メインコンテンツへスキップ

はじめに

DataSetにPersonalized Data Permission(PDP)ポリシーを設定することで、Domoのユーザーにカスタマイズされた安全なデータ体験を作り上げることができます。これらのポリシーにより、ユーザーやグループがカードやDataFlowの閲覧時に自分たちに関連するデータのみにアクセスできるよう、DataSetのデータにフィルターをかけることができます。 PDPポリシーには、行のポリシーと列のポリシーの2種類があります (現在ベータ版) 。
  • 行のポリシーを使用すると、ユーザーやグループが操作できるデータから行を削除できます。
  • 列のポリシー/マスクを使用すると、列内のデータの一部またはすべてを非表示にして、個人を特定できる情報(PII)やその他の機密値を保護できます。
さらに、組織の規模に応じて、DomoではシンプルPDPと動的PDPを提供しています。
  • シンプルPDPではデータアクセス制御に対するシンプルなアプローチが提供されるため、管理者は事前定義されたグループに基づいて権限を割り当てることができます。これは、厳格なデータアクセスを必要としている小規模なDataSetや組織に適しています。
  • 動的PDPではより柔軟なソリューションが提供され、変化するユーザー属性に基づいてリアルタイムで権限を調整できます。動的PDPは、大規模な組織や、データアクセス要件が進化している組織にとってより有益です。 詳細については、後述の「 動的PDP 」を参照してください。

    PDPとパブリケーショングループ

    Domoでは、PDPまたはパブリケーショングループを使用して、誰がどのデータにアクセスできるかを制御できます。このセクションでは、各オプションがどのようなユースケースに最適かについて説明します。

    PDP

    • 同じDomoインスタンス内のユーザー同士でやり取りするようにしたい場合は、PDPを使用します。
    • PDPは、DataSetレベルでの保護を提供します。
    • PDPはカスタマイズされたランディングページを提供します。
    • PDPを使うと、ユーザーはカードを安全に作成して閲覧することができます。
    • PDPポリシーに含まれていないユーザーは、DataSetとDataFlowにアクセスできません。
    • このソリューションは、ほとんどのユースケースに推奨されます。

    パブリケーショングループ

    • ほかのユーザーにデータを作成できる権限は与えずにデータを閲覧してもらいたい場合は、パブリケーショングループを使用できます。
    • パブリケーショングループは、ダッシュボードレベルの保護を提供します。
    • パブリケーショングループは、強制的なランディングページを提供します。
    パブリケーショングループの詳細については、 こちら を参照してください。

PDPの利用を開始する

行のポリシーと列のポリシーの両方を使用して、PDPでデータを保護できます。 例えば、カードが米国内の2つの地域(西部と東部)のデータを含むDataSetで作成されており、西部地域のユーザーには西部地域のデータへのアクセスのみを許可する場合(東部地域についても同様)、行のポリシーを使用できます。 「西部」と「東部」の2つの別々の行のポリシーを作成し、有効にします。ポリシーが有効になっている場合、各地域のユーザーにはその地域のデータのみが表示され、もう一方の地域のデータは表示されません。 その後、列のポリシーを使用して、各地域の管理者以外のすべてのユーザーの従業員名とIDをマスクできます。

Domo全体のPDP

DataSetの行のPDPポリシーを作成すると、ポリシーはアラートやDataFlowなど、Domoのその他のあらゆる機能に適用されます。つまり、ポリシーのメンバーは、そのDataSetで作成されているすべてのアイテムについて、自分に割り当てられたデータにのみアクセスできます。 詳細については、後述の「 PDPとDataFlow/DataFusion 」を参照してください。PDPとアラートの詳細については、 こちら を参照してください。

PDPインターフェースにアクセスする

DataSetのPDPにアクセスして変更を加えるには、以下の手順に従います。
  1. Data Centerに移動します。 [DataSet] セクションのDataSetリストで、PDPを追加するDataSetを検索します。
    select from datasets.jpg
  2. DataSetを選択して、詳細ページを開きます。
  3. [PDP] タブに進みます。
    pdp details.jpg
    [PDP] タブには、 [行のポリシー][列のポリシー] の2つのタブがあります。
    policy types.jpg
    各タブには、そのタイプの既存ポリシーの検索可能なリストが表示されており、そのポリシータイプで PDPを有効にして 、DataSetにおけるPDPの インパクト を表示することもできます。
    enable row pdp.jpg
このページのトップへ

PDPを有効にする

既存のポリシーを有効にするには、各タイプのPDPを有効にする必要があります。どちらのタイプのPDPポリシーもDataSetに作成して保存できますが、PDPを有効にするまでは有効になりません。 例えば、行のポリシーをDataSetに追加して保存し、 [PDPを有効にする(行のフィルタリング)] スイッチを切り替えない場合、システムは行のポリシーを認識しません。
インパクトを理解する: DataSetのPDPを有効にする前に、PDPの インパクト を確認することを強く推奨します。
いずれかのタイプのPDPを有効にするには、 [PDP] インターフェースの該当するタブに進み、行のフィルタリングまたは列マスクの [PDPを有効にする] スイッチを切り替えます。
enable pdp.jpg
表示されるダイアログで、PDPの インパクト を理解していることを確認します。 [有効にする] を選択します。
enable row filtering.jpg
これで、PDPポリシーは、DomoにおいてこのDataSetで作成されているすべてのもの、またはこのDataSetに関連付けられているすべてのものに対して有効になります。影響を受ける各アイテムにはバッジが表示され、PDPが有効であり、利用可能なデータの一部が表示されていない可能性があることがユーザーに通知されます。
注記: PDPが有効になっているDomoの各アイテムには、バッジが表示されます。 バッジが表示されている場合、権限によっては、利用可能なデータの一部を表示できない場合があります。これらの例では、カードとアクティブなPDPポリシーが適用されたDataSetにバッジが表示されています。
pdp badge on card.jpg
pdp on dataset.jpg
このページのトップへ

PDPを無効にする

DataSetの行のフィルタリングのPDPまたは列マスクのPDPを無効にするには、正しいタブでスイッチを再度切り替えます。PDPを無効にする インパクト を理解していることと、DataSetにアクセスできるすべてのユーザーがDataSetのすべてのデータにアクセスできるようになることを確認するボックスをオンにして、 [無効にする] を選択します。
Screenshot 2024-05-15 at 3.04.35 PM.png
このページのトップへ

PDPのインパクトを確認する

インパクトを理解する: PDPポリシーを作成する前に、そのインパクトを確認することを強く推奨します。これは、DataSetが任意のDataFlowの入力DataSetである場合に特に重要です。後述の「 PDPとDataFlow/DataFusion 」を参照してください。
[行のポリシー] / [列のポリシー] タブのいずれかで [インパクト] を選択し、結果モーダルを開きます。
impact.jpg
結果モーダルは、DataSetのPDPポリシーを作成すると、このDataSetに関連付けられているすべてのアセットにどのような影響があるかを示します。モーダルには [注意][パーソナライズ] の2つのタブがあります。
  • [注意] タブには、PDPを追加すると不具合が発生するDataFlowが表示されます。DataFlowを展開して、含まれているすべてのアイテムを閲覧することができます。 [修正] を選択して、これらのアセットの所有者を [全ての行]ポリシー に追加します。これにより、DataFlowの不具合を防止できます。
    fix it.jpg
  • [パーソナライズ] タブには、影響を受けるすべてのカードが表示されます。
    pdp outcomes.jpg
影響を受けるカードやDataFlowがない場合は、タブがないモーダルが表示されます。 インパクトの確認が終了したら、 [終了] を選択してモーダルを閉じます。

ユーザーに通知する

結果モーダルでは、 [ユーザーに通知] を選択して、影響を受けるすべてのアセットの所有者に単一のメールを送信し、このDataSetのPDPを更新していることを通知します。 完了したら、 [終了] を選択してモーダルを閉じます。 このページのトップへ

行のポリシー

[行のポリシー] タブでは、DataSetの行にもとづいてPDPポリシーを作成できます。 [行のポリシー] タブには、このDataSetの既存の行のポリシーすべてのリストが表示されます。すべてのDataSetには、デフォルトの[全ての行]ポリシーが適用され、所有者や管理者ではないユーザーがすべてのデータを閲覧し、これを使用してカードとDataFlowを作成できるようになっています。

[全ての行]ポリシー

DataSetの所有者と管理者は、DataSetのすべてのデータにアクセスできます。[全ての行]ポリシーを使用すると、ほかのユーザーとグループに同じレベルのアクセス権を付与できます。すべてのDataSetに、既存の[全ての行]ポリシーが適用されています。 [全ての行]ポリシーにメンバーを追加するには、以下の手順に従います。
  1. PDPインターフェースの [行のポリシー] タブに アクセス します。 ポリシーリストで、 [全ての行] ポリシーを探します。
  2. [全ての行] ポリシーで、 グループとユーザーを追加 を選択します。
    add groups and people callout.jpg
    [グループとユーザーを追加] モーダルが表示されます。
  3. モーダルで、ユーザー名またはグループ名を検索して選択し、ポリシーに追加します。
    Screenshot 2024-05-10 at 4.08.49 PM.png
  4. [保存] を選択して変更を保持し、モーダルを閉じます。
    重要: このDataSetがDataFlowの入力DataSetである場合、DataFlowの所有者を[全ての行]ポリシーに追加することを推奨します。追加しない場合、追加のPDPポリシーを作成すると、DataFlowに不具合が発生するおそれがあります。詳細については、後述の「 PDPとDataFlow/DataFusion 」を参照してください。
このページのトップへ

DataFlowですべての行を管理する

重要: ユーザーやグループにDataSetのすべてのデータへの閲覧アクセスを許可し、データからDataFlowを作成することは許可したくない場合、[全ての行]ポリシーを使用することはできません。代わりに、Magic ETL DataFlowを使用できます。以下の手順に従います。
  1. DataSetの詳細ページから、 [開く:] > [Magic ETL] を選択します。
    open with magic etl.jpg
    DataSetは、Magic ETLキャンバスに入力DataSetとして表示されます。
  2. サイドバーで、 [ユーティリティ] タイルを展開します。 [定数を追加] タイルをキャンバスにドラッグし、このタイルを入力DataSetに接続して、キャンバスの下のタイルエディターを展開します。
    add constants.jpg
  3. タイルエディターのステップ1で、名前として「すべての行へのアクセス」と入力します。
  4. ステップ2のドロップダウンで、 [テキスト] を選択します。
  5. ステップ3で、定数の値として「はい」と入力します。
    add constants.jpg
  6. 出力DataSetを作成して、[定数を追加]タイルに接続します。
  7. 出力DataSetに名前を付けます。
  8. DataFlowに名前を付けて、保存します。DataFlowの出力DataSetタイルにPDPを追加する必要があります。後述の「 PDPとDataFlow/DataFusion 」を参照してください。
  9. Data Centerで出力DataSetの詳細に移動します。 [PDP] タブに進みます。
  10. [+ポリシーを追加] を選択して、新しい行を追加します。
  11. ポリシーに名前を付け、 [+データを追加] を選択して、 [データアクセスを追加] モーダルを開きます。
  12. [列名] ドロップダウンで [すべての行へのアクセス] を選択します。
  13. 検索バーで「はい」と入力して選択します。
    Screenshot 2024-05-13 at 6.06.42 PM.png
  14. [保存] を選択してモーダルを閉じます。
  15. このポリシーの [グループとユーザーを追加] オプションを使用して、完了したら [保存] を選択します。
  16. ポリシー行で、 [保存] を選択します。
    save policy.jpg
このページのトップへ

行のポリシーのフィルタータイプ

行のPDPポリシーを作成するときは、以下のフィルターのうち少なくとも1つを選択する必要があります。複数のフィルターを選択して複数のフィルターをかけたポリシーを作成できますが、一度に設定できるフィルターは1つのみです。
  • [シンプルなフィルター] — このフィルターを使用すると、特定の列の値にもとづいてポリシーを作成できます。 例:西部地域にポリシーを1つ作成し、東部地域に別のポリシーを作成する。DataSetには、「西部」と「東部」の値を持つ「地域」列が必要です。
  • [カスタムフィルター] — このフィルターを使用すると、1つ以上のルールを使用してポリシーのフィルターをカスタマイズできます。このフィルターは、ユーザーやグループに特定の日付範囲内のデータまたは特定のしきい値を超えたり下回ったりするデータのみを表示させる場合に適しています。 カスタムフィルターの場合は、ルールを設定する必要があります。使用可能なルールは以下の通りです。
    • は次よりも>(大きい):
    • は次よりも(小さい):
    • は次よりも≥(等しいかそれ以上):
    • は次よりも≤(等しいかそれ以下):
    • が次の範囲内:
    • 最初の文字(このルールでフィルターできるのはテキスト文字列です)
  • [管理対象の属性でフィルター] — このフィルターを使用すると、名前、メール、社員番号など、インスタンス内の管理対象の属性にもとづいてデータを動的にフィルターできます。属性および管理対象の属性の作成方法については、「 属性 」を参照してください。
このページのトップへ

行のポリシーを作成する

1つのDataSetに複数のポリシーを追加できますが、以下の手順に従って一度に1つずつ作成する必要があります。
  1. PDPインターフェースの [行のポリシー] タブに アクセス します。
  2. [+ポリシーを追加] を選択して、ポリシーリストに行を追加します。
    add policy.jpg
  3. 新しい行に、このポリシーを説明する名称を入力します。
    enter name.jpg
  4. 新しい行で [+データを追加] を選択して、 [データアクセスを追加] モーダルを開きます。
  5. モーダルの [列名] ドロップダウンで、フィルターに使用するDataSetの列を選択します。
    Screenshot 2024-05-13 at 12.00.35 PM.png
  6. [アクセスタイプ] ドロップダウンで、使用する フィルタータイプ を選択します。
    Screenshot 2024-05-16 at 3.49.22 PM.png
  7. (オプション)フィルターの大文字と小文字の区別を無効にするには、 [大文字と小文字を区別しない] チェックボックスをオンにします。
    ignore case.jpg
  8. フィルタータイプに応じて、以下の手順に従います。
    1. シンプルなフィルター
      1. [行の値を検索して追加する] フィールドで、フィルターを適用する行を検索して選択します。
      2. (オプション)この手順を繰り返して、フィルターに使用するすべての行を追加します。
      3. 完了したら、 [保存] を選択して変更を保持し、モーダルを閉じます。
        Screenshot 2024-05-13 at 12.14.57 PM.png
    2. カスタムフィルター
      1. [このルールと一致する値を含める] でフィルター条件を選択します。
      2. フィルター条件の右側で、値または文字列を入力するか、日付を選択して、条件を完成させます。 注記: [が次の範囲内:] 条件を選択した場合、2つのフィールドが表示されます。最初のフィールドは最小値または開始日、2番目のフィールドは最大値または終了日です。
      3. (オプション)ルールを追加するには、 [ルールを追加] を選択し、前の手順を繰り返してすべてのルールを追加します。
      4. 完了したら、 [保存] を選択して変更を保持し、モーダルを閉じます。
        Screenshot 2024-05-13 at 12.45.35 PM.png
    3. 管理対象の属性でフィルター
    注記: このフィルタータイプを機能させるには、管理者設定の[ガバナンス]の [属性] セクションで管理対象の属性をすべて有効にする必要があります。管理対象の属性については、 こちら を参照してください。
    1. [属性] ドロップダウンで、ダイナミックフィルターとして使用する管理対象の属性を選択します。
    2. 完了したら、 [保存] を選択して変更を保持し、モーダルを閉じます。
      Screenshot 2024-05-13 at 12.53.12 PM.png
  9. 新しいポリシー行の [グループとユーザーを追加] を選択し、 [グループとユーザーを追加] モーダルを開きます。
    add groups and people new.jpg
  10. モーダルで、ラジオボタンを選択します。オプションは以下の通りです。
    • 特定のグループとユーザーを選択
    • DataSetにアクセスできる全てのユーザーを含める
  11. (条件付き)特定のグループやユーザーを選択する場合は、それらを検索して選択します。可能な場合はグループを使用して、グループメンバーが入れ替わるとアクセスが動的に変更されるようにすることを推奨します。
    Screenshot 2024-05-10 at 4.08.49 PM.png
  12. [保存] を選択して変更を保持し、モーダルを閉じます。
  13. ポリシー行で、 [保存] を選択します。
    save policy.jpg
これで行のポリシーが作成されました。ポリシーを有効にする前に、行のフィルタリングのPDPを 有効にする 必要があります。 このページのトップへ

設定したPDPをプレビューする

ポリシーを作成した後、DataSetへの影響をプレビューできます。ポリシーを有効にする前に、データをプレビューすることを推奨します。
  1. ポリシーリストで、プレビューするポリシーの行にマウスポインターを合わせ、 [プレビュー] を選択します。
    preview policy.jpg
    データのプレビューが表示されます。
    Screenshot 2024-05-13 at 2.52.00 PM.png
  2. (条件付き)管理対象の属性でフィルターをかける場合は、プレビューのドロップダウンからユーザーを選択して、そのユーザーにおけるデータの見え方を確認できます。
    Screenshot 2024-05-21 at 1.49.56 PM.png
  3. プレビューを閉じるには、 [終了] を選択します。

PDPポリシーが複数ある場合のAND/ORロジック

同じDataSetの複数のポリシーにユーザーやグループを追加することもできます。これを行うには、新しいポリシーを追加し、適切なフィルターを選択して、必要なユーザーまたはグループを追加します。同じDataSetの別々のポリシーはORロジックと見なされます。2つ以上の値を持つ1つのポリシーはANDロジックと見なされます。ユーザーやグループが必要なデータをすべて表示できるようにするには、AND/ORロジックを設定することが重要です。

ORロジック

ユーザーを2つの別々のポリシーに追加すると、DomoはこれらをORロジックとして処理します。データの任意の行がいずれかのフィルターを通過すると、そのユーザーはその行を閲覧することができます。 例えば、ユーザーAが製品ラインにもとづくポリシーに追加されており、製品ラインが「キャンプ用品」であるすべての行を閲覧できるとします。 次に、ユーザーAが注文方法にもとづくポリシーに追加されると、注文方法が「ウェブ」であるすべての行も閲覧できるようになります。 ユーザーAがこのデータにもとづいてカードを閲覧する場合、ユーザーは、これらのポリシーの1つのみに割り当てられている場合よりも多くのデータにアクセスできます。注文方法が「ウェブ」である任意の製品ラインの行も、製品ラインが「キャンプ用品」である任意の注文方法の行も閲覧できるということです。

ANDロジック

製品ラインに「キャンプ用品」、注文方法に「ウェブ」というように2つの値を同じポリシーに追加すると、DomoはこれらをANDロジックとして処理します。データは、両方の値を満たす場合にのみフィルターを通過します。 つまり、ユーザーAがこのポリシーに追加されている場合、製品ラインが「キャンプ用品」で、かつ注文方法が「ウェブ」の場合にのみデータを閲覧できます。 このページのトップへ

行のポリシーを削除する

PDPインターフェースの [行のポリシー] タブ内から行のポリシーを削除できます。ポリシーを削除すると、そのポリシーはアラートやDataFlowなどのDataSetで作成されているアセットには適用されなくなります。
注記: [全ての行]ポリシーは削除できません。
  1. [行のポリシー] または [列のポリシー] タブに アクセス します。
  2. それぞれのポリシーリストで、削除するポリシーにマウスポインターを合わせて [削除] を選択します。
  3. 確認ダイアログで、 [削除] を選択します。 注記: この操作を取り消すことはできません。
    Screenshot 2024-05-13 at 4.56.06 PM.png
このページのトップへ

列のポリシー(ベータ版)

[列のポリシー] タブでは、ルール化したポリシーを使用して列のマスクを有効にできます。フィールド内のデータの一部またはすべてを非表示にして、個人を特定できる情報(PII)などの機密情報を非認証ユーザーから保護するための様々なマスクスタイルがあります。 以下の用語の定義に注意してください。
  • 列のポリシー — 列のポリシーは、ユーザー/グループに適用するマスクスタイルを定義します。
  • マスクスタイル — マスクスタイルは、特定の列およびユーザー/グループに対して情報を非表示にする方法を制御します。
    重要: DataSetの所有者は、すべてのデータにアクセスできるため、マスクを適用した後も、引き続きすべてのデータを閲覧することができます。ユーザーまたはグループで「DataSetを管理」の許可が有効になっている場合、ユーザーまたはグループがマスクポリシーに追加されているかどうかにかかわらず、これらのユーザーも引き続きすべてのデータ値をマスクされていない状態で閲覧できます。
この記事では、まず使用可能なマスクスタイルについて説明します。次に、 列のポリシー を作成する方法について説明します。

マスクスタイル

マスクスタイルは、特定の列で情報がマスクされているときに表示される内容を制御します。以下のマスクスタイルを使用できます。
  • [ハッシュ] — ハッシュに使用可能なアルゴリズムから選択できます。 例: e09c80c42f
  • [最初のNを表示] — 最初の文字から何文字表示するかを選択できます。マスクの長さと マスク文字 を定義できます。 例(表示する文字1文字、マスクの長さ5文字、マスク文字ハイフン): a-----
    Screenshot 2024-05-13 at 7.33.46 PM.png
  • [最後のNを表示] — 最後の文字から何文字表示するかを選択できます。マスクの長さと マスク文字 を定義できます。 例(表示する文字3文字、マスクの長さ5文字、マスク文字アスタリスク): *****com
  • [秘匿化する] — 情報を完全にマスクできます。マスクの長さと マスク文字 を定義できます。マスクの長さを定義すると、その長さにもとづいて値を推測することができなくなります。
  • [見れる状態] — ポリシーに含まれるすべてのユーザーにすべての列データを表示します。
    重要: DataSetの所有者は、すべてのデータにアクセスできるため、マスクを適用した後も、引き続きすべてのデータを閲覧することができます。ユーザーまたはグループで「DataSetを管理」の許可が有効になっている場合、ユーザーまたはグループがマスクポリシーに追加されているかどうかにかかわらず、これらのユーザーも引き続きすべてのデータ値をマスクされていない状態で閲覧できます。

マスク文字

使用可能なマスク文字は以下の通りです。
  • アスタリスク(*)
  • ハイフン(-)
  • クエスチョンマーク(?)
  • ハッシュタグ(#)
このページ のトップへ

列のポリシーの設定

列のポリシーとは、様々なユーザーまたはグループのデータ列にマスクスタイルを割り当てる方法です。列のポリシーを作成した後は、ポリシーを有効にするために、[PDPを 有効にする (列マスク)]を選択する必要があります。 DataSetには、最大20の様々な列のポリシーを設定できます。
Screenshot 2024-05-16 at 8.58.22 PM.png

列のポリシーを作成する

以下の手順で新しい列のポリシーを作成します。
  1. PDPインターフェースの [列のポリシー] タブに アクセス します。
  2. [+新しいポリシー] を選択して、ポリシーエディターを開きます。
  3. (条件付き)デフォルトの [グループとユーザー] ルールにマスクスタイルを選択して定義します。ポリシーエディターには、デフォルトの [グループとユーザー] ルールが表示されます。このポリシーは、DataSetへのアクセス権があるすべてのユーザーに適用されます。このDataSetに列のポリシーを初めて作成する場合は、このデフォルトのポリシーにマスクスタイルを選択して定義できます。詳しくは、「 マスクスタイル 」を参照してください。
    Screenshot 2024-05-16 at 7.05.28 PM.png
  4. [ポリシー名] フィールドに、新しいポリシーを説明する名称を入力します。
  5. [+ルールを追加] を選択します。
  6. 新しいポリシーの [グループとユーザーを追加] を選択します。
  7. ポリシーに含めるグループとユーザーを検索して選択します。
  8. [マスクスタイル] ドロップダウンで、マスクスタイルを選択して定義します。詳しくは、「 マスクスタイル 」を参照してください。
    define masking stylw.jpg
  9. (オプション)ポリシーに追加する必要があるユーザーまたはグループが異なる表示要件を持っている場合は、それぞれのユーザーまたはグループに対してステップ5~8を繰り返します。
注記: ユーザーにルールが適用される場合、これらのルールはそれより下位のルールを上書きします。
  1. ポリシーへのルールの追加が完了したら、以下に説明するいずれかの保存オプションを選択します。いつでも [キャンセル] を選択して、変更を保存せずにポリシーエディターを閉じることができます。
    save options.jpg
    • [保存] — [列のポリシー] タブの使用可能なポリシーにポリシーを保存します。
      available policies.jpg
    • [コピーとして保存] — [列のポリシー] タブの使用可能なポリシーに、ポリシーを別のポリシーのコピーとして保存します。いずれかの名前を変更しないと、同じ名前になります。 [編集] を選択して、ポリシーエディターを再度開き、名前を変更します。
      Screenshot 2024-05-16 at 8.12.49 PM.png
ポリシーを作成したら、 ポリシーを列に適用 できます。 このページ のトップへ

列のポリシーを編集する

  1. PDPインターフェースの [列のポリシー] タブに アクセス します。
  2. 使用可能なポリシーを表示し、更新するポリシーで [編集] を選択します。 ポリシーエディターが開きます。
    available policies.jpg
  3. 必要に応じて、エディターでポリシー名を更新します。
  4. ポリシーを適用するユーザーとグループに変更を加えます。
    Screenshot 2024-05-16 at 8.27.32 PM.png
  5. 必要に応じてルールを追加します。
  6. 各ルールのマスクスタイルを定義します。
  7. 保存オプション のいずれかを選択するか、 [キャンセル] を選択して変更を保存せずにポリシーエディターを閉じます。
このページのトップへ

列のポリシーを削除する

  1. PDPインターフェースの [列のポリシー] タブに アクセス します。
  2. 使用可能なポリシーを表示し、更新するポリシーで [編集] を選択します。 ポリシーエディターが開きます。
    available policies.jpg
  3. [削除] を選択します。
    delete policy.jpg
    確認ダイアログが表示されます。
    重要: ポリシーが特定の列を現在マスクしている場合は、ポリシーを削除できません。ポリシーを削除する前に、列を削除するか、列のポリシーを更新する必要があります。
    Screenshot 2024-05-16 at 8.37.39 PM.png
  4. [削除] を選択して、ポリシーを削除します。この操作を取り消すことはできません。 [キャンセル] を選択すると、ポリシーが保持され、エディターが再度開きます。
    Screenshot 2024-05-16 at 8.34.57 PM.png
このページのトップへ

列にポリシーを適用する

重要: DataSetの所有者は、すべてのデータにアクセスできるため、マスクを適用した後も、引き続きすべてのデータを閲覧することができます。ユーザーまたはグループで「DataSetを管理」の許可が有効になっている場合、ユーザーまたはグループがマスクポリシーに追加されているかどうかにかかわらず、これらのユーザーも引き続きすべてのデータ値をマスクされていない状態で閲覧できます。
ポリシーを作成したら、以下の手順に従って列に適用します。
  1. PDPインターフェースの [列のポリシー] タブに アクセス します。
  2. [+列を追加] を選択して、新しい列の行を列リストに追加します。
    add column.jpg
  3. 新しい列の行の [列] ドロップダウンで、マスクする列を選択します。 列を選択すると、 [列のタイプ] のデータタイプが自動的に読み込まれます。
    select column.jpg
  4. [ポリシー名] を入力するには、使用可能な既存のポリシーから長丸をドラッグするか、列の行の [+ポリシーを追加] を選択して、 [列のポリシーを選択] モーダルを開き、既存の列のポリシーを選択するか、 新しいポリシーを作成 します。
    Screenshot 2024-05-16 at 8.53.52 PM.png
  5. (条件付き) [列のポリシーを選択] モーダルを表示して既存のポリシーを選択している場合は、 [選択] を選択してモーダルを閉じ、ポリシーを割り当てます。
  6. 新しいポリシーまたは既存のポリシーを割り当てた後、 [保存] を選択して列の行を確定します。
    save column row.jpg
    列のポリシーをテストする: 列のポリシーを作成して適用した後、マスクされたデータを表示するユーザーとしてログインして、ポリシー設定をテストします。
このページのトップへ

列のポリシーを変更する

列のポリシーを変更するには、既存のポリシーを [ポリシー名] エリアにドラッグするか、 現在のポリシーを削除 して、 新しいポリシーを作成する 手順に従います。
drag sensitive.jpg

列マスクを削除する

ポリシーを削除せずに列からマスクを削除するには、以下の手順に従います。
  1. 列の行にマウスポインターを合わせて、 [削除] を選択します。 確認ダイアログが表示されます。
    delete column.jpg
  2. 確認ダイアログで、 [削除] を選択して、列からマスクを削除します。この操作を取り消すことはできません。 [キャンセル] を選択すると、ダイアログが閉じ、現在のマスクが保持されます。
    Screenshot 2024-05-16 at 9.12.10 PM.png

このページのトップへ

使用例 — 行のポリシー

この使用例では、DataSetの行のポリシーがDataSetで作成されているカードにどのように影響するかを示しています。DataSetの例では、地域(東部と西部)にもとづいて、米国全体の売り上げを追跡しています。データは、米国のマップを使用して表示されます。デフォルトでは、PDPポリシーが設定されていないため、DataSetのすべてのデータが以下のように表示されます。
Screenshot 2024-05-16 at 5.10.38 PM.png
K社の営業マネージャーは、各地域の営業担当者に必要なデータのみを閲覧してもらいたいと考えています。すべての営業担当者がDomoの「K東部」、「K西部」、「K南部」、「K中部」の4つのグループのいずれかに属しているため、対応する地域にフィルターされているポリシーに各グループを関連付ける必要があります。 営業マネージャーは東部地域と西部地域の2つの行のポリシーを作成し、各ポリシーでシンプルなフィルターを使用します。各ポリシーは「地域」を列とし、それぞれ「西部」または「東部」のいずれか1つの値を持ちます。K南部とK中部にはまだポリシーがありません。 次に、営業マネージャーは、K東部グループを東部地域ポリシーに、K西部グループを西部地域ポリシーに追加します。その後、営業マネージャーは行のフィルタリングでPDPを有効にします。 営業マネージャーの [行のポリシー] タブは以下のように表示されます。
Screenshot 2024-05-16 at 5.48.12 PM.png
これらの行のポリシーを設定すると、各グループのメンバーには自分に割り当てられたデータのみが表示されます。K西部グループのメンバーには、カードは以下のように表示されます。
Screenshot 2024-05-16 at 5.58.27 PM.png
「西部地域」の州のデータのみが表示されています。また、チャートの合計もPDPポリシーを反映して変更されており、タイトルの近くには PDPスタンプが表示され、このビューがPDPによりフィルターされたデータバージョンであることを示しています。 営業マネージャーはK中部やK南部グループのポリシーを作成しなかったため、カードにアクセスしようとしているK中部やK南部グループのメンバーには、カードへのアクセス権をリクエストするオプションが表示されます。また、DataSetの所有者に、関連データの閲覧を許可するのに必要な行のポリシーの作成を依頼することもできます。
Screenshot 2024-05-16 at 6.07.24 PM.png

このページのトップへ

動的PDP

動的PDPはシンプルPDPを基盤としており、データ権限を管理するためのより高度で柔軟なソリューションを提供します。動的PDPでは属性に基づいてリアルタイムで権限が調整されます。すなわち、ユーザー属性やデータコンテキストの変更に応じてデータへのアクセス権も変更され、ポリシーを手動で更新したり再設定したりする必要がありません。

IdPと管理ツールキットを使用する

Domoで動的PDPを活用するには、接続されたアイデンティティープロバイダー(IdP)との統合を動的にソーシングおよび更新するか、Domo管理ツールキットを使用します。ツールキットには、属性を管理するための手動オプションと自動オプションの両方が用意されています。 IdPを使用すると、ユーザー権限やその他の属性の変更がDomoでリアルタイムに反映されます。管理ツールキットを使用すると、Domoプラットフォーム内で属性の更新を正確に制御し、自動化できます。 IDPを使用した属性のソーシングの詳細については、 こちら を参照してください。 管理ツールキットを使用して属性を割り当てる方法については、 こちら を参照してください。

属性およびセットの設定

ソーシングされた属性を動的PDPで使用するには、事前にDomoで設定しておく必要があります。属性の設定の詳細については、 こちら を参照してください。 動的PDPポリシーは、手動または自動で作成できます。PDPポリシーの自動作成と管理の詳細については、「 PDPの自動化 」を参照してください。

このページのトップへ

PDPとDataFlow/DataFusion

DataFlowまたはDataFusionの作成に使用するDataSetでPDPポリシーを設定する前には、以下の検討事項に注意してください。
DataFlowに関する検討事項
入力DataSetにPDPが適用されたDataFlowは、以下のいずれかに該当する場合にのみ機能します。
  • 自分が管理者であるか、「DataFlowを管理」の許可が有効なカスタマイズされた権限を持っている
  • 自分がDataSetの所有者である
  • DataSetの [全ての行]ポリシー に自分のユーザーアカウントが追加されている
以下のいずれにも該当しない場合は、DataFlowに不具合が発生します。この場合、DataFlowの出力DataSetに任意のPDPを適用する必要があります。入力DataSetに適用されているPDPによりDataFlowに不具合が発生している場合は、 [インパクト] ツールで[全ての行]ポリシーに所有者を追加することで修正できます。
DataFusionに関する検討事項
DataFusionでは、PDPを入力と出力の両方のDataSetに適用できます。 PDPを有効にした1つ以上のDataSetを含むDataFusionを作成する場合は、それらのDataSetの[全ての行]ポリシーに自分のユーザーアカウントが追加されている必要があります。 DataFusionの所有者が、PDPが有効な1つ以上の入力DataSetへのアクセス権を失うと、DataFusionは無効になります。 PDPポリシーが有効になっている1つ以上の入力DataSetを使ってDataFusionを作成すると、これらのポリシーは出力DataSetにも組み込まれます。 詳細については、「 DataFusion 」を参照してください。

このページのトップへ

よくある質問

いいえ。この操作はサポートされていません。
いいえ、これは設計上のものです。

このページのトップへ

日本語