アクセス制御
Pega Platform™ は、App StudioのPersona accessランディングページとDev StudioのAccess Manager を提供し、セキュリティレコードの設定を簡素化します。 両方のページとも、アプリケーションセキュリティを管理するための使いやすいインターフェイスを備えています。 可能な場合は、Access Managerの代わりにPersona accessランディングページを使用して、アクセス制御を設定します。 ただし、Access Managerからケースインスタンスを削除するパーミッションをペルソナに付与するなど、特定のパーミッションのみを設定できます。
Persona accessランディングページとAccess Managerで、特定のアクセスグループに関連付けられているアクセスロールにパーミッションを設定します。
アクセスグループに複数のロールがリストされている場合は、Pega Platformによって、リストされているすべてのロールで最も許容的な設定が適用されます。 たとえば、Managerのロールにはレポートを実行するパーミッションがありますが、Userのロールにはこのパーミッションがありません。 ManagerアクセスグループにManagerのロールとUserのロールの両方が含まれている場合、アクセスグループのすべてのメンバーがレポートを実行できます。
ケースタイプのアクセス制御
ケースタイプのアクセス制御は、Persona accessランディングページまたはAccess Managerから編集できる2種類のレコードによって管理されます。
- ARO(オブジェクトに対するロールのアクセス)レコードは、特定のアクセスグループのメンバーに対して、特定のクラスのアイテムに対するパーミッションを指定するために使用されます。 AROを「No Access」に設定すると、ユーザーのアクセスが拒否されます。
- Access Denyレコードは規制やポリシーにより明示的なパーミッションの拒否が必要な場合に、AROを上書きして明示的にアクセスを拒否するために使用されます。 Access Denyレコードにより、AROレコードがNo Accessに設定されている場合でも、追加のセキュリティーレイヤーが提供されます。
ヒント: クラスへのアクセスを拒否するには、システムレベルでPegaインスタンスごとに定義されたパーミッションにも依存します。 Access of Role to ObjectレコードおよびAccess Denyレコードの詳細については、詳細トピックを参照してください。
補足: ベストプラクティスとして、可能な場合は、フォームのパーミッション設定でARO(オブジェクトに対するロールのアクセス)やAccess Deny(アクセス拒否)ルールを直接変更するのではなく、Persona accessランディングページまたはAccess Managerを使用してください。 App Studioでアプリケーションを設定すると、アプリケーションを最新の状態に保つことが容易になります。
Persona accessランディングページ
Persona accessランディングページにアクセスするには、App Studioのナビゲーションペインで、「Users > User management」をクリックし、次に編集するペルソナを選択します。
次の画像で「+」アイコンをクリックすると、ManagerペルソナのPersona accessランディングページの詳細が表示されます。
Access Manager
Access Managerにアクセスするには、Dev StudioのヘッダーでConfigure > Org & Security > Access Managerをクリックします。
以下の図の+アイコンをクリックすると、Access Managerの詳細が表示されます。
アクセスコントロールとシステムタイプ
オンプレミス型のシステムでは、管理者がオペレーターのアクセス権や、ユーザーがシステムを変更する際のパーミッションを定義できます。 では、許可された変更の種類を制御し、環境の目的を指定します。 たとえば、開発中に、デバッグをサポートするために、より許容的なアクセス制御をユーザーに構成する必要があることがあります。 ただし、本番システムでは、より限定的なアクセス制御が必要です。
1~5までの尺度でパーミッションを付与します。各値は、以下の表に示すように、見込まれる本番レベルに対応しています。 動作を拒否するには、値0を指定します。 アクセス制御値なしを除いて、アクセス制御値が本番レベル設定以上の場合にアクセスが許可されます。
| 本番レベル | 説明 |
|---|---|
| 5 | 本番システム |
| 4 | ステージングシステム |
| 3 | 品質保証システム |
| 2 | 開発システム |
| 1 | サンドボックスシステム |
| 0 | アクションの拒否 |
クラスに対するアクセスの拒否は、システムの本番レベルの値(1~5)と、特定のAccess Whenルールがtrueと評価されるかどうかによって異なります。 Access Managerでアクセス制御設定を更新すると、Pega PlatformによってAccess of Role to ObjectレコードまたはAccess Denyレコードが値0または5で更新されます。 これらのレコードに直接アクセスし、アクセス制御レベルを0または5以外で指定します。 Access Managerは、現在のシステムでのアクセスレベルを示します。
たとえば、ケースタイプのインスタンスを削除するために、Authorsのアクセス制御レベルを2に設定するとします。 開発システムでは、Access ManagerはFull Accessを示します。 本番システムでは、Access ManagerはNo Accessを示します。 これにより、開発やリリースのサイクル全体を通じて、アプリケーションの移行時にパーミッションをリセットする必要がなくなります。
以下のインタラクションで理解度をチェックしてください。
このトピックは、下記のモジュールにも含まれています。
If you are having problems with your training, please review the Pega Academy Support FAQs.