注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

運用アプリケーションのセキュリティ

オントロジーのリソースメタデータの認可モデルは、データソースからの権限からオントロジーロールに変更されます。オントロジーロールへの移行に関するドキュメントでは、移行方法についてステップバイステップで説明されています。オントロジーロールはまだ一般的にはすべてのお客様に利用可能ではありません。特定のFoundryインストールに関する情報については、Palantir担当チームにお問い合わせください。

データ基盤を構築した後、その上にオントロジーとFlight Alert Inboxアプリケーションを構築していくことができます。目標は、運用ユーザーに価値あるワークフローを提供しつつ、セキュリティを明確にし、維持が容易になることです。

オブジェクトデータはデータセットの権限を継承する

元データセットがすでに変換されているので、オントロジーにFlight、Flight Alert、Delay、Aircraftの4つのオブジェクトを作成できます。これを行うには、新しいオブジェクトタイプを作成し、それぞれのオブジェクトに対してすでに構築した元データセットを選択します。このプロセスでは、データセットの行を新しいオブジェクトタイプのプロパティにマッピングします。元データセットの各行は、新しいオブジェクトタイプのプロパティになります。そして、元データセットの各行は、オブジェクトタイプのインスタンスになります。そのため、オブジェクトタイプ内のデータは、元データセットの権限によって保護されます。

Aircraftオブジェクトの場合、データは**/Sky Industries/Aviation [Ontology]/aircraft**データセットの権限によって保護されます。そのため、Aviation [Ontology]プロジェクトのAviation [Ontology] - Viewerグループにいるユーザーは、Aircraftオブジェクトのデータを見ることができます。

Ontology view

必要なオブジェクトを作成した後、オブジェクト間の関係に基づいて、必要なリンクタイプを作成できます。以下が私たちのオントロジーです。

Object links in Ontology

フルワークフローをサポートするために、一部のオブジェクトにwritebackを追加したい場合があります。Writebackは、既存のプロパティ値の編集(例えば、誤った値の修正やステータスプロパティの更新)を可能にするだけでなく、新しいデータや意思決定の取り込みを可能にし、時間の経過とともに価値を蓄積することができます。

これを行うには、エディターセクションでwritebackデータセットを生成するだけです。編集されたデータセットを元データセットと同じオントロジープロジェクト(例:Aviation [Ontology])に配置することをお勧めします。これにより、オブジェクトの権限が統一されます。オブジェクトを編集するための推奨方法は、Actionsを使用することで、APIsを介して呼び出すこともできます。以下は、writebackデータセットを持つFlight Alertオブジェクトです。

Flight alert object with writeback dataset

オントロジーデータへのユーザーアクセスは、データ基盤で作成し適用したグループによってすべて管理されます。例えば、新しいユーザーをAviation [Ontology] - Viewerグループに追加するだけで、Flight、Flight Alert、Delay、Aircraftの4つのオブジェクトのデータを見ることができます。

オントロジーの編集

オントロジー内の特定のオブジェクトタイプの設定を編集できるユーザーを制御するには、オントロジーロールを使用します。オントロジーロールを使用すると、オントロジーリソース(オブジェクトタイプ、リンクタイプ、アクションタイプ)ごとにロールを直接適用できます。例えば、ユーザーがオントロジー内のFlight Alertオブジェクトを編集するためには、Flight Alertオブジェクトにオントロジーエディターロールを持っていれば、元データソースに対する権限は必要ありません。これらの権限は、各オブジェクトタイプのセキュリティセクションで管理できます。

オブジェクトタイプにユーザーやグループにロールを与えることは、オブジェクトタイプの定義とそのメタデータに対する権限だけを与えるもので、データ自体に対する権限は与えません。データへの権限は、元データソースの権限によって管理されます。

Ontology editor role

オブジェクトのインスタンスを制限する

後で、Passengerデータを組み込むことに決めました。Passengerデータパイプラインを統合して構築します。

遵守上の理由から、運用ユーザーに自分たちがいる国の乗客だけを見せたいかもしれません(米国のユーザーは米国の乗客だけを見ることができ、ドイツのユーザーはドイツの乗客だけを見ることができるなど)。オブジェクトタイプはデータセットによってバックアップされているため、その権限はデータセット全体に関連しています。個々の行の権限を制限したい場合は、Restricted Viewを使ってオブジェクトタイプをバックアップする必要があります。Restricted Viewは、単一のデータセットの行ごとの権限付きビューです。

Restricted Viewを作成する際には、以下の事前準備が必要です。

  1. グローバルグループpassenger-data-global-accessを作成し、すべての管理ユーザーにグローバルなPassengerデータへのアクセスを許可します。
  2. ユーザーが必要な地理的なユーザーアトリビュート(例:location:country - US)を持っていることを確認します。
  3. Restricted Viewのプロジェクトを作成し、**Customer Information [Restricted]**という名前を付けます。これにより、Restricted Viewに関連する顧客情報をバックアップする入力データセットとは別に、Restricted Viewへのアクセス権限を付与できます。

ユーザーアトリビュートは、ユーザー管理UIで手動で設定することも、SAML設定から自動的にマッピングすることもできます。

上記の事前準備が完了したら、Restricted Viewを作成できます。入力データセットリソースに移動し、Create restricted viewを選択します。下記のようになります。

Create restricted view

Restricted Viewウィザードは、すべての手順を説明します。先ほど作成した新しい**Customer Information [Restricted]**プロジェクトにRestricted Viewを保存します。

Create restricted view step 1

Create restricted view step 2

ポリシーはRestricted Viewの中核となる部分であり、ユーザーがどの行を見ることができるかを決定します。この例では、以下のようにします。

  • ユーザーの属性「location」とデータセットの「country」列の値が一致する行のみ表示するか、または
  • ユーザーがpassenger-data-global-accessグループのメンバーである場合、すべての行を表示します。

以下が、具体的なポリシーの例です。

Configure a policy

ウィザードが完了すると、Restricted Viewが構築されます。構築が完了したら、Restricted Viewを使用してPassengerオブジェクトをバックアップできます。オブジェクトタイプは、自動的にRestricted Viewポリシーを継承し、そのポリシーを使用してユーザーが表示できるオブジェクトインスタンスを制限します。

Object type with restricted view

データカタログにデータを追加する

データカタログは、Foundry内のキュレーションされたコンテンツを閲覧できるビューです。データカタログにあるデータセットは、ユーザーにとって最も有用または関連性があり、簡単にアクセスできるように集められています。

オントロジーを構築した後、オントロジーデータセットをすべてデータカタログに追加することをお勧めします。特に、オントロジーのwritebackデータセットは、オブジェクトデータの正規のソースであるため、データカタログに追加する必要があります。

ユーザーにアプリケーションへのアクセスを与える

Flight、Flight Alert、Delay、Aircraft、Passengerオブジェクトを構築した後、Operationsセンター向けのFlight Alert Inboxアプリケーションを構築しました。これは、Workshopドキュメントに従って行われました。Flight Alert Inboxアプリケーションを編集できるユーザーと、オントロジーデータを編集できるユーザーを分けたいため、Flight Alert Inboxアプリケーション専用の新しいプロジェクトを作成します。新しいプロジェクトはFlight Alert Inboxと呼ばれます。

運用消費者は、Flight、Flight Alert、Delay、Aircraft、Passengerデータを表示するためにAviation [Ontology] - Viewerグループに追加され、Flight Alert Inboxアプリケーションを表示するためにFlight Alert Inbox - Viewerグループに追加されます。

アプリケーション開発者は、Flight、Flight Alert、Delay、Aircraft、Passengerデータを表示するためにAviation [Ontology] - Viewerグループに追加され、Flight Alert Inboxアプリケーションを編集するためにFlight Alert Inbox - Editorグループに追加されます。

パイプライン開発者は、Flight、Flight Alert、Delay、Aircraft、Passengerデータセットを編集するためにAviation [Ontology] - Editorグループに追加され、変更の下流にあるワークフローを表示するためにFlight Alert Inbox - Viewerに追加されます。

Granting roles