マスター データ サービスでは、セキュリティを使用して、ユーザーがジョブを実行するために必要な特定のマスター データに確実にアクセスできるようにし、ユーザーが使用できないデータにアクセスできないようにします。
また、セキュリティを使用して、特定のモデルと機能領域の管理者を作成することもできます (たとえば、ユーザーが顧客モデルのバージョンを作成したり、セキュリティアクセス許可を設定したりできるようにします)。
マスター データ サービスのセキュリティは、ローカルまたは Active Directory ドメインのユーザーとグループに基づいています。 MDS セキュリティを使用すると、ユーザーがアクセスできるデータを決定する際に詳細なレベルを使用できます。 細分性があるため、セキュリティは簡単に複雑になる可能性があるため、重複するユーザーとグループを使用する場合は注意が必要です。 詳細については、「 ユーザーとグループの権限の重複 (マスター データ サービス)」を参照してください。
マスター データ マネージャー Web アプリケーションの [ユーザーとグループのアクセス許可] 機能領域で、または Web サービスを使用して、セキュリティ アクセスを割り当てることができます。
ユーザーの種類
マスター データ サービスには、次の 2 種類のユーザーがあります。
エクスプローラーの機能領域でデータにアクセスするユーザー。
エクスプローラー以外の領域で管理タスクを実行できるユーザー。 これらのユーザーは 管理者 (マスター データ サービス) と呼ばれます。
セキュリティを設定する方法
MDS のデータまたは機能にアクセスするためのアクセス許可をユーザーまたはグループに付与するには、次を割り当てる必要があります。
機能領域アクセス。ユーザーがアクセスできるユーザー インターフェイスの 5 つの機能領域のうちどれを決定します。
ユーザーがアクセスできる属性と、ユーザーがそれらの属性に対して持っているアクセスの種類 (読み取りまたは更新) を決定するモデル オブジェクトのアクセス許可。
必要に応じて、 階層メンバーのアクセス許可。ユーザーがアクセスできるメンバーと、ユーザーがそれらのメンバーに対して持つアクセスの種類 (読み取りまたは更新) を決定します。
属性とメンバーにアクセス許可を割り当てると、アクセス許可が交差し、どのアクセス許可が優先されるのかはルールによって決まります。 詳細については、「 権限の決定方法 (マスター データ サービス)」を参照してください。
レコード レベルのセキュリティを実装するには、エンティティの階層を作成し、階層のメンバーにユーザーアクセス許可を割り当てます。 メンバーはデータ レコードです。 階層メンバーのアクセス許可は、ユーザーが特定のメンバーへのアクセスを制限する場合にのみ使用する必要があります。
次の図は、スタイル エンティティの派生階層と、選択したユーザーのスタイル メンバー権限を示しています。 更新アクセス許可は M {Men's} メンバーと U {Unisex} メンバーに割り当てられ、読み取り専用のアクセス許可は Women's Style メンバーに割り当てられます。 つまり、ユーザーは、男性用およびユニセックス製品のレコードを更新し、女性用スタイルの製品のレコードのみを読み取ることができます。
階層を作成する方法については、「 明示的階層の作成 (マスター データ サービス)」 および「 派生階層の作成 (マスター データ サービス)」を参照してください。
メンバーのアクセス許可を割り当てる方法の詳細については、「階層メンバーのアクセス許可の割り当て (マスター データ サービス)」を参照してください。
Excel 用アドインのセキュリティ
マスター データ マネージャー Web アプリケーションのセキュリティ セットは、Excel 用アドインにも適用されます。 ユーザーは、アクセス許可を持つデータのみを表示および操作できます。 管理者は管理タスクを実行できます。
唯一の注意事項は、マスター データ マネージャーで割り当てられているすべてのセキュリティは、20 分間隔が経過するまで Excel では有効にならないということです。 間隔は、web.config ファイルの MdsMaximumUserInformationCacheInterval 設定によって定義されます。 間隔を変更するには、設定を変更して IIS を再起動します。
関連タスク
| タスクの説明 | トピック |
|---|---|
| モデルに対する完全なアクセス許可を持つユーザーを作成します。 | モデル管理者の作成 (マスター データ サービス) |
| マスター データ サービスに Active Directory グループを追加する。これは、マスター データ サービス Web アプリケーションのデータにアクセスするためのアクセス許可をグループに付与する最初の手順です。 | グループの追加 (マスター データ サービス) |
| マスター データ サービス Web アプリケーションの機能領域にアクセス許可を割り当てます。 | 機能領域権限の割り当て (マスター データ サービス) |
| モデル オブジェクトに権限を割り当てることで、属性値に権限を割り当てます。 | モデル オブジェクト権限の割り当て (マスター データ サービス) |
| 階層ノードに権限を割り当てることで、メンバー値に権限を割り当てます。 | 階層メンバーのアクセス許可の割り当て (マスター データ サービス) |
こちらもご覧ください
管理者 (マスター データ サービス)ユーザーとグループ (マスター データ サービス)機能領域の権限 (マスター データ サービス)モデル オブジェクト権限 (マスター データ サービス)階層メンバー権限 (マスター データ サービス)アクセス許可の決定方法 (マスター データ サービス)