概要
情報公開をする場合、セキュリティへの配慮は非常に重要です。そのため、Yellowfinを導入する際には、ビジネスにおけるセキュリティ要件を分析する必要があります。Yellowfinには、公開情報のセキュリティを保証する、様々なセキュリティ機能があります。これらの機能は、必要なセキュリティレベルに応じて、組み合わせて使用することができます。利用可能なセキュリティ機能は、以下の通りです。こちらの項目では、Yellowfinで利用可能なセキュリティフレームワークについて説明します。まずは、最もレベルの高いセキュリティ機能から始まり、徐々にレベルを下げて説明しています。例えば、ロールは最もレベルが高いですが、最も簡単に設定することができるセキュリティである一方、カラム(列)レベルのセキュリティは、最も詳細な設定が必要であり、デフォルトで大規模ユーザー環境に設定するには複雑すぎる機能です。
ロールと機能
Yellowfinのユーザー管理は、ユーザーロールをコンセプトに設計されています。これは、アプリケーションにアクセスするために、複数のユーザーが、共通で設定されたロールを共有することを意味します。ユーザー個別に、独自のセキュリティを設定することはありません。ロールは、利用可能なセキュリティ機能の集合です。各ユーザーに、関連するロールが設定されます。例えば、Yellowfinのレポート作成者としてロールを設定する方法は、以下の二通りです。
- ユーザーのロールを変更する – これにより、ユーザーはアプリケーションへアクセスすることができるようになります。
- ユーザーに割り当てられているロールの定義を変更する – 同じロールを共有するユーザーのアクセス権が更新されます。
ユーザーがシステムにログインすると、システムはユーザーがアプリケーションに登録されているかを確認し、登録されている場合は、ユーザーに割り当てられているロールを確認します。ユーザーに割り当てられているロールに応じて、インターフェイスが動的に構成され、アクセスできる機能のみ表示されます。
より詳細な情報は、ロールを参照してください。
コンテンツフォルダー
すべてのコンテンツは、コンテンツフォルダーにより、同様のセキュリティとカテゴリー構造で管理されています。レポートのセキュリティは、フォルダーとサブフォルダ―により管理されており、個別のアイテムレベルで設定されるわけではありません。これにより、システム内でのレポート作成をシンプルにします。
より詳細な情報は、コンテンツフォルダーを参照してください。
データソースのアクセス管理
Yellowfinでソースシステムを設定する際には、ソースに対してビュー作成権限を持つユーザーや、SQLクエリ―発行権限をもつユーザーを定義することができます。ソースシステムのセキュリティに関する原則は、ソースに対してビューを作成するレポート作成者の制御が目的ということです。アクセス権の無いデータに対して、ユーザーがレポートを作成できる、ということは、このプロセスを通り抜けている、ということになります。
より詳細な情報は、データソースを参照してください。
ビューのアクセス管理
レポートを作成し、あらゆるレポートの作成が可能なビューへのアクセス権を持つユーザーのセキュリティ設定は、ビューセキュリティ設定で行います。レポートを作成、または編集する場合、ユーザーはビューレコードに接続し、使用可能なフィールドを確認しなくてはいけません。この場合、アクセスしているビューがセキュアであるかというセキュリティチェックが行われ、次にアクセスしているユーザーにアクセス権があるかを確認します。
ビューに対するセキュリティは、そこに保存されているデータへのアクセスを管理する観点から、最も厳しくなっています。編集権限を制御できるだけでなく、指定されたビューから作成されたレポートの閲覧権限も制御することができます。
より詳細な情報は、ビューオプションを参照してください。
カラム(列)アクセスと制限
一般的な利用のために作成されたビューに、機密情報のカラム(列)が含まれている場合があります。例えば、給与情報などは、人事のみが参照すべき情報であり、一般的な利用には使用できません。このような場合には、以下の2つのオプションが考えられます。
- ビューのコピーを作成し、給与カラム(列)を除外します。機密情報が含まれていないことを示すために、ビューを別名で保存します。
- Yellowfinには、特定のカラム(列)にだけ制限をかけることができます。こちらの設定をする場合、選択されたビューの制限されたカラム(列)にアクセス可能なユーザーを定義しなくてはいけません。
注意:カラム(列)への制限は、グローバルに適用されます。ひとつのビューに含まれる複数のカラム(列)に対して、異なるユーザーのアクセス権を設定することはできません。
制限されたカラム(列)へのアクセス権を持つユーザーのみ、レポート作成時に対象のカラム(列)を参照することができます。有効化されたレポートが実行されると、レポートの閲覧権限を持つすべてのユーザーに、制限されたカラム(列)が表示されます。
より詳細な情報は、フィールド設定を参照してください。
アクセスと値に基づくフィルター
一般的な利用のためにビューを作成したとしても、ユーザーが所属する部門に関連するデータにのみアクセスさせたい場合があります。例えば、コストセンターの管理者、などです。このような場合、アクセスや値に基づくフィルターを作成することができます。例えば、コストセンターと、そのユーザーだけが使用できるように、ソースにフィルターを設定します。次に、そのソースフィルターと関連する、ビュー内の特定のカラム(列)を指定します。つまり、ビュー内のどのカラム(列)が、コストセンターに関連するカラム(列)であるかを明示しなくてはいけません。
レポート作成時に、コストセンターフィルターを、アクセスフィルターとして使用するように指定します。この場合、レポート閲覧者が持つ権限が、フィルターとしてクエリ―に渡されます。アクセスフィルターを使用できるユーザーのみ、対象のレポートのデータを参照することができます。
より詳細な情報は、アクセスフィルターを参照してください。