はじめに
Oracle Analytics Cloud(OAC)では、データセットに対してアクセス権限を設定できます。
もし、ワークブックで使用されているデータセットにアクセス権限がなかった場合、どのような振る舞いをするのでしょうか?
- Excelベースのデータセットを使用してワークブックを作成、データセットに権限のないユーザーにどのように見えるか?
- サブジェクト領域からワークブックを作成、サブジェクト領域の一部に権限のないユーザーにどのように見えるか?
の2点を試してみました。
1. ユーザーとアプリケーション・ロール
検証に使用した、ユーザーとアプリケーション・ロールの関係です。
| ユーザー | 明示的に所属するアプリケーション・ロール |
|---|---|
| user1 | DV Content Author, Custom Role 1 |
| user2 | DV Content Author, Custom Role 1 |
| user3 | DV Content Author, Custom Role 2 |
user1とuser2は同じアプリケーション・ロールに所属しています。
user3はDV Content Authorに所属しているのは同じですが、Custom Role 1 ではなく Custom Role 2 に所属しています。
2. データセットに対するアクセス権限
Custom Role 1にだけ、「読取り専用」アクセス権を設定しました。
3. サブジェクト領域に対するアクセス権限
サブジェクト領域の特定の列に対するアクセス権です。
「社員」フォルダの「職種」列では、表へのアクセス権の継承を取りやめます(「表と同じ権限」をオフにする)。
明示的に Custom Role 1 への読取り権限と、Custom Role 2 と Authenticated User へのアクセス不可を設定します。
他の列に対しても、少しづつ設定を変えて権限をセットします。
「マネージャ」列では、Custom Role 2 にアクセス不可を設定します。
「給与」列では、Custom Role 1 に読取り専用アクセス権を設定します。
「コミッション」列では、Custom Role 1 に読取り専用アクセス権を、Authenticated Userにアクセス不可を設定します。
まとめると、こうなります。
| オブジェクト | 権限 |
|---|---|
| サブジェクト領域 | デフォルト |
| 「社員」フォルダ | デフォルト |
| 「職種」列 | Custom Role1:読み取り専用、Custom Role 2:アクセス不可、Authenticated User:アクセス不可 |
| 「マネージャ」列 | Custom Role 2:読み取り専用 |
| 「給与」列 | Custom Role 1:読み取り専用 |
| 「コミッション」列 | Custom Role1:読み取り専用、Authenticated User:アクセス不可 |
設定変更したので、デプロイします。
4. アクセス権限の有無による見え方の違い
準備ができたので、ワークブックを作成します。
4.1 データセットにアクセス権限がない場合
user1でログインし、Custom Role 1 に読取りアクセス権を設定したデータセットでワークブックを作成します。
共有フォルダに保存します。
4.1.1 同じ権限の別のユーザーでワークブックを開く
ログアウトし、user2でログインし直します。
保存したワークブックを確認します。
user1とは共通のアプリケーション・ロールに所属し、共有フォルダにもアクセス権限があるので保存したワークブックが見えています。
開きます。
user1の作成したワークブックが表示されます(保存したときの状態です)。
user2はログアウトします。
4.1.2 別の権限のユーザーでワークブックを開く
user3としてログインします。
共有フォルダへのアクセス権はあるので、ワークブックは見えています。
開いてみます。
ワークブックで使用されているデータセットへのアクセス権限がないので、このようなメッセージが表示されました。
ワークブックは開けましたが、何も表示されませんでした。
4.2 サブジェクト領域にアクセス権限がない場合
続いて、もう一度 user1 でログインし直して、サブジェクト領域を使用してワークブックを作成します。
user1の権限では、このように見えます。
表ビジュアライゼーションを作成し、名前を付けて共有フォルダに保存します。
4.2.1 同じ権限の別のユーザーでワークブックを開く
user2でログインします。
先程の結果からも予想されますが、別のユーザーで保存したときと同じように開くことができました。
4.2.2 別の権限のユーザーでワークブックを開く
user3でログインします。
新しいワークブックでサブジェクト領域を開くと、このようになりました。
「職種」と「コミッション」が表示されません。
user3は、Custom Role 2に所属しています。
Custom Role 2に対して明示的に読取りが許可されているか、上位からAuthenticated Userの読取りアクセス権を継承している列が表示されます。
「アクセスなし」を設定し上位からの継承を上書きしている列は表示されません。
すべてのアプリケーション・ロールは、Authenticated Userに割り当てられた権限を継承します。
そして、サブジェクト領域やプレゼンテーション・フォルダには、デフォルトでAuthenticated Userに読取り権限があります。
ワークブックを開きます。
権限のある列だけが表示されました。
おわりに
アプリケーション・ロールを通じた権限設定は強力ですが、場当たり的な設定を繰り返すと誰がどこに権限を保持しているのかわかりにくくなりますので注意しましょう。