Skip to main content

This documentation is for an older version of this product. See the latest version of this content.Opens in a new tab

Business Intelligence のセキュリティの設定

Business Intelligence の実装プロジェクトでは、機能および Business Intelligence 項目へのアクセスを定義する必要があります。InterSystems IRIS® Business Intelligence には、基盤となるインターシステムズのセキュリティ・フレームワークに基づいた正規のメカニズムが備わっています。

この章では、ユーザが "承認ガイド" で説明されているインターシステムズのセキュリティを理解していることを前提としています。特に、リソースロール、およびユーザ間のリレーションシップを理解しているものとします。

Note:

InterSystems IRIS® を [最小のセキュリティ] オプションでインストールした場合 (また、その後セキュリティを強化しなかった場合)、UnknownUser ユーザは %All ロールに属し、Business Intelligence のすべての部分にアクセスできます。その場合、このページは無視してください。

Important:

また、Business Intelligence は Web アプリケーション内から使用する点にも注意してください。既定では、Web アプリケーションは、インターシステムズ・クラスのサブセットにアクセスできますが、これには %DeepSee クラスは含まれません。Web アプリケーションで Business Intelligence を使用するには、Analytics へのアクセスを明示的に有効化する必要があります。詳細は、"Web アプリケーションの設定" を参照してください。

セキュリティの概要

以下のテーブルは、Business Intelligence 内の要素の保護方法をまとめたものです。

要素 保護方法
Business Intelligence ユーザ・ポータル %DeepSee_Portal および %DeepSee_PortalEdit リソース
アナライザ %DeepSee_Portal%DeepSee_Analyzer、および %DeepSee_AnalyzerEdit リソース
アーキテクト %DeepSee_Portal%DeepSee_Architect、および %DeepSee_ArchitectEdit リソース
フォルダ・マネージャとキューブ・マネージャ %DeepSee_Portal および %DeepSee_Admin リソース
[MDX クエリツール] ページおよび [設定] ページ %DeepSee_Portal%DeepSee_Admin、および %Development リソース
[条件リスト・マネージャ] ページおよび [品質メジャー・マネージャ] ページ %DeepSee_Portal および %DeepSee_PortalEdit リソース
@リスト・グループ・マネージャ %DeepSee_ListingGroup%DeepSee_ListingGroupEdit、および %DeepSee_ListingGroupSQL リソース
キューブ、サブジェクト領域、リスト、リスト・フィールド、リスト・グループ、KPI、フォルダ、その他のフォルダ項目 (ダッシュボードやピボット・テーブルなど) カスタム・リソース (オプション)
品質メジャー 品質メジャーのパブリッシュ先であるキューブのユーザのみがアクセス可能 (追加のセキュリティなし)
条件リスト セキュリティ・オプションなし

詳細は、このページで後述する "Business Intelligence の一般的なタスクに関するセキュリティ要件" を参照してください。

基本要件

ユーザが Business Intelligence を使用する場合、このページの残りの部分で示す他の要件に加えて、以下の要件に当てはまる必要があります。

  • ユーザは、Business Intelligence が使用されるデータベースにアクセスできる必要があります。

    既定では、データベースを作成すると、InterSystems IRIS によって以下の操作が行われます。

    • データベース名 (%DB_database_name) に基づいた名前を持つリソースが作成されます。

    • そのリソースが新しいデータベースへのアクセスを制御するように設定されます。

    • そのリソースと同じ名前のロールが作成されます。そのロールは、リソースに対する読み取り/書き込み特権を持ちます。

      読み取り/書き込み特権がパブリックであるかどうかを指定できます。これらの特権は既定でパブリックになっていません。

    例えば、Business Intelligence で使用するために MyApp というデータベースを作成し、ここで説明したように InterSystems IRIS によってリソースとロールが作成されるようにするとします。また、読み取り/書き込み特権がパブリックでないとします。その場合、Business Intelligence ユーザは、%DB_MyApp リソースに対する読み取り/書き込み特権を持つ %DB_MyApp ロールに属する必要があります。

  • ^DeepSee グローバルが別のデータベースからマップされている場合には、ユーザはそれらのグローバルが含まれているデータベースへもアクセスできる必要があります。

Business Intelligence の一般的なタスクに関するセキュリティ要件

以下のテーブルでは、前のセクションの項目に加え、一般的なタスクに関するセキュリティ要件を示します。

タスク このタスクに対してユーザに付与されている必要がある特権*
ユーザ・ポータル (アナライザまたはミニ・アナライザ以外) の表示 (ダッシュボードの作成は不可) %DeepSee_Portal リソースに対する USE 許可
ユーザ・ポータル (アナライザまたはミニ・アナライザ以外) の表示 (ダッシュボードの新規作成が可能)

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_PortalEdit リソースに対する USE 許可
ダッシュボードの表示 (Excel へのエクスポートおよび PDF への出力を含む)

  • %DeepSee_Portal リソースに対する USE 許可

  • ダッシュボードに関連付けられたリソース (存在する場合) に対する USE 許可 ("モデル要素に対するセキュリティの追加" を参照)

  • ダッシュボードで使用されるピボット・テーブルに関連付けられたリソース (存在する場合) に対する USE 許可

  • ダッシュボードおよびピボット・テーブルが格納されているフォルダに関連付けられたリソース (存在する場合) に対する USE 許可

  • ピボット・テーブルで使用されるキューブまたはサブジェクト領域**に関連付けられたリソース (存在する場合) に対する USE 許可

  • ダッシュボードで使用される KPI に関連付けられたリソース (存在する場合) に対する USE 許可

  • KPI のクエリによって使用されるすべてのテーブルに対する SQL SELECT 特権

ユーザが許可を有するすべてのウィジェットが表示されます。つまり、ダッシュボードは、ユーザが表示できない部分があるとしても表示されます。
アナライザまたはミニ・アナライザへの読み取り専用アクセス

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_Analyzer リソースに対する USE 許可
アナライザまたはミニ・アナライザへの完全なアクセス

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_AnalyzerEdit リソースに対する USE 許可
リストの表示

  • %DeepSee_Portal リソースに対する USE 許可

  • リストに関連付けられたリソース (存在する場合) に対する USE 許可

  • リストで使用されるすべてのソース・テーブルに対する SQL SELECT 権限と、そのキューブに対して生成された CubeClass.Listing テーブルに対する SELECT 権限カスタム・リストで $$$RESTRICT トークンを使用する場合、CubeClass.Listing テーブルに対する SELECT 権限が必要です。
アナライザでの既存のピボット・テーブルの変更

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_AnalyzerEdit リソースに対する USE 許可

  • 指定ピボット・テーブルに関連付けられたリソース (存在する場合) に対する USE 許可および WRITE 許可

  • ピボット・テーブルがあるフォルダに関連付けられたリソース (存在する場合) に対する USE 許可

  • ピボット・テーブルで使用されるキューブ**またはサブジェクト領域に関連付けられたリソース (存在する場合) に対する USE 許可
ダッシュボードの新規作成

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_PortalEdit リソースに対する USE 許可

  • ダッシュボードがあるフォルダに関連付けられたリソース (存在する場合) に対する USE 許可
既存のダッシュボードの変更

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_PortalEdit リソースに対する USE 許可

  • 指定ダッシュボードに関連付けられたリソース (存在する場合) に対する USE 許可および WRITE 許可

  • ダッシュボードがあるフォルダに関連付けられたリソース (存在する場合) に対する USE 許可
アーキテクトへの読み取り専用アクセス

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_Architect リソースに対する USE 許可
アーキテクトでのキューブまたはサブジェクト領域の新規作成

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_ArchitectEdit リソースに対する USE 許可
アーキテクトでの既存のキューブまたはサブジェクト領域の変更

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_ArchitectEdit リソースに対する USE 許可

  • 指定したキューブまたはサブジェクト領域に関連付けられたリソース (存在する場合) に対する USE および WRITE 許可 ("モデル要素に対するセキュリティの追加" を参照)

  • [フォルダマネージャ] ページ

  • [MDX クエリツール] ページ

  • [設定] ページ

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_Admin リソースに対する USE 許可、または %Development リソースに対する USE 許可

  • [条件リスト・マネージャ] ページ

  • [品質メジャー] ページ

  • %DeepSee_Portal リソースに対する USE 許可

  • %DeepSee_PortalEdit リソースに対する USE 許可
リスト・グループ・マネージャ (読み取り専用アクセス) %DeepSee_ListingGroup リソースに対する USE 許可
リスト・グループ・マネージャ (編集アクセス、カスタム SQL クエリ・オプションを除く) %DeepSee_ListingGroupEdit リソースに対する USE 許可
リスト・グループ・マネージャ (編集アクセス、カスタム SQL クエリ・オプションを含む)

  • %DeepSee_ListingGroupEdit リソースに対する USE 許可

  • %DeepSee_ListingGroupSQL リソースに対する USE 許可

*前のセクションも参照してください。リソース定義で、これらの許可の一部をパブリックにできます。例えば、最小セキュリティ・インストールでは、既定で、USE 許可はすべての Business Intelligence リソースに対してパブリックになります。

**あるキューブに他のキューブへのリレーションシップがある場合、それらのキューブは個別に保護されます。リレーションシップを使用するには、ユーザにそれらのすべてに対する USE 許可が必要です。同様に、複合キューブは複数のキューブで構成され、それぞれ個別に保護されます。

モデル要素に対するセキュリティの追加

キューブ、サブジェクト領域、KPI、ピボット・テーブル、ダッシュボード、リスト、またはリスト・フィールドに対してセキュリティを追加する手順は以下のとおりです。

  1. 管理ポータルでリソースを作成します。[リソース] ページを使用します ([システム管理] > [セキュリティ] > [リソース] を選択します)。

  2. 管理ポータルでロールを作成します。[ロール] ページを使用します ([システム管理] > [セキュリティ] > [ロール] を選択します)。このロールは、作成したリソースに対する USE および WRITE 許可を持つ必要があります。

    または、USE および WRITE 許可を持つ 1 つのロールと、USE 許可のみを持つもう 1 つのロールを作成することもできます。

  3. 以下のように、リソースを Business Intelligence 項目に関連付けます。

    • ダッシュボードまたはピボット・テーブルの場合は、その項目を保存する際に、該当するリソースの名前を [リソースへのアクセス] フィールドに入力します。

      "ダッシュボードまたはピボット・テーブルのリソースの指定" も参照してください。

      ダッシュボードまたはピボット・テーブルを保存するには、適切な Business Intelligence ユーザ・インタフェース・コンポーネントに対する USE 特権および WRITE 特権が付与されていることも必要です。詳細は、前の見出しを参照してください。

    • キューブ、サブジェクト領域、またはリスト・フィールドの場合は、アーキテクトを使用してその項目を保護するリソースを指定します。

    • キューブ定義で定義されたリストの場合は、アーキテクトを使用してその項目を保護するリソースを指定します。

    • リスト・グループの場合やリスト・グループで定義されたリストの場合は、リスト・グループ・マネージャを使用してその項目を保護するリソースを指定します。

    • KPI の場合は、スタジオでクラス定義を編集します。適用可能なリソースの名前を、RESOURCE クラス・パラメータの値として使用します。

  4. 必要に応じて、ユーザをロールに割り当てます。

ダッシュボードまたはピボット・テーブルのリソースの指定

ダッシュボードまたはピボット・テーブルのリソースを指定するには、その項目を保存するときに [リソースへのアクセス] フィールドを指定します。以下のいずれかの場合に、これを実行できます。

  • 項目に所有者が存在しない (所有者は [所有者] フィールドで指定されています)。

  • ユーザ自身がその項目の所有者である。

  • ユーザが %DeepSee_Admin リソースに対する USE 許可を持っている。

フォルダのリソースの指定

フォルダのリソースを指定する手順は以下のとおりです。

  1. [InterSystems ランチャー] をクリックし、[管理ポータル] をクリックします。

    セキュリティの設定によっては、InterSystems IRIS ユーザ名とパスワードを使用してログインするように求められます。

  2. 以下のように、適切なネームスペースに切り替えます。

    1. [変更] をクリックします。

    2. ネームスペースをクリックします。

    3. [OK] をクリックします。

  3. [Analytics][管理][フォルダマネージャ] をクリックします。

  4. フォルダの横にあるチェック・ボックスにチェックを付けます。

  5. 左の領域で [詳細] タブをクリックします。

    Details tab of the Folder Manager, showing the Resource field for the Dashboards folder and a Save Folder button.

  6. リソースの名前を入力します。

  7. [フォルダを保存] をクリックします。

Next sectionキューブ・バージョンの使用
Previous sectionBusiness Intelligence のその他の開発作業
FeedbackOpens in a new tab