルをメタデータに登録
|
-
|
RM、WM
|
RM、WMM
|
-
|
|
テーブルのメタデータを更新
|
-
|
RM
|
RM
|
RM、WM
|
|
メタデータからテーブルを削除
|
-
|
RM、WM
|
RM、WMM
|
RM、WM
|
| 1初回ロード(またはインポート)時に、新しいLASRテーブルオブジェクトが作成されます。フォルダの読み取り/書き込みアクセス許可は、この新しいテーブルへのアクションをサポートします。 | ||||
探索とレポート
次の表に、探索やレポートに関連するメタデータ層のアクセス許可を示します。
|
タスク
|
サーバー
|
テーブル
|
フォルダ
|
レポート
|
探索
|
|---|---|---|---|---|---|
|
レポートや探索を開く
|
RM
|
RM、R
|
-
|
RM
|
RM
|
|
レポートや探索のエクスポート
|
RM
|
RM、R
|
-
|
RM
|
RM
|
|
レポートや探索の変更
|
RM
|
RM、R
|
-
|
RM、WM
|
RM、WM
|
|
レポートや探索の保存
|
-
|
RM
|
RM、WMM
|
-
|
-
|
|
レポートや探索の削除
|
-
|
RM
|
RM、WMM
|
RM、WM
|
RM、WM
|
レポートの作成、更新、削除を行う場合にも、SAS Content Serverへのアクセス権が必要となります。SAS Intelligence Platform: Middle-Tier Administration GuideのAdministering the SAS Content Serverを参照してください。レポートに入力されるデータを表示するには、データが格納されているライブラリに対するメタデータの読み取りアクセス許可も必要です。 LASRテーブルやサーバーの操作に必要となるアクセス許可の最初の行を参照してください。
データクエリとLASRスタースキーマ
次の表に、データクエリやLASRスタースキーマを操作する場合に必要となるメタデータ層のアクセス許可を示します。
|
タスク
|
サーバー
|
テーブル2
|
フォルダ
|
クエリまたはスキーマ
|
|---|---|---|---|---|
|
新規クエリやスキーマの保存1
|
RM
|
RM
|
RM、WMM
|
-
|
|
クエリやスキーマの実行1
|
RM
|
RM
|
-
|
RM
|
|
クエリやスキーマの編集と保存
|
RM
|
RM
|
RM
|
RM、WM
|
|
クエリやスキーマの削除や名前の変更
|
RM
|
-
|
RM、WMM
|
RM、WM
|
| 1これらのタスクは新しいLASRテーブルを作成するため、LASRテーブルのロードに関するアクセス許可要件も満たす必要があります。 LASRテーブルやサーバーの操作に必要となるアクセス許可を参照してください。 | ||||
| 2この列は、メタデータ内で表される任意のソーステーブルを指します。クエリやスキーマをLASRテーブルに対して実行する場合、そのLASRテーブルに関する読み取りアクセス許可も必要となります。 | ||||
LASRスタースキーマ内のデータへの読み取りアクセス権は、入力テーブルのアクセス許可による影響を受けません。そのかわりに、LASRスタースキーマ内のデータへの読み取りアクセス権は、出力テーブルや出力ビューのReadおよびReadMetadataアクセス許可による影響を受けます。関連付けられているサーバー、ライブラリ、フォルダのReadMetadataアクセス許可も必要となります。
LASRテーブルやサーバーの操作に必要となるアクセス許可の最初の行を参照してください。
注: LASRスタースキーマの出力テーブルや出力ビューに対して明示的なアクセスコントロール(アクセス許可条件を含む)を設定できます。当該LASRスタースキーマを再実行すると、設定済みの明示的なアクセスコントロールがすべて再現されます。
アクセス許可の付与または拒否
明示的な許可/拒否を設定するには、次の操作を行います。
-
Administratorのフォルダペインでオブジェクトを右クリックし、権限を選択します。ヒントフォルダペインを表示するには、メインメニューで、表示
フォルダを選択します。
-
有効なアクセス許可テーブルで、明示的コントロールの割り当て先としたいIDを検索します。必要なIDがリストされない場合は、
をクリックするとIDを追加ウィンドウが開きます。
注: IDを追加ウィンドウでは、ユーザーIDによる検索はユーザー管理者のみが可能です。通常のユーザーは他のユーザーのIDは参照できません。注: メタデータの読み取りアクセス許可の明示的許可は、追加IDに自動的に設定されます。 -
セルをダブルクリックします。セルのドロップダウンリストから、拒否または許可のいずれかを選択します。
ドロップダウンリストが閉じている場合、セルが明示的コントロールインジケータ
を含んでいることに注意してください。
注: 選択したIDが無制限ユーザーである場合は、すべてのアクセス許可が付与されるため、変更は行えません。 -
グループのアクセスを変更した場合は、リスト内の残りのIDへの影響を確認します。あるグループへのコントロールの追加は、そのグループの全メンバのアクセスに影響を与える可能性があります。
-
タブの上部にあるツールバーで、
をクリックします。
行レベルのアクセス許可条件の設定
LASRテーブル内の行に対する読み取りアクセス権を制限するには、次の操作を行います。
-
AdministratorのフォルダペインでLASRテーブルを右クリックし、権限を選択します。ヒントフォルダペインを表示するには、メインメニューで、表示フォルダを選択します。
-
読み取り列で、行レベルアクセスを制限したいIDのセルをダブルクリックします。(または、必要なIDがリストされない場合は、テーブルの右端にある をクリックします。)
注: メタデータの読み取りアクセス許可の明示的許可は、追加IDに自動的に設定されます。
-
セルのドロップダウンリストから、条件付き許可を選択します。
注: 条件付き許可がドロップダウンリストに表示されない場合、そのテーブルは行レベルのセキュリティをサポートしていません。LASRテーブルのみが行レベルのセキュリティをサポートしています。注: 条件付き許可がすでに選択されている場合、条件付き許可を再度選択して、既存の条件を表示または編集します。 -
アクセス許可条件の新規作成ウィンドウで、このIDが表示可能な行を指定する条件を作成します。 構文(拡張エディタ)を参照してください。注: リリース6.2以前のシステムで作成された条件や、バッチツールで作成された条件の場合、基本エディタを使用します。基本エディタでは構文はチェックされません。 構文(基本エディタ、バッチ)を参照してください。
-
OKをクリックします。セルが条件付き許可アイコン
と明示的コントロールインジケータを含んでいることに注意してください。
-
グループのアクセス許可を設定する場合は、リストにある残りのIDへの影響を確認します。グループへの制限の追加は、そのグループの全メンバのアクセスに影響を与える可能性があります。
-
タブの上部にあるツールバーで、をクリックします。
ヒント
別のアプリケーション(エクスプローラなど)で条件をテストする場合は、変更が反映されるようにそのアプリケーションのデータソースを最新の情報に更新します。 キャッシュを参照してください。アクセス許可条件は、LASRテーブル内の行への読み取りアクセスを制限します。詳細については、行レベルのセキュリティを参照してください。
権限情報の表示
権限ページに関する詳細を次に示します。
-
各オブジェクトの権限ページには、そのオブジェクトに対するアクセス権に関する情報が示されます。表示されている有効なアクセス許可は、適用可能なすべてのメタデータ層のアクセス許可設定の正味の効果を計算したものとなります。有効なアクセス許可のソースを特定するには、セルをダブルクリックし、ドロップダウンリストからオリジンを表示を選択します。 アクセス許可の取得経路を参照してください。
-
アイコンには、許可
、条件付き許可(行レベル)、拒否
の3種類があります。
-
明示的インジケータアイコンは、アクセスコントロールが現在のオブジェクトに関して明示的に設定されており、選択されたIDに対して明示的に割り当てられていることを示します。
-
ACTインジケータアイコン
は、アクセス制御が、選択されたIDに対して許可や拒否をパターンにより割り当てる適用済みのACTにより作成されたものであることを表します。
-
これらのアイコンの組み合わせは、次の情報を提供します。アイコン説明明示的なコントロールからの許可直接適用されたACTからの許可間接的なソース(親グループや親オブジェクトなど)からの許可明示的なコントロールからの条件付き許可間接的なソース(親グループ)からの条件付き許可明示的なコントロールからの拒否直接適用されたACTからの拒否間接的なソース(親グループや親オブジェクトなど)からの拒否
-
2つのテーブルを比較する場合、両方のテーブルを開き、メインメニューから表示タブレイアウト上下に並べて表示を選択します。