メインコンテンツまでスキップ
waffle.svg
Domo Knowledge Base

PDPポリシーを作成する、削除する

Version 6

 

はじめに

DataSetでPDP(Personalized Data Permissions)ポリシーを設定することで、Domoのユーザーやグループにカスタマイズされた体験を作り上げることができます。このポリシーにより、指定のユーザーやグループに対してDataSetのデータをフィルターすることができるようになります。このユーザーやグループがPDPポリシーが適用されたKPIやSumoカードを閲覧すると、自分に関連する情報のみが表示されます。

例えば、アメリカの西部と東部地域のデータを示す地図のカードがあるとします。この場合、「西部」と「東部」で1つずつPDPポリシーを作成できます。「西部」のポリシーには西部地域の販売員を選び、「東部」ポリシーには東部地域の販売員を選びます。ワシントン州を拠点にしているラリーという販売員がカードを開くと、西部地域の州のデータのみが見え、東部地域の州にはデータは表示されません。 

PDPポリシーを作成する際には、次のいずれかのフィルターを使用できます。

  • シンプルフィルター。特定の列値に基づくポリシーを作成できます。例えば、上述のように、「西部」リージョンと「東部」リージョンのポリシーを作成できます。

  • カスタムフィルター。ポリシーで使用するフィルターをカスタマイズできます。さまざまなルールが利用可能です。「よりも大きい」および「よりも小さい」のルールを使用して特定のしきい値に基づいてフィルターを作成したり、「範囲内」ルールを使用して値や日付の範囲を対象としたフィルターを作成したりできます。「最初の文字」ルールを適用して、文字列にフィルターを適用することもできます。 

  • ユーザー属性別のフィルター。名前、メール、従業員番号などのユーザー属性に基づいて動的なPDPフィルターを作成できます。[管理者設定]、[セキュリティ]、[信頼済み属性] で、PDPで使用できる属性を確認できます。チェックされた属性は、セキュリティ違反を防ぐためにロックされます。これらのロックを解除できるのは管理ユーザーのみであり、属性がPDPポリシーで使用されていない場合にのみロックを解除できます。ユーザー属性を有効または無効にする方法については、「動的PDPポリシーの属性を有効または無効にする」を参照してください。  

PDPポリシーは、アラートやDataFusionなど、Domoのその他のツールにも適用されます。PDP DataSetにより情報が追加されているカードのアラートにサブスクライブすると、アラートはそのPDPポリシーを反映するようカスタマイズされます。PDPポリシーが有効化されている入力DataSetを使ってDataFusionを作成すると、これらのポリシーは出力DataSetにも組み込まれます。

ビデオ - PDPの紹介

 

PDPポリシーを作成する

PDPポリシーの作成と管理は、Data Centerで行います。 

ビデオ - PDPでのポリシーの作成

 

PDPポリシーを作成するには、

  1. 画面右上のツールバーの [データ] をクリックします。

  2. 左側のナビゲーションペインでdata_center_datasets_icon.pngをクリックします。

  3. ポリシーを適用するDataSetを探してクリックします。

  4. [Personalized Data Permissions] タブをクリックします。

    pdp_tab2.png

  5. (オプション)[インパクト] ボタンをクリックして、このDataSetのPDPポリシーで影響を受けるカードとアラートのリストを開きます。
    これは必要条件ではありませんが、続行する前にこのリストを閲覧することを推奨します。詳細は、「PDP結果を閲覧する」を参照してください。

  6. (オプション)DataSetの所有者と「管理者」以外にこのDataSetの全てのデータにアクセスできるユーザーがいる場合は、以下の方法でそのユーザーに完全な権限を付与することができます。

    1. [全ての行] 行で、pdp_users_icon.pngをクリックします。 

    2. [グループとユーザーを追加] ダイアログで、データに対して完全なアクセス権を持つべきユーザーまたはグループの名前を入力します。ポリシーに追加する名前を選択します。

    3. [適用] をクリックします。

      重要:このDataSetがDataFlowの入力DataSetである場合、DataFlowの所有者に対して全アクセス権を付与することをお勧めします。そうでない場合、PDPポリシーが設定されると、DataFlowが切断する恐れがあります。 
  7. [ポリシーを追加] をクリックします。

  8. このポリシーを説明する名称を入力します。

  9. [データを追加] をクリックし、[データアクセスを追加] ダイアログを開きます。

  10. [列名] のドロップダウンで、フィルターを適用する列を選択します。

  11. [アクセスタイプ] メニューで、このポリシーのベースにするフィルタータイプを選択します。

    • 特定の列の値に基づいてポリシーを作成する場合は、[シンプルフィルター] を選択します。例えば、「東部」地域のユーザーに、自分の地域のデータのみを表示できるようにする地域ベースのポリシーを作成する場合、このフィルターオプションを選択し、絞り込む地域として「東部」を選択します。

    • ポリシーにカスタマイズしたフィルターを作成する場合は、[カスタムフィルター] を選択します。例えば、特定の日付範囲内または特定のしきい値を超えるまたは下回るデータの表示のみを許可するユーザーのグループがあるとします。このオプションを使用すると、このようなポリシーを作成できます。    

    • 選択したユーザー属性に基づいて動的PDPポリシーを有効にする場合は、[ユーザー属性別のフィルター]を選択します。例えば、ユーザーが表示できる行を自分のメールアドレスの行のみとし、他の全て除外するように設定します。このオプションを使用すると、このような設定が可能です。このオプションを使用するには、[管理者設定]、[セキュリティ]、[信頼済み属性] でPDP対応の属性を選択する必要があります。詳細については、「動的PDPポリシーの属性を有効または無効にする」を参照してください。

      pdp_access_type.png

  12. (条件付き)ステップ11で [シンプルフィルター] を選択した場合...

    1. [行の値を検索/追加] フィールドで、フィルターを適用する行の名前を選択します。

    2. (オプション)ステップ8を繰り返し、フィルターする列を全て追加します。

    3. [適用] をクリックします。

  13. (条件付き)ステップ11で [カスタムフィルター] を選択した場合...

    1. [このルールと一致する値を含める] の下のメニューで、目的のフィルター条件を選択します。

    2. 右側のフィールドで、値または文字列を入力するか、条件を完了する日付を選択します([範囲内] を選択した場合は、フィールドが2つになります。1つは最小値または開始日であり、もう1つは最大値または終了日のフィールドです)。

      例えば、特定の日付範囲内のデータの表示のみをユーザーに許可するポリシーを作成する場合は、メニューで [範囲内] を選択し、最初のフィールドに開始日を、2番目のフィールドに終了日を選択します。   

    3. (オプション)カスタムフィルターをさらに追加する場合は、[ルールの追加] をクリックしてから、手順13aおよび13bを繰り返します。 

    4. 準備が整ったら、[適用] をクリックします。

      pdp_custom_filter.png

  14. (条件付き)ステップ11で [ユーザー属性別のフィルター] を選択した場合...

    1. [ユーザー属性を選択] をクリックし、動的にフィルターを適用する属性を選択します。 

    2. [適用] をクリックします。

      注記:動的PDPポリシーを利用するには、[管理者設定]、[セキュリティ]、[信頼済み属性] で選択したユーザー属性を有効にする必要があります。 
       


      pdp_user_attribute_list.png 

  15. 新たに追加したポリシーの行でpdp_users_icon.pngをクリックし、[グループとユーザーを追加] ダイアログを開きます。 

  16. [グループとユーザーを検索/追加] フィールドで、次のいずれかを実行します。

    • ポリシーに追加するグループかユーザーの名前を入力します。ポリシーに追加する名前を選択します。

    • 青色の [全員を追加] リンクをクリックして、DataSetへのアクセス権を持つ全てのユーザーをポリシーに追加します。

  17. [適用] をクリックします。

  18. [保存] をクリックします。

これでポリシーが作成されました。ただ、まだこのDataSetには適用されていません。DataSetのPDPを有効にするには、「PDPを有効にする」の隣のをクリックします。このDataSetによってDomoで起動しているもの、または関連している全てのものがポリシーの影響を受け、のスタンプがつき、PDPにより、利用可能なデータが全て表示されているわけではないことをユーザーに通知します。 

このポリシーをオフにするには、をクリックします。

DataSetの [Personalized Data Permissions] タブの [ポリシーを追加] をクリックし、前述の手順を繰り返すことで、複数のポリシーを同じDataSetに追加できます。ポリシー内では異なるフィルタータイプを組み合わせることができます(例えば、カスタムフィルターを使用して1つのルールを作成し、ユーザー属性定義のフィルターを使用して別のルールを作成できます)。 

複数のPDPポリシーにユーザーを追加する

同じDataSet上の複数のポリシーにユーザーやグループを追加する場合もあるかもしれません。例えば、「東部」地域で仕事をしている「テッド」という名前の販売員が、カリフォルニア州のデータにもアクセスが必要になったとします。この場合、カリフォルニア州のデータがテッドにも適用されるポリシーを新規で追加します。東部地域のポリシーに「カリフォルニア州」を追加しても動作しません。DataSetは空欄として表示されます。これは、同じDataSetから複数の値を選択すると、ANDステートメントが適用され、そしてDataSetの東部地域には 「カリフォルニア」 が見つからないため、ポリシーによりデータは表示されなくなります。その点、同一DataSetにおける別のポリシーはORステートメントとみなされるため、テッドのデータは、東部地域にもカリフォルニアにも表示されることになります。

ビデオ - PDPでのクエリの作成

 

PDP結果を閲覧する

[インパクト] ボタンをクリックするとダイアログが開き、DataSetのPDPポリシーを設定することによって、DataFlowや、DataSetに関係するカードが受ける影響が表示されます。影響される全てDataFlowは [注意] タブに、そして影響される全てのカードは [パーソナライズ] タブに入ります。ポリシーがどのDataFlowやカードにも影響しない場合は、タブは表示されません。 

DataSetでポリシーを作成する前に、PDP結果を閲覧することをお勧めします。特にDataSetがDataFlowの入力DataSetである場合は注意が必要です。このDataSetにPDPポリシーを設定したことによりDataFlowが切断される場合は、[修正] ボタンが表示されます。[全ての行] グループにDataFlowの所有者を含めることもできます。これによりDataFlowが切断されないようにすることができます。

ビデオ - PDPのインパクトに関するインサイト

 

 

 

PDPにより影響を受けたDataSetをプレビューする

全てのPDPポリシーには、そのポリシーにより影響を受けるDataSetのデータをプレビューする機能が含まれています。ポリシーを作成したら、そのポリシーのデータをプレビューし、必要なデータのみが表示されていることを確認することをお勧めします。

PDPポリシーのDataSetをプレビューはするには、

  1. プレビューするDataSetの [Personalized Data Permissions] タブで、プレビューするポリシーの行にマウスポインタを合わせます。

  2. 目のアイコンpdp_preview.pngをクリックしてプレビューを開きます。 

  3. データのプレビューが終わったら、[終了] をクリックします。

PDPポリシーを削除する

PDPポリシーの削除は、そのポリシーのDataSetの [Personalized Data Permissions] タブで行います。ポリシーを削除すると、カードやアラート、DataFlowなどには適用されなくなります。

重要:DataSetの全てのポリシーを削除すると、そのDataSetのPDPがオフになり、アクセス権のある全てのユーザーがデータを閲覧できるようになります。

PDPポリシーを削除するには、

  1. 削除するポリシーがあるDataSetの [Personalized Data Permissions] タブで、削除するポリシーの行にマウスポインタを合わせます。

  2. ゴミ箱のアイコンをクリックしてポリシーを削除します。 

  3. [削除] をクリックして、削除を確認します。

    これがDataSetに適用されている唯一のポリシーである場合、ポリシーが削除された場合にアクセス権のある全てのユーザーがデータを閲覧できるようになるという警告が表示されます。

  4. 本当に削除するには、再度 [削除] をクリックします。       

動的PDPポリシーの属性を有効または無効にする

動的PDPポリシーを使用すると、個人ごとに専用のポリシーを割り当てることができます。特定のユーザーまたはグループに関連する特定の列の個々の値を選択する代わりに、列とユーザー属性を選択します。そうすると、ユーザー属性に一致する行のみをユーザーが表示できるようにDomoにより自動的に許可されます。例えば、ユーザーのメールアドレスに基づいた属性定義のPDPポリシーを作成します。その後、ユーザーがこのPDPポリシーが適用されたカードを開くと、Domoにはユーザーのメールアドレスを含む行に対応するデータのみが表示されます。

セキュリティ違反を防ぐには、PDPポリシーで使用する前にユーザー属性を [管理者設定] でロックする必要があります。この操作は、「管理者」セキュリティ権限を持つユーザーのみが実行できます。ロックされた属性を解除できるのは管理ユーザーのみであり、属性がPDPポリシーで使用されていない場合にのみロックを解除できます。例えば、ユーザーSpankyが「従業員番号」属性にフィルターを適用するPDPポリシーを作成している場合、管理者ユーザーAlfalfaが属性のロックを解除するために [管理者設定] に移動しても、その属性のロックを解除することはできません。SpankyまたはAlfalfaが、最初にPDPポリシーを無効にする必要があります。 

動的PDPポリシーは、シンプルフィルターとカスタムフィルターとを組み合わせて使用できます。

引き続き、[管理者設定] で属性を有効化/ロックする方法について説明します。DataSetに動的PDPポリシーを追加する方法については、上述の「PDPポリシーを作成する」を参照してください。

PDPのユーザー属性を有効にするには、

  1. [詳細] > [管理者] > [セキュリティ] > [信頼済み属性] を選択します。
    この画面にアクセスするには、「管理者」セキュリティプロフィールが必要です。セキュリティプロフィールの詳細については「セキュリティ権限リファレンス」を参照してください。

  2. PDPでの使用を有効にする全てのボックスを全てオンにします。
    グレー表示のボックスは、PDPで既に使用されている属性を示します。

  3. 完了したら、[変更を保存] をクリックします。

PDPのユーザー属性を無効にするには、

  1. [詳細] > [管理者] > [セキュリティ] > [信頼済み属性] を選択します。
    この画面にアクセスするには、「管理者」セキュリティプロフィールが必要です。セキュリティプロフィールの詳細については「セキュリティ権限リファレンス」を参照してください。

  2. PDPでの使用を有効にする全てのボックスを全てオフにします。
    グレー表示のボックスは、PDPで既に使用されている属性を示します。これらの属性は、PDPポリシーで無効にするまで無効にすることはできません。 

  3. 完了したら、[変更を保存] をクリックします。

サンプルシナリオ - PDPをカードに適用

このわかりやすい例は、PDPポリシーをカードに追加すると、カードのデータが、さまざまなユーザーにどのように表示されるかを示します。「Kablinko Electronics」という会社が、「東部」と「西部」という地域別に売上が分類されているDataSetを使用して、米国内の売上を追跡するとします。データは、米国のマップを使用して表示されます。デフォルトでは、PDPポリシーが設定されていないため、DataSetの全てのデータが下のように表示されます。

 

pdp_example_1.png

 

セールス部門の部長であるロス・ジャンセンは、各地域の販売員がそれぞれ自分の地域のデータのみを見られるようにしたいと考えています。全ての販売員が「Kablinko東部」、「Kablinko西部」、「Kablinko南部」、「Kablinko中部」 の4つのグループのいずれか属しているため、単純に各グループに、それと対応するポリシーを関連付けるだけで済みます。

ロスはデータセンターに行き、関連するDataSetを見つけ、[Personalized Data Permissions] をクリックして、DataSetのPDPタブを開きます。ポリシー名として 「東部地域」 と入力し、[データを追加] をクリックして、[データアクセスを追加] ダイアログを開きます。列に「地域」、値に「東部」を選択して、変更を適用します。最後に、[グループとユーザーを追加] ダイアログで「Kablinko東部」を選択し、新しいポリシーを保存します。「西部地域」ポリシーで同じ手順を繰り返し、値に「西部」、グループに「Kablinko西部」を選択します。彼は「Kablinko中部」または「Kablinko南部」のポリシーはまだ作成していません。

この場合、DataSetの [Personalized data Permissions] タブは次のように表示されます。

 

 

ポリシーが設定されたため、3つのグループのユーザーが見るマップのデータは、グループのポリシーにより異なっています。「東部」グループのユーザーには、カードは以下のように表示されます。


 

「東部地域」の州のデータのみが表示されています。また、チャートの合計もPDPポリシーを反映して変更されており(PDP前のバージョンのチャートでは1,453,971.45でした)、そしてタイトルの近くにはスタンプが表示され、このビューがデータのPDPによりフィルターされたバージョンであることを示しています。

同様に、「西部」グループのユーザーには、カードは以下のように表示されます。


 

ロスは「Kablinko中部」と「Kablinko南部」のポリシーは作成しなかったため、これらのグループのユーザーがカードにアクセスしようとすると、以下が表示されることになります。

 

 

そこでこのユーザーは、[アクセスをリクエスト] ボタンをクリックしてBuzzメッセージをロス(つまりDataSetの所有者)に送信することで、自分に関連するデータの「スライス」を閲覧するために必要なポリシーを作成するよう依頼できます。Buzzに関する詳細は、「Buzz」を参照してください。 

PDPポリシーを削除する

PDPポリシーの削除は、そのポリシーのDataSetの [Personalized Data Permissions] タブで行います。ポリシーを削除すると、カードやアラート、DataFlowなどには適用されなくなります。

重要:DataSetの全てのポリシーを削除すると、そのDataSetのPDPがオフになり、アクセス権のある全てのユーザーがデータを閲覧できるようになります。

PDPポリシーを削除するには、

  1. 削除するポリシーがあるDataSetの [Personalized Data Permissions] タブで、削除するポリシーの行にマウスポインタを合わせます。

  2. ゴミ箱のアイコンをクリックしてポリシーを削除します。 

  3. [削除] をクリックして、削除を確認します。

    これがDataSetに適用されている唯一のポリシーである場合、ポリシーが削除された場合にアクセス権のある全てのユーザーがデータを閲覧できるようになるという警告が表示されます。

  4. 本当に削除するには、再度 [削除] をクリックします。