Warning

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

オントロジーのロール移行

警告

データソースに由来する権限を使ってオブジェクトタイプを隠す従来の動作は、現在非推奨となっており、オブジェクトタイプがオントロジーのロールに移行されると、もう適用されません。オントロジーのメタデータ情報は、その特定のオントロジーにアクセス権があるすべてのユーザーがアクセスできます。

オントロジーのロール は、オントロジーのリソースに対する認可の新しく改善されたソリューションであり、将来的にはデフォルトの認可モデルとなります。オントロジーのロールを使用すると、オントロジーのリソース(オブジェクトタイプ、リンクタイプ、アクションタイプ)ごとに直接ロールを付与できます。例えば、ユーザーがオントロジーでオブジェクトタイプを編集するためには、オブジェクトタイプに対して Ontology Editor ロールを持っているだけで、入力データソースに対する権限は必要ありません。ただし、これはオントロジーリソースとそのメタデータの編集のみを許可し、データ/データソース自体に対する権限は付与しません。オブジェクトの データ(_メタデータ_ではなく)へのアクセスは、入力データソースに付与された権限によって制御されます。

各オントロジーは、1つまたは複数の Foundry の組織 にリンクされています。割り当てられた組織のメンバーだけが、特定のオントロジーとそのオントロジーのリソースにアクセスできます。これらのリソースのデータへのアクセス(オブジェクトインスタンスやリンクインスタンス自体などのオントロジーのメタデータではない)は、常に入力データソースの権限によって制御されます。

オントロジーのロールへの移行

オントロジーのロールはまだすべての Foundry インスタンスに展開されていません。オントロジーのロールにアクセスできない場合は、Palantir の担当者にお問い合わせください。

オントロジーのロールへの移行は、Upgrade Assistant を通じて管理されます。専用の Upgrade Assistant タスクには、移行する必要があるオントロジーのリソースのリストが表示され、移行を実行する権限を持つ担当者が表示されます。Upgrade Assistant からリソースを開くと、オントロジー管理者内でリソースを移行するための Security タブが表示されます。

オントロジーのロールを設定する権限を持つユーザーがいる場合、まだ移行されていないオントロジーのリソースは、Security タブに移行インターフェースが表示され、初めてオントロジーのロールを設定できます。オントロジーのリソースが移行された後、Security タブの下にオントロジーのロールピッカーが表示され、Ontology Owners によって更新できます。

定義

オントロジーのリソースをオントロジーのロールに移行する際に、明示的な順序付けがないため、一部のオブジェクトタイプがデータソース由来の権限を使用している一方で、他のオブジェクトタイプがオントロジーのロールを使用している可能性があります。このため、この移行の目的として、「オブジェクトタイプを編集できる」とは以下のように定義されます。

  • データソース由来の権限を使用しているオブジェクトタイプ:ユーザーは、そのオブジェクトタイプの入力データソースに Editor 権限があります。
  • オントロジーのロールを使用しているオブジェクトタイプ:ユーザーは、オブジェクトタイプに Ontology Editor 権限があります。

前提条件

移行を行うためには、以下の権限が必要です。

  1. Foundry オントロジーで変更を行う権限。

  2. 各リソースに対して以下の権限が必要です。

    • オブジェクトタイプの場合、入力データソースに対して Owner 権限が必要です。
    • 1対多リンクタイプの場合、リンクタイプで参照される両方のオブジェクトタイプを編集できる必要があります。
    • 多対多リンクタイプの場合、1対多リンクタイプに必要な権限に加えて、リンクタイプの入力データソースに対して Owner 権限が必要です。
    • アクションタイプには追加の権限は必要ありません。

オントロジーロールに移行した後、アクションタイプを変更するためには追加の権限が必要です。アクションタイプが編集しているオブジェクトタイプとアクションタイプ自体に権限が必要です。

オブジェクトタイプ、リンクタイプ、アクションタイプの移行

オントロジーリソース(オブジェクトタイプ、アクションタイプ、リンクタイプ)をロールに移行する方法は2つあります。オントロジーリソースを一括移行するか、すべてのオントロジーリソースに対して1つずつ移行を行います。

オントロジーのリソースを一括移行

オントロジーのリソースを一括してロールに移行することができます。進む前に、前提条件 のリストを参照してください。一度に最大500のリソースを移行することができます。

一括移行するには、オントロジー管理者の Advanced に移動し、Migrations セクションの continue with migration assistant を選択します。

移行ウィザードが表示され、以下の手順があります。

  1. リソースの選択:同じロールを適用したいすべてのオブジェクトタイプ、リンクタイプ、アクションタイプを選択します。以下の画像は、移行ウィザードでリソースを選択するインターフェースを示しています。

bulk migration

  1. 関連リソース:この手順は、移行可能な関連リソース(リンクタイプやアクションタイプ)がある場合にのみ表示されます。
  2. ロールの割り当て:手動でグループ/ユーザーとデフォルトのロールを設定し、これらのオブジェクトタイプに割り当てます。現時点では、ロールマイグレーターは一括してロールを提案できません。ロールを付与する際には、ユーザーよりもユーザーグループを使用することを強くお勧めします。
  3. サマリ:サマリを表示し、移行の影響を確認し、移行を完了してロールを適用します。

移行の影響を確認することで、バッキングデータソースから派生した以前の権限が新しく割り当てられたロールの付与によって上書きされ、移行が不可逆であることを認識しています。

一括移行の例外

いくつかのアクションタイプは、さらなる手順がないと一括移行できません。

アクションタイプがロールに移行できない場合があります。

  • アクションタイプには、現在のユーザーの権限をチェックする送信基準がありません。
    • 解決策:オントロジー管理者のアクションタイプの Security & Submission criteria タブ(Submission criteria セクション)に、現在のユーザーに基づいた条件を追加し、オントロジーに保存してから、移行を再試行します。
  • アクションタイプが機能によってバックアップされており、移行前に @edits decorators で再公開する必要があります。
    • 解決策:decorators のドキュメントの手順を参照してください。

これらの問題を解決した後、残りのアクションタイプに対して再度一括移行を行います。

Warning

アクションタイプを移行する際は、参照されたオブジェクトタイプおよびアクションタイプが展開されているすべてのユースケースについて、十分なコンテキストを持つユーザーにのみ権限を付与するようにしてください。

すべてのオントロジーリソースに対して1つずつ移行

オントロジー管理者のホームページから、移行したいオントロジーリソース(オブジェクトタイプ、リンクタイプ、アクションタイプ)を選択し、Security setupSame permissions as backing datasource にフィルタリングし、permissions = owner に設定します。

移行するエンティティを選択し、ヘッダーの Migrate to roles または Security タブの Start using roles を選択します。

移行ウィザードが表示され、2つのロールオプションが提案されます。Datasource rolesOntology admins & datasource roles です。これらのオプションを選択することで、ユーザーは既存のオントロジー設定に合わせたロールの使用と設定ができます。オプションのいずれかを選択すると、提案されたロールのリストが事前に入力されます。これらのロールは後で変更することができます。

  • Datasource roles:このオプションでは、入力データソースに Editor または Owner のロールを持つすべてのユーザーとユーザーグループが追加されます。
  • Ontology admins & datasource roles:このオプションでは、データソース由来の権限 に基づいて、特定のオントロジーリソースを変更できるすべてのユーザーが追加されます。これらのユーザーは、Ontology Administrators ユーザーグループに所属し、入力データソースに対して Editor または Owner のロールを持っています。

以下の画像は、移行ウィザードでのロールの提案を示しています。

migrating one resource roles suggestion

希望するロールの提案を選択し、オブジェクトタイプのデフォルトロールと提案されたオントロジーのロール を確認し、必要に応じて変更を加えます。次に、サマリを表示し、影響を認識し、移行を完了してロールを適用します。

以下の画像は、移行ウィザードでロールを割り当てる方法を示しています。

migrating one resource assign roles

例外

アクションタイプの移行に対して以下の問題が発生する場合があります。

  • アクションタイプには、現在のユーザーの権限をチェックする送信基準がありません。
    • 解決策:オントロジー管理者のアクションタイプの Security & Submission criteria タブ(Submission criteria セクション)に、現在のユーザーに基づいた条件を追加し、オントロジーに保存してから、移行を再試行します。
  • アクションタイプが機能によってバックアップされており、移行前に @edits decorators で再公開する必要があります。
    • 解決策:decorators のドキュメントの手順を参照してください。

これらの問題が解決されたら、アクションタイプをロールに移行できるようになります。

Function-backed アクションタイプの移行

Function-backed アクションタイプは、バッキング Function を移行する必要があります。Foundry は、アクションタイプと同時に Function を自動的に移行しようとします。ただし、一部の Function は自動的に移行されず、Function で編集されたオブジェクトタイプを手動で宣言する必要があります。アクションタイプをオントロジーロールに移行した後、Function-backed アクションで失敗が発生した場合は、FAQ セクションを確認してください。

移行 FAQ

オブジェクト認識アプリケーションに変更はありますか?

ユーザーは、以前は入力データソースに Viewer アクセス権がなかったため、オントロジー管理者でオブジェクトタイプとリンクタイプのメタデータにアクセスできなかった場合があります。これは、データソースのデータへのアクセスが常にそれらのデータソースに対するロールによって制御されるため、データソースのデータへアクセスできるわけではありません。どのようなメタデータが表示されるかは、ユーザーのオントロジーロールによって決まります。

さらに、オブジェクトタイプが移行されると、Object Explorer は Object Views の編集に対する権限チェックを更新します。オブジェクトタイプが移行される前は、ユーザーは Object View Administrators グループに所属し、入力データソースに Editor アクセス権がある必要がありました。オブジェクトタイプが移行された後は、Object Explorer はオブジェクトタイプ自体に Ontology Editor 権限があるかどうかのみをチェックします。

Function-backed アクションが移行後に失敗する場合、どのように解決できますか?

Foundry がオントロジー編集機能が編集しているオブジェクトタイプを自動的に検出できなかった場合、送信後のアクションが次のエラーで失敗します。

Functions provenance error

このエラーを解決するには、Functions documentationで説明されている手順に従ってください。