アクセス権と資格情報

組織のデータを保護するためには、アクセス権と資格情報を使用します。IBM® Cognos® ソフトウェアの個々のレポートやその他のコンテンツに対するアクセス権を持つユーザーやグループを指定します。また、コンテンツに対して実行できる操作も指定します。

アクセス権を設定するときは、認証プロバイダーのユーザー/グループ/役割と Cognos のグループ/役割の両方を参照できます。ただし、今後アプリケーションを配布する予定がある場合は、プロセスを簡単にするために、Cognos のグループと役割のみを使用して IBM Cognos ソフトウェアのエントリーに対するアクセス権を設定することを推奨します。

権限と許可される操作

次の表に、付与または拒否できるアクセス権を示します。

表 1. 権限と許可される操作

権限

アイコン

許可される操作

読み取り

「読み取り」アイコン

「読み取りを許可」アイコン

「読み取りの拒否」アイコン

レポートのプロパティーであるレポート仕様や出力レポートなど、エントリーのすべてのプロパティーの表示。

エントリーのショートカットの作成。

書き込み

「書き込み」アイコン

「書き込みを許可」アイコン

「書き込みの拒否」アイコン

エントリーのプロパティーの変更。

エントリーの削除。

パッケージやフォルダーなどのコンテナー内へのエントリーの作成。

Report Authoring および Query Studio で作成されたレポートに対するレポート仕様の変更。

出力レポートの新規作成。

実行

「実行」アイコン

「実行を許可」アイコン

「実行の拒否」アイコン

エントリーの処理。

レポート、エージェント、評価指標などのエントリーの場合は、ユーザーがエントリーを実行できます。

データ・ソース、接続、およびサインオンの場合、データ・プロバイダーからデータを取得するためにエントリーを使用できます。ユーザーは、データベース情報を直接読み取ることはできません。レポート・サーバーがユーザーの代わりにデータベース情報にアクセスし、要求を処理します。IBM Cognos ソフトウェアでは、ユーザーがエントリーを使用する前に、エントリーに対する実行権限を持っているかどうかが確認されます。

資格情報の場合、ユーザーは他のユーザーに対して自分の資格情報の使用を許可できます。

注: ユーザーは「所有者として実行」レポート・オプションで使用するアカウントの実行権限を持っている必要があります。

ポリシー設定

「ポリシー設定」アイコン

「ポリシー設定を許可」アイコン

「ポリシー設定の拒否」アイコン

エントリーのセキュリティー設定の読み取りおよび変更。

通過

「ポリシー設定」アイコン

「ポリシー設定を許可」アイコン

「ポリシー設定の拒否」アイコン

パッケージやフォルダーなどのコンテナー・エントリーの内容の表示と、コンテナー自体の全般プロパティーの表示。コンテナーに対する完全なアクセス権はありません。

注: ユーザーは、エントリーに対してなんらかのアクセス権を持っていれば、そのエントリーの全般プロパティーを表示できます。全般プロパティーとは、名前、説明、作成時間など、すべてのエントリーに共通なプロパティーのことです。

ユーザーのアクセス権

ユーザーは、アクセスするエントリーの親エントリーに対して、少なくとも通過権限を持っている必要があります。親エントリーは、フォルダー、パッケージ、グループ、役割、ネームスペースなどのコンテナー・オブジェクトです。

ユーザーの権限、個々のユーザー・アカウントに対して設定された権限と、ユーザーが属しているネームスペース、グループ、および役割に対して設定された権限に基づきます。また、権限はエントリーのメンバーシップおよび所有者に関するプロパティーの影響を受けます。

IBM Cognos ソフトウェアでは、アクセス権の組み合わせがサポートされています。複数のグループに属しているユーザーがログオンすると、属しているすべてのグループを組み合わせた権限を持ちます。これは、特にアクセスを拒否する場合に念頭に置く必要があります。

ヒント:ユーザーやグループがパッケージからのレポートを実行でき、同時に IBM Cognos の Studio/Authoring ツールでパッケージを開くことができないようにするには、ユーザーまたはグループにパッケージへの実行権と通過権限を付与します。また、ユーザーには、Studio/Authoring ツールを起動するパッケージに対する読み取り権限も必要です。

操作に必要なアクセス権

特定の操作を実行するには、対象となるエントリー、親エントリー、およびソース・エントリーやターゲット・エントリーに対するアクセス権の正しい組み合わせを、各ユーザー、グループ、または役割に付与する必要があります。次の表に、特定の操作に必要な権限を示します。

表 2. 操作に必要なアクセス権

操作

必要な権限

エントリーの追加

親エントリーに対する書き込み権限

エントリーのプロパティーに対するクエリー

エントリーに対する読み取り権限

エントリーの子エントリーの表示

エントリーに対する通過権限

エントリーの更新

エントリーに対する書き込み権限

エントリーの削除

エントリーに対する書き込み権限、および親エントリーに対する書き込み権限

エントリーのコピー

エントリーと子エントリーに対する読み取り権限、すべての子エントリーに対する通過権限、およびコピー先の親エントリーに対する書き込み権限と通過権限

エントリーの移動

エントリーに対する読み取り権限と書き込み権限、ソースの親エントリーと移動先の親エントリーの両方に対する書き込み権限、および移動先の親エントリーに対する通過権限

Cognos Workspace レポートに対する権限と許可される操作

Cognos Workspace ユーザーは、レポート、レポート・パーツ、レポート・フォルダー、またはワークスペース・オブジェクトに対するそれぞれの権限および権限の組み合わせに応じて、操作を実行できる場合と、実行できない場合があります。 オブジェクトの所有者は、自動的に読み取り権限、書き込み権限、通過権限、および実行権限を付与されます。 オブジェクトが使用不可になっている場合、それを表示して編集するには、書き込みアクセス権限が付与されている必要があります。

以下のアクセス権限および権限の組み合わせを保持するユーザーは、レポートに対して次のような操作を実行できます。

表 3. レポートのアクセス権限と許可される操作
権限 許可される操作

読み取り

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示することはできません。

ユーザーはレポートをドラッグできません。

読み取りおよび通過

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示することはできません。

保存された出力が存在する場合、ユーザーはそのレポートをキャンバスにドラッグして、その保存された出力を表示できます。 保存された出力が存在しない場合、ユーザーはレポートをドラッグできません。 その場合に、この操作を試みたユーザーのウィジェットには、「コンテンツを表示できません。削除されたか、必要なアクセス権がありません。」というエラー・メッセージが表示されます。

ユーザーは、保存された出力をワークスペースで表示できます。

ユーザーは、ワークスペースでライブ・レポートを実行できません。 この操作を試みると、「RSV-CM-0006。このユーザーには、このレポートを実行する権限がありません。」というエラー・メッセージが表示されます。

実行

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示することはできません。

ユーザーはレポートを実行できますが、対話は使用不可です。 対話は、以下の場合は使用不可になります。
  • レポートがキャンバスにドラッグされた場合
  • 実行権限を保持するユーザーがレポートを保存し、他のユーザーがそのレポートを開いた場合
  • 実行権限を保持するユーザーが他のユーザーの作成したワークスペースを開く場合

保存された出力をワークスペースで表示できない場合には、「コンテンツを表示できません。削除されたか、必要なアクセス権がありません。」というエラー・メッセージが表示されます。

読み取りおよび実行

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示できます。

ユーザーはレポートを実行でき、対話が使用可能です。

コンテンツ・ウィンドウで、ユーザーはレポートの変更を保存できません。

ワークスペースにレポートを追加して保存した場合は、レポートの変更を保存できます。

レポート所有者以外のユーザーによってレポートがワークスペースに追加された場合、そのユーザーが変更を保存することはできません。 この場合、ユーザーに対して、「コンテンツを保存できません。必要な権限がありません。」というエラー・メッセージが表示されます。

読み取り、実行、通過

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示できます。

コンテンツ・ウィンドウで、ユーザーはレポートを実行でき、対話が使用可能です。

ユーザーは、ライブ出力または保存された出力のいずれかとして、キャンバスにレポートを追加できます。 追加されるレポートのタイプは、レポートのプロパティーで指定されたデフォルト操作に応じて決まります。

読み取り、書き込み、実行、通過

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示できます。

ユーザーは、ワークスペースにレポートを追加できます。

ユーザーはレポートを実行でき、対話が使用可能です。

ユーザーは、レポートを変更および保存できます。

ユーザーは、ライブ出力または保存された出力のいずれかとして、キャンバスにレポートを追加できます。 追加されるレポートのタイプは、レポートのプロパティーで指定されたデフォルト操作に応じて決まります。

読み取り、実行、ポリシー設定

ユーザーは、コンテンツ・ウィンドウでレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示できます。

ユーザーはレポートを実行でき、対話が使用可能です。

コンテンツ・ウィンドウで、ユーザーはレポートの変更を保存できません。

ワークスペースにレポートをドラッグして保存した場合は、レポートの変更を保存できます。この操作により、レポートのコピーが作成されます。ユーザーがポリシー設定権限を保持している場合、コピーされたワークスペース・レポートは、元のレポートから権限を継承します。

以下のアクセス権限および権限の組み合わせを保持するユーザーは、レポート・パーツに対して次のような操作を実行できます。

表 4. レポート・パーツのアクセス権限と許可される操作
権限 許可される操作

読み取りおよび実行

ユーザーはレポートを表示できます。

ユーザーは、レポートを展開してレポート・パーツを表示できます。

ユーザーは、レポート・パーツをキャンバスにドラッグして、そのレポート・パーツを実行できます。

以下のアクセス権限および権限の組み合わせを保持するユーザーは、フォルダーに対して次のような操作を実行できます。

表 5. フォルダーのアクセス権限と許可される操作
権限 許可される操作

読み取り

ユーザーは、コンテンツ・ウィンドウにフォルダーを表示すること、およびフォルダー・プロパティーを読み取ることができます。

ユーザーは、フォルダーをキャンバスにドラッグできません。

ユーザーは、フォルダーを展開して内容を表示することはできません。

ユーザーは、このフォルダーにワークスペース・オブジェクトを保存できません。

通過

ユーザーは、フォルダーをキャンバスにドラッグできます。

ユーザーは、フォルダーを展開して内容を表示できます。

ユーザーは、このフォルダーにワークスペース・オブジェクトを保存できません。

書き込みおよび通過

ユーザーは、フォルダーをキャンバスにドラッグできます。

ユーザーは、フォルダーを展開して内容を表示できます。

ユーザーは、このフォルダーにワークスペース・オブジェクトを保存できます。

以下のアクセス権限および権限の組み合わせを保持するユーザーは、ワークスペースに対して次のような操作を実行できます。

表 6. ワークスペースのアクセス権限と許可される操作
権限 許可される操作

読み取り

ユーザーはワークスペースを表示できます。

ユーザーはワークスペースを開けません。

読み取りおよび通過

ユーザーはワークスペースを開けます。

通過権限を保持するユーザーは、ワークスペース・ウィジェットを表示できます。

読み取り、書き込み、および通過

ユーザーはワークスペースを表示する、開く、および保存することができます。

エントリーの所有権

エントリーの所有者であるユーザーは、そのエントリーに対するフルアクセス権限を保持しています。このため、ユーザーはいつでも自身が所有するエントリーにアクセスして変更できます。デフォルトでは、エントリーの所有者はエントリーを作成したユーザーです。ただし、エントリーに対するポリシー設定権限を持つ他のユーザーも、エントリーの所有者になることができます。

アクセスの許可と拒否

エントリーに対するアクセスを許可したり拒否したりすることができます。「権限」タブのエントリー名の横に表示されるアイコンは、アクセスのタイプを表します。例えば、あるグループにレポートの実行権限が許可された場合、そのレポートの「権限」タブを開いたときに、このアイコン実行権限が許可されていることを示すアイコンがグループ名の横に表示されます。 グループのレポートの実行権限が拒否された場合には、このアイコン実行権限が拒否されていることを示すアイコンがグループ名の横に表示されます。

アクセスの拒否は、アクセスの許可よりも優先されます。特定のユーザーまたはグループによるエントリーへのアクセスを拒否した場合、この拒否はエントリーへのアクセスを許可する他のセキュリティー・ポリシーよりも優先されます。

アクセス権の付与と拒否が競合する場合、エントリーへのアクセスは常に拒否されます。例えば、2 つのグループに属しているユーザーがあり、1 つのグループにはレポートに対するアクセス権が付与されており、もう 1 つのグループには同じレポートに対するアクセス権が拒否されているとします。この場合、このユーザーのレポートへのアクセスは拒否されます。

アクセスの拒否は、必要な場合にのみ使用してください。一般的に、権限は拒否よりも、付与によって管理することを推奨します。

親の権限と子の権限

アクセス権は親エントリーから取得されます。アクセス権が定義されていない場合、エントリーのアクセス権は親エントリーから取得されます。子エントリーのアクセス権を定義することによって、親のアクセス権を置換できます。

他のオブジェクトの子としてのみ存在するオブジェクトへのアクセス権は、常にその親から取得されます。このようなオブジェクトの例として、レポート仕様や出力レポートなどがあります。これらのオブジェクトを表示するには Software Development Kit を使用します。これらのオブジェクトに対してアクセス権を明確に設定することはできません。

複数のネームスペースから保護されているデータ・ソースと関連付けられたエントリーへのアクセス

IBM Cognos ソフトウェアのデータ・ソースは、複数のネームスペースから保護することが可能です。環境によっては、データ・ソースを保護するために使用されるネームスペースと、IBM Cognos Connection にアクセスするために使用される基本ネームスペースが異なる場合があります。複数のネームスペースから保護されているデータ・ソースと関連付けられているエントリー (レポート、クエリー、分析など) にアクセスしようとする場合で、必要なネームスペースの一部にしかログオンしていない場合は、認証を求めるプロンプトが表示されます。エントリーにアクセスする前に、ネームスペースにログオンする必要があります。

シングル・サインオン (SSO) が有効な場合は、認証を求めるプロンプトは表示されません。ネームスペースに自動的にログオンできます。

この機能は、IBM Cognos Viewer にのみ適用されます。IBM Cognos の Studio/Authoring ツールで同様の状態が生じた場合は、タスクを終了して、現行セッションで使用するすべてのネームスペースにログオンする必要があります。