認証と承認

認証は、アプリケーションにアクセスできるユーザーを管理し、アプリケーションの安全性を確保するPega最大のセキュリティ手段です。

Pega Platformの認証は、検証されたIDを持つユーザーとシステムのみが、アプリケーション、ウェブページ、API、データにアクセスできるようにします。 アプリケーションでの認証には、ユーザーのログイン情報の検証、外部サービスへのPega Platformリクエスト、Pega Platformへの外部サービスリクエストが含まれます。

ユーザーがアプリケーションにアクセスする前に、システムがユーザーのログイン情報を認証する必要があります。一般的に、これらのログイン情報は、オペレーターID（通常はユーザーのメールアドレス）と一意のパスワードで構成されています。

組織のセキュリティ要件に応じて、アプリケーションはより堅牢な認証サービス（SAML 2.0、OpenID Connect、トークンログイン情報など）を実装して、シングルサインオン（SSO）ソリューションを実装できます。SSOソリューションは、ユーザーがさまざまなシステムやアプリケーションにアクセスする際にログイン情報が繰り返し要求されないようにします。多要素認証などのポリシーを実装するように認証サービスルールを設定することで、アプリケーションのセキュリティが向上します。

認証は、アプリケーションにアクセスできるユーザーを管理します。承認は、ユーザーがアプリケーションにアクセスした後に実行できる機能を管理します。

承認モデルは、ユーザーがPega Platform™アプリケーションの特定の機能に対して持つアクセス権を定義します。たとえば、ユーザーが実行時にデータを表示したり、特定のアクションを実行したりする権限を制限できます。 設計時にルールを作成、更新、または削除することを制限したり、Tracerツールなどの特定のアプリケーション開発ツールへのアクセスを決定したりする、ビジネスアーキテクトやシステムアーキテクトの機能を制限できます。

Pega Platformでは、次の3つの補完的な承認モデルが提供されています。

• ロールベースのアクセス制御（RBAC）： RBACは、ユーザーをロールごとに組織し、各ロールに適切な権限を割り当てて制御するアクセス制御モデルです。 
• 属性ベースのアクセス制御（ABAC）：ABACは、そのオブジェクトの特性とアクセスをリクエストするユーザーの属性を比較することで、特定のユーザーがオブジェクト（ケース、フィールド、またはドキュメント）にアクセスできるかどうかを判断するアクセス制御モデルです。
• クライアントベースのアクセス制御（CBAC）： CBACは、EUのGDPRや類似の規制で必要なデータなど、アプリケーション全体でPega Platformが保持する個人的な顧客データの閲覧、更新、または削除の要求を追跡し、処理にすることに重点を置いています。 

Pegaビジネスアーキテクトとして、アプリケーションを操作するすべてのペルソナ、ペルソナが担当するタスクとプロセス、およびPIIやその他の規制要件により、ペルソナが閲覧できる情報、閲覧すべきでない情報について理解する必要があります。情報が記録されると、プロジェクトLSAは、収集した情報を使用して、アプリケーション、組織、および顧客を保護するために必要な認証と承認を設定します。

次の問題に答えて、理解度をチェックしましょう。