Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
オントロジーの構築Ontologiesパーミッション

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

権限

Warning

オントロジーリソースの認可モデルがdatasource-derived permissionsからオントロジーロールに変更されます。オントロジーロールへの移行に関するドキュメントには、移行方法についてのステップバイステップガイドが記載されています。

オントロジーロールはまだすべての顧客に一般公開されていません。詳細については、特定のFoundryインストールに関するPalantirの担当者にお問い合わせください。

オントロジーリソースは、オブジェクトタイプ、リンクタイプ、アクションタイプとそのメタデータ(スキーマ)を指します。

現在、オントロジーリソースの権限を処理するために2つの認可モデルが使用されています。

  1. Datasource-derived permissions はオントロジーリソースを認可するための従来のソリューションです。Datasource-derived permissions は各オブジェクトタイプの元データセットに定義された権限に依存しており、オントロジー内のオブジェクトタイプと元データセットの間に直接的な1:1の依存関係を作成します。このため、Datasource-derived permissionsを持つオブジェクトタイプには元データセットが必要です。
  • たとえば、ユーザーはオブジェクトタイプを編集するために、元データセットにEditorアクセス権を持ち、Ontology Administratorsグループ(オントロジーレベル)にメンバーとして属している必要があります。
  1. オントロジーロール はオントロジーリソースを認可するための新しい改善されたソリューションであり、今後はデフォルトの認可モデルとなります。オントロジーロールにより、元データセットに依存せずに、各オントロジーリソースに直接ロールを適用できます。
  • たとえば、ユーザーはオブジェクトタイプを編集するためにOntology Editorロールのみを必要とし、元データセットに対する権限は必要ありません。
  • Ontology Editorロールはオントロジーリソースとそのメタデータの編集を許可しますが、データやデータソース自体への権限は付与しません。オブジェクトデータ(メタデータではない)へのアクセスは、元データセットに付与された権限によって引き続き管理されます。
Warning

オントロジーリソースの設定を担当するユーザーとオントロジーを支えるデータパイプラインの構築を担当するユーザーの間の明確な分離を確保するために、オブジェクトタイプ、リンクタイプ、およびアクションタイプをできるだけ早くオントロジーロールに移行することをお勧めします。将来のプラットフォームリリースでは、Datasource-derived permissionsのサポートが減少し、最終的にはプラットフォームから削除されます。移行が進むにつれて、追加のプラットフォーム内のコミュニケーションと更新が表示されます。

オントロジーロール

概要

オントロジーロールは次のように定義されます。

  • Ontology Owner: オントロジーリソースを編集し、そのセキュリティと共有を完全に管理できる
  • Ontology Editor: オントロジーリソースを編集できる
  • Ontology Viewer: オントロジーリソースを表示できるが、編集はできない
  • Ontology Discoverer: スキーマを除くオントロジーリソースの名前とメタデータのみを表示できる

上記のロールをオントロジーリソースに直接付与することに加えて、Ontology Managerアプリケーションのオントロジー設定タブに移動して、オントロジーレベルでこれらのロールを付与することもできます。オントロジーレベルで付与されたOntology Ownerロールのみがそのオントロジー内のすべてのリソースに継承されます。Ontology Editorロールはオントロジーレベルの権限にのみ関連します。

ベストプラクティスとして、オントロジー全体の責任を持つ信頼できるユーザーグループ(オントロジーガバナンスボードとも呼ばれる)を定義し、そのユーザーグループにオントロジー全体のOntology Ownerロールを付与することを強くお勧めします。

特定のユーザーグループのニーズに応じて、デフォルトのオントロジーロールに含まれる操作をカスタマイズしたり、追加のカスタムロールを構成したりすることが可能です。ロールとそのカスタマイズ方法の詳細については、ロールに関するドキュメントを参照してください。

オントロジーロールを使用して新しいリソースを作成する

オントロジーでのリソース作成は、オントロジーレベルでOntology OwnerまたはOntology Editorロールを持つユーザーに制限されています。新しく作成されたオブジェクトタイプ、リンクタイプ、共有プロパティ、およびロールを持つアクションタイプには、作成したユーザーがデフォルトでそのリソースのOntology Ownerとして表示され、他のすべてのユーザーはデフォルトでOntology Viewerとして表示されます。リソースが作成された後、作成したユーザーはリソースにさらにロールを適用できます。

デフォルトでは、すべてのユーザーにオントロジーレベルでOntology Editorロールが付与されており、ワークフローのために新しいオントロジーリソースを作成できます。どのユーザーグループが新しいオントロジーリソースを追加できるかをカスタマイズするには、Ontology OwnerがOntology Managerのオントロジー設定タブに移動し、オントロジーレベルのロール付与を調整します。

オントロジーロールを使用したタイプ固有の編集権限

オブジェクトタイプとそのプロパティの編集権限

オブジェクトタイプとそのプロパティを変更するには、ユーザーはそのオブジェクトタイプにOntology Editor権限を持っている必要があります。ユーザーがデータソース/列をオブジェクトタイププロパティにマッピングしたい場合、マッピングされるデータソースに対するViewer権限も必要です。

共有プロパティの権限

共有プロパティを変更するには、ユーザーはその共有プロパティにOntology Editor権限を持っている必要があります。ユーザーは、共有プロパティを追加したいオブジェクトタイプのいずれかにOntology Editor権限を持っている必要があります。

リンクタイプの編集権限

リンクタイプを変更するには(作成、削除、更新など)、ユーザーは次の権限を持っている必要があります。

  • リンクタイプで参照される両側のオブジェクトタイプに対するOntology Viewer権限。
  • リンクタイプ自体に対するOntology Editor権限。

リンクタイプが結合テーブルを使用していて、変更が結合テーブルの変更を伴う場合、リンクタイプを支える結合テーブルデータソースに対するViewer権限も必要です。

アクションタイプの編集権限

アクションタイプを変更するには(作成、削除、更新など)、ユーザーは次の権限を持っている必要があります。

  • アクションタイプの少なくともEditor権限を、直接またはオントロジーレベルからの継承によって持っている必要があります。
  • 実行中にアクションタイプが編集を生成できるすべてのオブジェクトタイプに対するOntology Editor権限。

アクションタイプが編集を生成できるオブジェクトタイプには次のものが含まれます。

  • オブジェクトルールの作成、変更、削除で参照されるオブジェクトタイプ。
  • リンクルールの作成および削除で参照されるリンクタイプに接続されたオブジェクトタイプ。
  • 関数を利用したアクションの関数で編集されるオブジェクトタイプ。
  • アクションログオブジェクトタイプ(設定されている場合)。

読み取り専用ビュー

ユーザーがオブジェクトタイプ、リンクタイプ、共有プロパティ、またはアクションタイプを編集する権限を持っていない場合、編集ビューは無効になり、ユーザーが持っている権限と持っていない権限についてバナーで説明されます。

Ontology Viewerロールの場合:

View permission banner

Ontology Discovererロールの場合:

Discover permission banner

Warning

オントロジーロールへの移行を開始するには、こちらのガイダンスに従ってください。

Datasource derived permissions(従来)

ビュー権限

オブジェクトタイプまたはリンクタイプを支えるデータソースに対するViewer権限を持つことで、ユーザーはその特定のデータソースに関連付けられたオブジェクトタイプまたはリンクタイプを見ることができます。

デフォルトでは、オントロジーにアクセスできるすべてのユーザーはアクションタイプを表示できます。すべてのユーザーは、Datasource-derived permissionsモデルを使用しているすべてのアクションタイプのタイトル、説明、ルールを表示できます。

タイプ固有の編集権限

Ontology Managerで変更を行うには、ユーザーはOntology Administratorsユーザーグループのメンバーである必要があります。グループとプラットフォームセキュリティについて詳しく読むことができます。

Datasource-derived permissionsを使用する場合、Foundryオントロジーで変更を成功させるために、ユーザーは追加のタイプ固有の権限を必要とする場合があります。

オブジェクトタイプとそのプロパティの編集権限

オブジェクトタイプとそのプロパティに変更を加えるには、ユーザーはそのオブジェクトタイプを支えるデータソースに対するEditor権限を持っている必要があります。

共有プロパティの権限

共有プロパティを作成または編集する、またはオブジェクトタイプに共有プロパティを追加するには、ユーザーはOntology Administratorsグループのメンバーである必要があります。

リンクタイプの編集権限

リンクタイプに変更を加えるには、ユーザーはリンクタイプを支えるデータソースに対するEditor権限を持ち、リンクタイプで参照される両方のオブジェクトタイプを支えるデータソースに対するViewer権限を持っている必要があります。

アクションタイプの編集権限

  • オントロジーにアクセスできるすべてのユーザーは、完全なアクションタイプの定義(編集可能なプロパティ、名前、ユーザー権限など)を表示できます。
  • オントロジーでアクションタイプを変更するには(作成、削除、更新など)、ユーザーはOntology Administratorsグループのメンバーである必要があります。
  • アクションを実行するためには、ユーザーはすべての編集されたオブジェクトタイプに対するViewer権限を持っている必要があります。
  • ユーザーがオブジェクトタイプを変更または追加するアクションを作成する場合、そのオブジェクトタイプに対してEditsオプションが有効になっている必要があります。

アクションタイプの権限に関する詳細は、ドキュメントを参照してください。

読み取り専用ビュー

ユーザーがオブジェクトタイプ、リンクタイプ、またはアクションタイプを編集する権限を持っていない場合、編集ビューは無効になり、ユーザーが持っている権限と持っていない権限についてバナーで説明されます。

元データセットの削除

Datasource-derived permissionsを持つオブジェクトタイプの元データセットがゴミ箱から完全に削除された場合、そのオブジェクトタイプは孤立したものと見なされます。権限は元データセットから派生しているため、元データセットにアクセスできなくなり、ユーザーはオブジェクトタイプを変更できなくなります。オントロジーは孤立したオブジェクトタイプを自動的に削除します。

Warning

Datasource-derived permissionsの場合、すべてのオブジェクトタイプには元データセットが必要です。編集不可のオントロジータイプの蓄積を防ぐために、Datasource-derived permissionsを持つが元データセットを持たないオブジェクトタイプは24時間後に削除されます。