認可ポリシーの設定
ロールベースのアクセス制御(RBAC)と属性ベースのアクセス制御(ABAC)の認証モデルは常に共存しています。 RBACは、アクセスグループに指定されたロールによってユーザーごとに定義され、RBACを補完するABACがオプションで追加されます。
RBACは通常、オペレーターがPegaアプリケーションを使用する際に確認するペルソナ(ユーザーロール)に関連するアクセス制御要件を指定するために使用されます。
- スティーブンは、コールセンター従業員です。Customer Serviceアプリケーションの使用時にサービスケースを作成する権限が必要ですが、VIP顧客のアカウント変更を実行する権限は付与されていません。
- レベッカは、シニアアカウントマネージャーです。Customer Serviceアプリケーションの使用時にVIP顧客のアカウント変更を実行する権限が付与されています。
スティーブンとレベッカの組織ロールに応じて、Customer Serviceアプリケーションにおけるそれぞれの操作権限が決まります。 RBACでは、オペレーターに対し、監査証跡や添付ファイルなど特定のUIコンポーネントへのアクセスを制限したり、権限を使用してケースに実行する特定のアクションを制限したりできます。 また、RBACを使用すると、設計時にルールや、TracerおよびAccess Managerなどのアプリケーションツールへのアクセスを制限することもできます。
ABACは、ロールベースではなく、ユーザーに関する他の属性に基づいて、クラスの特定のインスタンスへのアクセスを制限するために使用されます。 たとえば、各オペレーターにはSecurity Classificationタグが付与され、それ自体でオペレーターがアクセスを許可されるデータに制限が適用される場合があります。
たとえば、上記のスティーブンとレベッカが使用したCustomer Serviceアプリケーションでは、5年以上前の顧客の住所履歴と社会保障番号を閲覧するには、AAAというアクセス権限が必要です。
- スティーブンのアクセス権限はAAAです。 スティーブンのペルソナ(ユーザーロール)のRBACでは、顧客がVIPである場合にアカウント変更の実行が禁止されていても、スティーブンがアプリケーションで顧客情報にアクセスする際は常に、全住所履歴と顧客の社会保障番号を閲覧する権限があります。
- レベッカのアクセス権限はBです。 レベッカには、5年前までの顧客の住所履歴のみを閲覧する権限があります。 レベッカのペルソナ(ロール)のRBACでは、VIP顧客のアカウントに変更を加えることができても、顧客の社会保障番号を閲覧する権限はありません。
上記のようにロールベース以外の条件で動作するアクセス制御ポリシーは、通常、ABACを使用して実装されます。 このポリシーは、レコードレベル(住所レコードの閲覧など)と属性レベル(顧客の社会保障番号の閲覧)の両方で適用できます。
RBACとABACがサポートするアクションを次の表に示します。
Action | 説明 | RBAC | ABAC |
---|---|---|---|
インスタンスを開く/読み取る | ケースを開き、レポートや検索でケースデータを表示する | X | X |
インスタンスのプロパティを読み取る | ユーザーに開くことができるケースでデータを制限する | X | |
インスタンスを発見 | ケースを開かずにケース内のデータにアクセスする | X | |
インスタンスを変更/更新 | ケースを作成し更新する | X | X |
インスタンスを削除 | ケースを削除し更新する | X | X |
レポートを実行 | レポートを実行する | X | |
アクティビティの実行 | アクティビティを実行 | X | |
ルールを開く | ルールを開いて表示する | X | |
ルールを変更 | ルールを作成し更新する | X | |
権限 | 指定された権限を必要とするルールを実行する | X |
RBACを設定するには、Access Managerを使用します。 アクセス制御ポリシーとAccess Control Policy Conditionルールを実装してABACを設定すると、Access Whenルールを参照できるようになります。
このトピックは、下記のモジュールにも含まれています。
- 承認スキームの定義 v3