注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

パーミッション

警告

オントロジーのリソースに対する認可モデルは、データソース由来のパーミッションからオントロジーロールへと変更されています。オントロジーロールへの移行に関するドキュメンテーションには、移行の手順が詳しく記載されています。

オントロジーロールは、すべての顧客に対して一般的に利用可能ではありません。具体的なFoundryのインストールについては、Palantirの担当者にお問い合わせください。

オントロジーのリソースとは、オブジェクトタイプ、リンクタイプ、アクションタイプおよびそのメタデータ(スキーマ)を指します。

オントロジーのリソースのパーミッションを扱うために現在使用されている2つの認可モデルは以下の通りです:

  1. **データソース由来のパーミッション**は、オントロジーのリソースの認可に対するレガシーなソリューションです。データソース由来のパーミッションは、各オブジェクトタイプの元データセットで定義されたパーミッションに依存しており、オントロジーのオブジェクトタイプと元データセットとの間に直接的な1:1の依存関係を作り出します。この理由から、データソース由来のパーミッションを持つオブジェクトタイプは元データセットを必要とします。
  • 例えば、ユーザーがオントロジー内のオブジェクトタイプを編集するためには、元データセットへのEditorアクセス権とオントロジー管理者グループのメンバー(オントロジーレベルで)である必要があります。
  1. **オントロジーロール**は、オントロジーのリソースの認可に対する新しく改良されたソリューションであり、これからはデフォルトの認可モデルとなります。オントロジーロールは、元データセットに関係なく、各オントロジーリソースにロールを直接適用することを可能にします。
  • 例えば、ユーザーがオントロジー内のオブジェクトタイプを編集するためには、オブジェクトタイプに対してオントロジーのエディターロールを持つだけで、元データセットに対するいかなるパーミッションも必要としません。
  • オントロジーエディターロールは、オントロジーのリソースとそのメタデータを編集することだけを許可し、データやデータソース自体に対するどのようなパーミッションも付与しません。オブジェクトデータ(メタデータではない)へのアクセスは、元データセットに付与されたパーミッションによって依然として管理されます。
警告

オントロジーのリソースの設定を担当するユーザーと、オントロジーを裏付けるデータパイプラインを構築するユーザーとの間に明確な分離があることを確認するために、オブジェクトタイプ、リンクタイプ、アクションタイプをオントロジーロールへできるだけ早く移行することを推奨します。将来のプラットフォームリリースでは、データソース由来のパーミッションのサポートが縮小され、それらのパーミッションは最終的にプラットフォームから削除されます。移行が進行するにつれて、プラットフォーム内のさらなる通信と更新が表示されます。

オントロジーロール

概要

オントロジーロールは以下のように定義されています:

  • オントロジーオーナー:オントロジーリソースを編集でき、そのセキュリティと共有について完全に制御できます。
  • オントロジーエディター:オントロジーリソースを編集できます。
  • オントロジービューアー:オントロジーリソースを表示できますが、編集はできません。
  • オントロジーディスカバラー:オントロジーリソースの名前とメタデータのみを表示できますが、スキーマは除外されます。

上記のロールをオントロジーリソースに直接付与するだけでなく、オントロジーマネージャーアプリケーションのオントロジーのAdvancedタブに移動して、オントロジーレベルでこれらのロールを付与することもできます。オントロジーオーナーロールだけが、オントロジーレベルで付与されると、そのオントロジーのすべてのリソースに継承されます。オントロジーエディターロールは、オントロジーレベルのパーミッションにのみ関連しています。

ベストプラクティスとして、オントロジー全体を担当する信頼できるユーザーグループを定義し、そのユーザーグループ全体に対して全体のオントロジーにオントロジーオーナーロールを付与することを強く推奨します。

デフォルトのオントロジーロールに含まれる操作をカスタマイズしたり、異なるユーザーグループの特定のニーズに応じて追加のカスタムロールを設定したりすることも可能です。ロールとそのカスタマイズ方法についての詳細は、ロールに関するドキュメンテーションを参照してください。

新しいリソースの作成

オントロジーにおけるリソースの作成は、オントロジーレベルでオントロジーオーナーまたはオントロジーエディターのロールを持つユーザーに制限されています。新しく作成されたオブジェクトタイプ、リンクタイプ、共有プロパティ、アクションタイプには、そのリソースの作成者がデフォルトでオントロジーオーナーとして表示され、他のすべてのユーザーがオントロジービューアーとして表示されます。リソースが作成されたら、作成者はそのリソースにさらなるロールを適用できます。

タイプ別の編集パーミッション

オブジェクトタイプとそのプロパティの編集に対するパーミッション

オブジェクトタイプとそのプロパティに変更を加えるためには、ユーザーはオブジェクトタイプに対してオントロジーエディターのパーミッションを持っている必要があります。また、ユーザーがデータソース/行をオブジェクトタイプのプロパティにマッピングしたい場合は、マッピングされるデータソースに対するビューアーのパーミッションも必要となります。

共有プロパティに対するパーミッション

共有プロパティに変更を加えるためには、ユーザーは共有プロパティに対してオントロジーエディターのパーミッションを持っている必要があります。ユーザーが共有プロパティを追加したいオブジェクトタイプすべてに対してオントロジーエディターのパーミッションが必要です。

リンクタイプの編集に対するパーミッション

リンクタイプに変更を加える(作成、削除、更新など)ためには、ユーザーは以下のパーミッションを持っている必要があります:

  • リンクタイプの両側に参照されているオブジェクトタイプのオントロジービューアーのパーミッション。
  • リンクタイプ自体のオントロジーエディターのパーミッション。

もしリンクタイプが結合テーブルを使用しており、行われた変更が結合テーブルに関するものである場合、リンクタイプを裏付ける結合テーブルのデータソースに対するビューアーのパーミッションも必要となります。

アクションタイプの編集に対するパーミッション

アクションタイプに変更を加える(作成、削除、更新など)ためには、ユーザーは以下のパーミッションを持っている必要があります:

  • アクションタイプの少なくともエディターのパーミッションを持っていること(直接的にまたはオントロジーレベルから継承)
  • アクションタイプが実行中に編集を生成できるすべてのオブジェクトタイプにオントロジーエディターのパーミッションを持っていること。

アクションタイプが編集を生成できるオブジェクトタイプには、以下が含まれます:

  • オブジェクトの作成、修正、削除ルールで参照されるオブジェクトタイプ。
  • リンクの作成および削除ルールで参照されるリンクタイプに接続されるオブジェクトタイプ。
  • 関数を利用したアクションの関数で編集されるオブジェクトタイプ。
  • アクションログオブジェクトタイプ(設定されている場合)。

読み取り専用のビュー

ユーザーがオブジェクトタイプ、リンクタイプ、共有プロパティ、またはアクションタイプを編集するアクセス権を持っていない場合、編集ビューは無効になり、バナーがユーザーにどのパーミッションを持っているか、または持っていないかを説明します。

オントロジービューアーロールの場合:

ビューのパーミッションバナー

オントロジーディスカバラーロールの場合:

ディスカバーパーミッションバナー

アクションタイプについては、オントロジービューアーオントロジーディスカバラーのビューの間には見た目の違いはありません。

警告

オントロジーロールへの移行を開始するには、こちらのガイダンスに従ってください。

データソース由来のパーミッション(レガシー)

ビューのパーミッション

ユーザーがオブジェクトタイプまたはリンクタイプの元データセットにビューアーのパーミッションを持っていると、その特定のデータセットに関連するオブジェクトタイプまたはリンクタイプを見ることができます。

デフォルトでは、アクションタイプは、オントロジーにアクセスできるすべてのユーザーに対して可視であり、すべてのユーザーはデータソース由来のパーミッションモデルを使用して、すべてのアクションタイプのタイトル、説明、ルールを見ることができます。

タイプ別の編集パーミッション

オントロジーマネージャーで何か変更を加えるためには、ユーザーはオントロジー管理者ユーザーグループのメンバーである必要があります。グループとプラットフォームセキュリティについて詳しく読んでください。

ユーザーは、データソース由来のパーミッションが使用されているときに、Foundryのオントロジーで変更を成功させるために、追加のタイプ別のパーミッションが必要となる場合があります。

オブジェクトタイプとそのプロパティの編集に対するパーミッション

オブジェクトタイプとそのプロパティに何か変更を加えるためには、ユーザーはオブジェクトタイプの元データセットに対してエディターのパーミッションを持っている必要があります。

共有プロパティに対するパーミッション

共有プロパティを作成または編集する、または共有プロパティをオブジェクトタイプに追加するためには、ユーザーはオントロジー管理者グループのメンバーである必要があります。

リンクタイプの編集に対するパーミッション

リンクタイプに何か変更を加えるためには、ユーザーはリンクタイプの元データセットに対してエディターのパーミッションを持っている必要があり、またリンクタイプで参照されている両方のオブジェクトタイプの元データセットに対してビューアーのパーミッションを持っている必要があります。

アクションタイプの編集に対するパーミッション

  • オントロジーにアクセスできるすべてのユーザーは、完全なアクションタイプの定義(編集可能なプロパティ、名前、またはユーザーパーミッションなど)を表示できます。
  • オントロジー内のアクションタイプに変更を加える(作成、削除、更新など)ためには、ユーザーはオントロジー管理者グループのメンバーである必要があります。
  • アクションを実行するためには、ユーザーはすべての編集オブジェクトタイプにビューアーである必要があります。
  • ユーザーがオブジェクトタイプを修正または追加するアクションを作成した場合、そのオブジェクトタイプに対してエディットオプションを有効にする必要があります。

アクションタイプのパーミッションに関する詳細は、ドキュメンテーションを確認してください。

読み取り専用のビュー

ユーザーがオブジェクトタイプ、リンクタイプ、またはアクションタイプを編集するアクセス権を持っていない場合、編集ビューは無効になり、バナーがユーザーにどのパーミッションを持っているか、または持っていないかを説明します。

元データセットの削除

データソース由来のパーミッションを持つオブジェクトタイプの元データセットがゴミ箱から恒久的に削除された場合、そのオブジェクトタイプは孤立したものとみなされます。パーミッションは元データセットから派生しているため、もはやアクセスできない元データセットから、ユーザーはもはやオブジェクトタイプを変更することはできません。すべてのエディターのパーミッションが失われたからです。オントロジーは自動的に孤立したオブジェクトタイプを削除します。

警告

データソース由来のパーミッションについては、すべてのオブジェクトタイプは元データセットを持つ必要があります。編集不可能なオントロジータイプが蓄積するのを防ぐため、元データセットがないデータソース由来のパーミッションを持つオブジェクトタイプは、24時間後に削除されます。