ロールベースのアクセス制御（RBAC）

従業員の昇給を承認するためのアサインメントを含む、従業員レビューのプロセスについて考えてみましょう。アサインメントは人事部のすべてのメンバーがアクセスできる共通のワークキューにルーティングされます。ステークホルダーは、昇給などの従業員の給与情報を非公開にすることを望んでいます。給与データにアクセスできるのは人事部のメンバーのみである場合があります。 人事部の特定のメンバーに権限を付与することで、個人識別情報（PII）への不正アクセスの可能性を減らすことができます。

PIIへのアクセスを制限する要件を満たすために、ロールベースのアクセスコントロール（RBAC）を実装できます。RBACは、ユーザーをロールごとに組織し、各ロールに適切な権限を割り当てて制御するアクセス制御モデルです。RBACでは、給与情報にアクセスできる人事部のメンバーに対してロールを作成し、そのロールに従業員の昇給を承認する権限を付与することができます。権限を付与されていない他のロールのユーザーは、昇給を承認することはできません。

認証と承認

Pega Platform™でのロールベースのアクセス制御は、認証と承認という2つの要素に基づいて実装されます。

• Authentication（認証）は、ユーザー名やパスワードなどのログイン情報を検証することで、ユーザーの身元を確認します。Pega Platformでは、ユーザーを認証するために必要な情報がオペレーターIDに含まれています。
• Authorization（承認）は、ユーザーが実行できるアクションや閲覧できる情報など、ユーザーがアクセスできるアプリケーションを決定します。Pega Platformでは、アクセスグループのレコードには、アクセスグループのメンバーに割り当てられた承認済みのアプリケーションとロールが一覧表示されます。

ユーザーがサインインすると、Pega Platform™ではユーザーのデフォルトアクセスグループが識別され、指定されたポータルに対応するアプリケーションが開かれます。ユーザーは複数のアクセスグループに所属できますが、一度にアクティブにできるアクセスグループは1つに限られます。

次の画像では、「+」アイコンをクリックすると、Pega Platformで認証と承認を使用して、ユーザーのサインイン時にオープンする適切なアプリケーションとポータルを識別する方法について確認できます。

RBACモデルにより、アクセス制御のニーズを満たす動作の設定に使用されるいくつかのタイプのレコードが提供されます。

• Access Group – ユーザーグループで使用可能なアプリケーション、デフォルトポータル、および割り当てられたアクセスロールが識別されます
• Role – ロールに関連付けられたすべてのアクセスレコードのリストを維持管理します
• Access Deny – 特定の条件下でユーザーアクセスを制限します
• Access of Role to Object（ARO） – ルールによりロールとアクセスクラスに付与されるアクセス許可が指定されます
• Class – 他のクラスまたはクラスのインスタンスに利用できるオブジェクトのコレクションを定義します
• Privilege – アクセスロールとセキュリティが必要なルールを関連付けます
• Rule – 構成要素となることでアプリケーションのパーツの動作を定義します

次の画像で「+」のアイコンをクリックすると、各タイプのアクセスコントロールレコードに関する詳細を学習できます。