アクセス制御
Pega Platform™は、セキュリティーレコードの設定を簡素化するためにAccess Managerを提供しています。 Access Managerの使いやすいインターフェイスを使ってアプリケーションのセキュリティーを管理できます。 Access Managerを使用すると、ケースの作成、ケースの削除、レポートの実行などの基本タスクの実行に必要な権限をすばやく設定および削除できます。 特定のアクセスグループに関連付けられているアクセスロールに対して、権限を設定します。
アクセスグループに複数のロールがリストされている場合は、Pega Platformによって、リストされているすべてのロールで最も許容的な設定が適用されます。 たとえば、Managerのロールにはレポートを実行する権限がありますが、Userのロールにはこの権限がありません。 ManagerアクセスグループにManagerのロールとUserのロールの両方が含まれている場合、アクセスグループのすべてのメンバーがレポートを実行できます。
ケースタイプのアクセス制御は2種類のレコードで管理でき、Access Managerから編集できます。
- ARO(オブジェクトに対するロールのアクセス)レコードは、特定のアクセスグループのメンバーに対して、特定のクラスのアイテムに対する権限を指定するために使用されます。 AROを「No Access」に設定すると、ユーザーのアクセスが拒否されます。
- Access Denyレコードは規制やポリシーにより明示的な許可の拒否が必要な場合に、AROを上書きして明示的にアクセスを拒否するために使用されます。 Access Denyレコードにより、AROレコードがNo Accessに設定されている場合でも、追加のセキュリティーレイヤーが提供されます。
ヒント: クラスへのアクセスを拒否するには、システムレベルでPegaインスタンスごとに定義された権限にも依存します。 Access of Role to ObjectレコードおよびAccess Denyレコードの詳細については、詳細トピックを参照してください。
以下の図の+アイコンをクリックすると、Access Managerの詳細が表示されます。
アクセスコントロールとシステムタイプ
オンプレミス型のシステムでは、管理者がオペレーターのアクセス権や、ユーザーがシステムを変更する際の権限を定義できます。
では、許可された変更の種類を制御し、環境の目的を指定します。 たとえば、開発中に、デバッグをサポートするために、より許容的なアクセス制御をユーザーに構成する必要があることがあります。 ただし、本番システムでは、より限定的なアクセス制御が必要です。1~5までの尺度で権限を付与します。各値は、以下の表に示すように、見込まれる本番レベルに対応しています。 動作を拒否するには、値0を指定します。 アクセス制御値なしを除いて、アクセス制御値が本番レベル設定以上の場合にアクセスが許可されます。
本番レベル | 説明 |
---|---|
5 | 本番システム |
4 | ステージングシステム |
3 | 品質保証システム |
2 | 開発システム |
1 | サンドボックスシステム |
0 | アクションの拒否 |
クラスに対するアクセスの拒否は、システムの本番レベルの値(1~5)と、特定のAccess Whenルールがtrueと評価されるかどうかによって異なります。 Access Managerでアクセス制御設定を更新すると、Pega PlatformによってAccess of Role to ObjectレコードまたはAccess Denyレコードが値0または5で更新されます。 これらのレコードに直接アクセスし、アクセス制御レベルを0または5以外で指定します。 Access Managerは、現在のシステムでのアクセスレベルを示します。
たとえば、ケースタイプのインスタンスを削除するために、Authorsのアクセス制御レベルを2に設定するとします。 開発システムでは、AccessManagerはFull Accessを示します。 本番システムでは、Access ManagerはNo Accessを示します。 これにより、開発やリリースのサイクル全体を通じて、アプリケーションの移行時に権限をリセットする必要がなくなります。
以下のインタラクションで理解度をチェックしてください。