データ権限のしくみの理解

データ権限は、メンバーまたはメンバーのグループに割り当ててその情報にアクセスできるユーザーを管理するためのものです。

データ権限はレイヤー(行)として作成し、一連のレイヤーを連続させながら、ユーザーとグループに付与するデータへのアクセス権をより細かく設定していきます。データ権限の各行では、データの交差を定義し、それに対して選択したユーザーに「読取り」または「なし」のアクセス権が割り当てられます。データ権限の作成時には、メンバー関数を選択して、含めるメンバーのセットを定義します。メンバー関数の選択を参照してください。

データ権限の作成においては、行の処理方法とデータ権限間の競合解決方法に影響するルールを理解することが重要です。行の順序によって、付与される有効な権限が決定されます。データ権限内の各行は、最初のレイヤー(ベース・レイヤー)から順番に評価され、追加行ごとに権限がより細かく設定されて、最終的に有効な権限が決定されます。

次の単純な例を見てみましょう。仮定は次のとおりです:

• シナリオ・ディメンションの「デフォルト・アクセス」は「なし」に設定されており、それをベースラインとして個々の権限を設定します。

• Accounting ManagerはAccounting Groupにも含まれています。

各行は上から下へと順番に読み取られ、各行の結果が最終的に、選択したデータに対する有効な権限となります。データ権限の処理の詳細は、データ権限の処理と競合解決のルールを参照してください。

計算の結果、次の有効な権限が返されます。

• Accounting GroupはActualとPlanにアクセスできます。

• Accounting ManagerはActual、PlanおよびForecastにアクセスできます。

データ権限を作成したら、データ権限を検証することをお薦めします。「検証」操作ではデータ権限がチェックされ、データ権限内で使用されたメンバー名が現在も有効であるかどうかが判定されます。たとえば、データ権限用に選択したメンバーがディメンションから削除された場合、そのデータ権限は無効になります。データ権限が有効でない場合は、そのデータ権限およびデータ権限内のデータ交差行にアラート・アイコンが表示されます。データ権限をオープンして影響を受けたモデルを確認し、問題を修正してください。

データ権限の検証が終わったら、「データ権限」の「アクセス」画面で、割り当てられた権限をレビューします。各ユーザーまたはグループを個別に選択し、必要な制限がデータ権限に反映されていることを確認します。複数のデータ権限を作成した場合は、競合する行が存在する可能性があります。複数のデータ権限間の矛盾または競合をバックグラウンドで解決しても、必要な最終結果が得られないことがあります。その場合は、適切なアクセス権を割り当てるために、必要に応じてデータ権限を細かく設定してください。

ベスト・プラクティス推奨事項:

• 大部分のユーザーに適用する最も広義のルールをデータ権限の最初の行にベース・レイヤーとして設定した後、アクセスを絞り込んだ例外行を追加します。

• 保守を容易にするために、できるだけ少ないステップでセキュリティ・モデルを作成します。

Narrative Reportingでのデータ権限の作成時に適用されるルールとロジックの詳細は、データ権限の処理と競合解決のルールを参照してください。