認証設計の考慮事項
アクセス権限とは、アプリケーション内でユーザーの操作やコンテンツの表示を可能にすることです。 一般的には、ジョブの実行に最小限必要なアクセス権が付与されます。 このルールは、エンドユーザーおよび開発者の両方に適用されます。
承認スキームを設計する場合は、次の操作を行います。
- セキュリティを確保するためのアクセスロール、権限、および属性のマトリックスを作成します。 承認スキームの中で、ロールベースのアクセス(RBAC)と属性ベースのコントロール(ABAC)を使用する場所を決定します。 RBACとABACの詳細については、AuthorizationについてのPega Communityの記事をご覧ください。
- レポート、添付ファイル、およびバックグラウンドプロセスのセキュリティを定義します。 エージェントなどのバックグラウンドプロセスには、関連するアクセスグループが必要です。
- ケースタイプごとに必要な監査(履歴)のレベルを決定します。 必要な場合のみエントリーを書き込みます。 さもなければ、履歴テーブルの容量が大きくなりすぎるため、パフォーマンスに影響を与える可能性があります。
- 開発者ロールに必要なルール監査のレベルを決定します。
- 開発者が安全にアクセスできるようにします。 すべての開発者が管理者権限を持つべきではありません。 組織によっては、アクティビティルールやSQLコネクタールールを作成できる開発者が制限されている場合もあります。
- 開発者が他のユーザーのパスワードを更新できないようにします。
- アクセスグループを定義する際には、Deny Rule security modeを使用します。 組織によっては、Deny優先ポリシーを強制しているところもあります。 このモデルでは、ユーザーが特定の情報にアクセスするためには、明示的に権限を付与する必要があります。 設計中のアプリケーションに同様の要件がある場合は、各アクセスグループのRule security mode設定の利用目的を確認してください。 この設定の使用に関する詳細については、Pega Communityの記事、「Setting role privileges automatically for access group Deny mode」をご覧ください。
アプリケーションのセキュリティ設計と分析の重要性を理解することが必要不可欠です。 概要については、アプリケーションの設計を通して、Pega Platformアプリケーションのセキュリティチェックリストを参照してください。
このトピックは、下記のモジュールにも含まれています。
- 承認スキームの定義 v3
If you are having problems with your training, please review the Pega Academy Support FAQs.