ロールベースのアクセス制御(RBAC)
アプリケーションとデータのセキュリティーは、データ侵害による顧客の喪失、法的処罰や罰金が生じるリスクがあるため、大きな関心事となっています。 アプリケーションの機能へのユーザーのアクセスを制御することで、一般的なセキュリティー要件を満たすことができます。
ロールベースのアクセス制御モデル
従業員の昇給を承認するためのアサインメントを含む、従業員レビューのプロセスについて考えてみましょう。 アサインメントは人事部のすべてのメンバーがアクセスできる共通のワークキューにルーティングされます。 ステークホルダーは、昇給などの従業員の給与情報を非公開にすることを望んでいます。 そのため、給与データにアクセスできるのは人事部のメンバーのみです。 人事部の特定のメンバーに権限を付与することで、個人識別情報(PII)への不正アクセスの可能性を減らすことができます。
PIIへのアクセスを制限する要件を満たすために、ロールベースのアクセスコントロール(RBAC)を実装できます。 RBACは、ユーザーをロールごとに組織し、各ロールに適切な権限を割り当てて制御するアクセス制御モデルです。 RBACでは、給与情報にアクセスできる人事部のメンバーに対してロールを作成し、そのロールに従業員の昇給を承認する権限を付与することができます。 権限を付与されていない他のロールのユーザーは、昇給を承認することはできません。
認証と承認
Pega Platform™でのロールベースのアクセス制御は、認証と承認という2つの要素に基づいて実装されます。
- Authentication(認証)は、ユーザー名やパスワードなどのログイン情報を検証することで、ユーザーの身元を確認します。 Pega Platformでは、ユーザーを認証するために必要な情報がオペレーターIDに含まれています。
- Authorization(承認)は、ユーザーが実行できるアクションや閲覧できる情報など、ユーザーがアクセスできるアプリケーションを決定します。 Pega Platformでは、アクセスグループのレコードには、アクセスグループのメンバーに割り当てられた承認済みのアプリケーションとロールが一覧表示されます。
ユーザーがサインインすると、Pega Platform™ではユーザーのデフォルトアクセスグループが識別され、指定されたポータルに対応するアプリケーションが開かれます。 ユーザーは複数のアクセスグループに所属できますが、一度にアクティブにできるアクセスグループは1つに限られます。
次の図の「+」アイコンをクリックすると、Pega Platformで認証と承認を使用して、ユーザーのサインイン時にオープンする適切なアプリケーションとポータルを識別する方法について確認できます。
ロールベースのアクセス制御のレコードタイプ
RBACモデルにより、アクセス制御のニーズを満たす動作の設定に使用されるいくつかのタイプのレコードが提供されます。
- Access group – ユーザーグループで使用可能なアプリケーション、デフォルトポータル、および割り当てられたアクセスロールが識別されます
- Role – ロールに関連付けられたすべてのアクセスレコードのリストを維持管理します
- Access Deny – 特定の条件下でユーザーアクセスを制限します
- Access of Role to Object(ARO) – ルールによりロールとアクセスクラスに付与されるアクセス許可が指定されます
- Class – 他のクラスまたはクラスのインスタンスに利用できるオブジェクトのコレクションを定義します
- Privilege – アクセスロールとセキュリティーが必要なルールを関連付けます
- Rule – 構成要素となることでアプリケーションのパーツの動作を定義します
次の画像で「+」のアイコンをクリックすると、各タイプのアクセスコントロールレコードに関する詳細を学習できます。
以下のインタラクションで理解度をチェックしてください。
このトピックは、下記のモジュールにも含まれています。
- アクセス制御 v3