フィールド レベルのアクセスの保護

ccppmop1592
HID_secure_field_level_access
特定のユーザ グループのみが特定のフィールドまたは属性にアクセスできるように、フィールドをセキュリティで保護できるようになりました。
管理者は、
Clarity
にフィールド レベル セキュリティを実装して、プロジェクト、アイデア、カスタム投資アイテム、カスタム オブジェクトの特定のユーザ グループの特定の属性またはフィールドにアクセスできるようにすることができます。セキュリティ保護された属性へのアクセス権を持つユーザは、ボードおよびグリッド ビューの両方にその属性を表示できます。フィールド レベル セキュリティ機能では、特定のユーザ グループのフィールドを表示または非表示にすることができますが、管理者の場合はブループリントを設定するときにすべての属性を表示できます。
重要:
  • フィールド レベル セキュリティは、プロジェクトまたはアイデアのインスタンス権限、OBS 権限、またはグローバル権限より常に優先されます。
  • フィールド レベル セキュリティは、アイデアとプロジェクトの両方に適用できます。
  • フィールド レベル セキュリティは、
    Clarity
    の TSV 属性には適用されません。
例 - プロジェクトとアイデア:
製品マネージャである Jennifer は、製品の予算策定を把握し、顧客の分析情報を可視化して、製品の機能を担当し、チーム管理を行います。また、製品計画のエキスパートとして、投資収益率を最大限に高める方法を知っています。
Jennifer は、いくつかのアイデアをプロジェクトに変換すると組織に価値をもたらす可能性があると気づきました。ただし、アイデアを変換する前に、アイデアの承認要求に必要なアイデアの予想コストを把握するため、会計に関する Rita の専門知識が必要です。
Jennifer は、会計属性のアクセス編集とアクセス表示の権限を Rita に付与します。これによって、Rita はコスト計画の詳細を表示および編集し、計画の承認要求を行うことができます。
プロジェクト コントリビュータである Mike には、チームが円滑に活動して前進できるようにする責任があります。Mike は自分のすべてのチームのアイデアとタイムラインにアクセスできます。彼は、コスト計画や予算計画などのアイデアの詳細や、その他の詳細を確認することで、利害関係者の間の調整を行い、ビジネス ユニットで行われる作業を計画して優先順位を設定し、その進捗を管理することができます。
ただし、Mike には詳細を編集する権限は必要ありません。Jennifer が Mike にアクセス表示の権限を付与することで、彼はすべてのチームの情報を確認してチームの調整を行うことができます。
例 - カスタム投資項目の管理:
ポートフォリオ マネージャの Sid は、所属組織でカスタム投資項目の作成、編集、および管理を担当しています。戦略を作成し、その目的を定義する際に、Sid は戦略ブループリントを使用して見積予算計画属性を追加します。Sid は、自分の利害関係者にアクセス編集とアクセス表示の権限を付与します。これで、利害関係者は自身の戦略の見積予算をレビューし、更新できるようになりました。戦略の見積予算計画を策定したら、目標を定義します。これで、戦略および目的をチーム メンバと共有して、タスクの割り当てとタイムラインの見積もりを行えるようになりました。チームでは見積予算計画の詳細を表示できればよいので、Sid は割り当てたスタッフと目標を共有し、チームにアクセス表示権限のみを付与します。
このセクションには、以下のトピックが含まれています。
2
前提条件
セキュリティ保護されたフィールドにアクセスするには、以下の権限が必要です。
  • PMO システム管理者グループに属している必要があります。
  • 属性管理 - ナビゲート
    」権限を持っていることを確認します。この権限により、
    Clarity
    の属性管理ページにアクセスできます。属性に関連する情報を表示し、アクセス グループを使用して属性のセキュリティを設定し、[管理]ワークスペースの
    [属性]
    タイルを参照できます。[属性]ページの[属性]汎用グリッドには、すべてのオブジェクトのすべての属性が表示されます。
  • PMO ペルソナ グループには、プロジェクトをテンプレートとして編集または設定するために、
    [テンプレート]および[割り当てプール]
    属性に対する「
    フィールド レベル セキュリティ - 編集
    」アクセス権が必要です。
  • その他のエンド ユーザのペルソナ グループには、テンプレートを使用してプロジェクトを作成するために、
    [テンプレート]および[割り当てプール]
    属性に対する「
    フィールド レベル セキュリティ - 表示
    」アクセス権が必要です。
  • [テンプレート]または[割り当てプール]
    」へのフィールド レベル セキュリティ アクセス権を持たないエンド ユーザまたはグループは、以下の操作を実行できません。
    • プロジェクトをテンプレートとして設定する
    • テンプレートを使用してプロジェクトを作成する
  • アイデアをプロジェクトに変換するには、ユーザは、
    テンプレート
    属性に対して
    [表示]
    または
    [編集]
    のいずれかのアクセス権を持っている必要があります。これらのアクセス権のないユーザは、アイデアをプロジェクトに変換できません。
  • 属性が[
    必須
    ]に設定されていて、ユーザが「
    フィールド レベル セキュリティ - 表示
    」アクセス権のみを持っている場合、そのユーザは、プロジェクトまたはアイデアのインスタンスを作成するときに属性の値を編集できません。
  • 新しいインスタンスを作成する際に、必須または必須でない属性の「
    フィールド レベル セキュリティ - 表示
    」アクセス権のみを持っている場合、それらの属性の値を指定することはできません。
  • 新しいカスタム投資インスタンスを作成する際に、必須または必須でない属性の「フィールド レベル セキュリティ - 表示」アクセス権のみを持っている場合、それらの属性の値を指定することはできません。
セキュリティ保護された属性の設定
以下の手順に従います。
  1. [管理]
    に移動し、
    [属性]
    をクリックします。[属性]ページが開き、すべてのオブジェクトのすべての属性がこのページに一覧表示されます。
  2. [セキュリティ保護]
    列のチェックボックスをオンにして、対応する属性をセキュリティ保護に設定します。[セキュリティ保護]フラグを以下のように設定した場合、それぞれの条件が適用されます。
    • False - すべてのユーザがこの属性にアクセスできます。
    • True - 特定のグループに属するユーザのみがこの属性にアクセスできます。
    • True - グループ アクセス権が設定されていない場合、この属性には誰もアクセスできません。
      注:
      [セキュリティ保護]フラグを True に設定しても、グループは自動的に設定されません。
  3. 行を選択し、
    [詳細]
    をクリックします。[詳細]フライアウト ウィンドウが表示されます。
  4. [アクセス編集]
    および
    [アクセス表示]
    グループを指定します。
特定のグループに属するすべてのユーザは、指定されたアクセス権に基づいて属性を表示または編集できます。異なる投資タイプの同じ属性に対して、アクセス権を個別に設定できます。ある属性がプロジェクトで使用されており、同じ属性がアイデアまたはカスタム投資項目でも使用されている場合、その属性を一方のオブジェクトのみでセキュリティ保護するように設定できます。
属性の[テンプレート]が
[セキュリティ保護]
に設定されており、アクセス権が指定されていない場合、
[テンプレートから新規作成]
オプションを使用してプロジェクトを作成することはできません。
シナリオと例外
フィールドレベル セキュリティを実装した後は、以下のシナリオと例外に注意してください。
ブループリント
  • ブループリント管理者は、プロジェクト、アイデア、またはカスタム投資項目のブループリントを設定するときに、セキュリティ保護された属性とセキュリティ保護されていない属性をすべて表示できる必要があります。
  • ユーザが[プレビュー]モードでセキュリティ保護されたすべてのフィールドへのアクセス権を持っていない場合は、ブループリントからそのセクションを非表示にします。
  • ユーザがセクション内の少なくとも 1 つの属性に対するアクセス権を持っている場合、そのセクションは[プレビュー]モードで表示される必要があります。
  • ユーザがセクション内のセキュリティ保護されたフィールドへのアクセス権を持っている場合、それらのフィールドを表示できます。
  • ユーザがセクション内のセキュリティ保護されたフィールドへのアクセス権を持っていない場合、セキュリティ保護されたフィールドを[プレビュー]モードで表示できません。
詳細パネル
  • ユーザがセキュリティ保護されたフィールドへのアクセス権を持っている場合、[詳細]パネルからもそれらのフィールドにアクセスできます。
  • ユーザがセキュリティ保護されたフィールドへのアクセス権を持っていない場合、[詳細]パネルからもそれらのフィールドにアクセスできません。
  • ユーザがセキュリティ保護されたフィールドへのアクセス権を持っていない場合、[詳細]ページでそれらのフィールドを表示できません。空白のラベルが表示されます。
  • ユーザがセキュリティ保護されたフィールドへのアクセス権を持っていない場合、REST API の GET/POST/PATCH コールを使用してセキュリティ保護されたフィールドを取得できません。
グリッド レイアウト内のセキュリティ保護されたフィールド
ユーザは、アクセス権に基づいて、プロジェクト、アイデア、カスタム投資項目、またはカスタム オブジェクトのセキュリティ保護されたフィールドを表示または編集できます。以下の条件が適用されます。
機能
セキュリティ保護されたフィールドへのアクセス権があるユーザ
セキュリティ保護されたフィールドへのアクセス権がないユーザ
グリッド レイアウト
セキュリティ保護されたフィールドは、グリッド レイアウトからアクセスできます。
セキュリティ保護されたフィールドは、グリッド レイアウトからアクセスできません。
グリッド フィルタ
ユーザは、グリッド フィルタからセキュリティ保護されたフィールドをフィルタできます。
ユーザは、グリッド フィルタからセキュリティ保護されたフィールドにアクセスできません。ユーザが保存されたビューを開くときに、セキュリティ保護されたフィールドを含むフィルタを使用している場合、未保存のビューのみが表示されます。
グループ化の基準
ユーザは、保存されたビューから、セキュリティ保護されたフィールドでグループ化されたグリッド データを表示できます。
ユーザは、保存されたビューから、セキュリティ保護されたフィールドでグループ化されたデータを表示できません。ユーザには未保存のビューが表示されます。
列パネル
ユーザは、列パネルからセキュリティ保護されたフィールドを表示できます。
セキュリティ保護されたフィールドは、列パネルに表示されません。
CSV へエクスポート
ユーザは、セキュリティ保護された属性を含む CSV ファイルをエクスポートできます。
ユーザは、セキュリティ保護された属性を表示して関連する CSV ファイルをダウンロードすることはできません。
ボード ビュー内のセキュリティ保護されたフィールド
[プロジェクト]または[アイデア]ボード ビュー内のセキュリティ保護されたフィールドに対するユーザのアクセス権に基づいて、以下の条件が適用されます。
機能
セキュリティ保護されたフィールドへのアクセス権があるユーザ
セキュリティ保護されたフィールドへのアクセス権がないユーザ
保存されたビュー
ユーザは保存されたビューを表示できます。
フィールドが使用不可であり、未保存のビューが表示されることを示すメッセージが表示されます。
カード タイトル - セキュリティ保護されたフィールドが含まれる保存されたビューのカード タイトル
ユーザはカードを表示できます。
ユーザはカードを表示できますが、カードのタイトルは空白で表示されます。
列 - 列が[セキュリティ保護]に設定されている場合
ユーザは列を表示できます。
列のタイトルはクリアされ、[なし]に設定されます。
[なし]
列がデータと共に表示されます。
[列]タブ
ユーザは[列]タブを表示できます。
ページ右側の[列]タブは、表示または非表示にする列がない場合には表示されません。
色分け基準
ユーザは、設定された色でセキュリティ保護されたフィールドを表示できます。
[色分け基準]の[表示]オプションがオフになり、[なし]に設定されます。
カード フィールド
ユーザは、カード内のフィールドを表示できます。
カード フィールドの[表示]オプションがオフになります。
カード メトリック
ユーザはカード メトリックを表示できます。
カード メトリックの[表示]オプションがオフになります。
ビュー - ビューが変更され、セキュリティ保護されたフィールドが含まれている場合。
ユーザはセキュリティ保護されたフィールドを表示できます。
メッセージが表示され、ビューが未保存のビュー(セキュリティ保護されたフィールドなし)に変わります。
ビューをプロジェクト、アイデア、カスタム投資、またはカスタム オブジェクトに保存した後、管理者がいくつかのフィールドをセキュリティ保護するシナリオを考えてみます。セキュリティ保護されたフィールドにアクセスできない場合に、保存済みビューを開くと、メッセージが表示され、
Clarity
に未保存のビューが表示されます。
影響と例外事項
このトピックでは、アイデア、プロジェクト、またはカスタム投資項目にフィールドレベル セキュリティを適用する場合のすべての例外事項と影響について説明します。
例外となる属性
以下の属性は例外で、フィールド レベル セキュリティを設定できません。
  • プロジェクト オブジェクト
    • 名前
    • 投資 ID
    • 開始
    • 終了
    • ブループリント アクティブ ID
  • アイデア オブジェクト
    • 件名
    • ID
    • 開始日
    • 終了日
    • ブループリント アクティブ ID
  • カスタム投資オブジェクト:
    • 件名
    • ID
    • 名前
    • 開始日
    • 終了日
    • ブループリント アクティブ ID
影響を受けない領域
フィールドレベル セキュリティを設定しても、以下の領域は影響を受けません。
  • クラシック PPM
    UI
    • Studio
      • オブジェクト
      • ビュー
      • ポートレット ページ(セキュリティ保護されたサブページを含む)
      • ポートレット
      • クエリとデータ プロバイダ
    • レポートとジョブ
    • 監査記録
  • Open Workbench (OWB)
  • Microsoft Project (MSP)
  • XML オープン ゲートウェイ(XOG)
  • REST API を呼び出さない GEL スクリプト
  • プロセス
  • データ ウェアハウスと HDP
サードパーティ統合
フィールドレベル セキュリティを設定すると、以下の統合が影響を受けます。
  • Rally - フィールド レベル セキュリティを適用できます。Rally で設定することもできます。セキュリティ保護された属性へのアクセス権を持っている場合は、属性とその値を Rally に渡すことができます。
  • REST API を呼び出す GEL スクリプト - すべての統合で、属性へのアクセス権(表示または編集のいずれか)が必要です。これによって、REST API でサードパーティのアプリケーションやソフトウェアと通信できるようになります。