Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

入門!SAP Analytics Cloud for planning 機能紹介シリーズ - ユーザ管理/権限管理

YuZhang
Product and Topic Expert
Product and Topic Expert
a month ago

本ブログシリーズはSAP Analytics CloudのPlanning機能をこれから学ぶ方を対象とし、予算計画などの一連の予算管理業務に必要なSAP Analytics Cloudのそれぞれの機能の特徴や要点をご紹介します。

※機能の詳細ついてはSAP Help Portalをご参照ください。

※ SAP Analytics Cloudは、四半期に1度のペースで製品のバージョンアップが実施されます。そのため今後のバージョンアップにより、本ブログで紹介する画面キャプチャや、操作が異なる可能性があることをご了承ください。(本ブログは2024年4月に作成しています。)

本ブログでは、SAP Analytics Cloudにおけるユーザ管理/権限管理 についてご紹介します。

目次:

  • SAP Analytics Cloudでのユーザ管理と権限管理の概要
  • ユーザ作成およびユーザ管理
  • 権限管理
  • カスタムIdPを利用した、ユーザ・権限管理
  • まとめ

SAP Analytics Cloudでのユーザ管理と権限管理の概要

SAP Analytics Cloudでのユーザと権限の管理は、適切なユーザが必要なデータや機能にアクセスできるようにすることで、役割を効果的に果たせるようにするために重要です。この管理は、機密情報の不正アクセスを防ぐことでセキュリティを向上させると同時に、必要なツールやデータへの迅速なアクセスを可能にすることで、業務の効率化を図ります。SAP Analytics Cloudは、ユーザと権限を細かく管理するための充実した機能を提供しております。これには、ユーザの作成、ロールへの割り当て、細かな権限の管理などが含まれます。SAP Analytics Cloudのユーザおよび権限管理機能は、小規模なチームから大企業まで、あらゆる規模の組織の各ユーザが効率的に貢献できるようにするためのニーズに応えるよう設計されています。

ユーザ作成及びユーザ管理

SAP Analytics Cloudでは、組織のニーズや状況に合わせて、さまざまな方法でユーザを作成できます。

ユーザ作成の方法

ユーザページを通じた個別の追加

システム管理者はユーザ管理ページを利用して、手軽に一人ずつユーザを追加することができます。この方法は、少人数のユーザ管理に適しています。

  1. 「セキュリティ」→「ユーザ」に移動します。
    Picture1.png
  2. 「新規」を選択して、新しいユーザをユーザ管理テーブルに追加します。
    Picture2.png
  3. ユーザIDを入力します。
    姓のみが必須ですが、名、姓、および表示名を入力することをお奨めします。表示名は、画面に表示されます。ログオン情報が記載されたウェルカムメールがこのアドレスに送信されます。
    Picture27.png
  4. アイコンをクリックして、一覧から 1 つ以上のロールを選択します。
    Picture26.png
  5. 「保存」を選択します。
    Picture28.png
CSVインポートによる一括追加

より大きな組織の場合には、SAP Analytics CloudCSVファイルを用いたユーザの一括インポートを支援します。このアプローチにより、複数のユーザを同時に追加する過程が大幅に効率化され、時間の節約と手作業による入力ミスのリスク軽減が期待できます。
インポート用の CSV ファイルには最小限でも UserIDLastName、および Email の列が必要ですが、FirstName DisplayName の列も追加することをお奨めします。

CSVファイルの例
Picture6.png

  1. 「セキュリティ」→「ユーザ」に移動します。
  2. 「ファイルからユーザをインポート」を選択します。
    Picture7.png
  3. 「ユーザのインポート」ダイアログで、ソースファイル選択を選択して CSV ファイルをアップロードします。
    Picture8.png
  4. 「マッピングの作成」を選択して、CSV ファイル内のユーザデータのフィールドをユーザ管理のフィールドに割り当てます。ヘッダ、行区切り文字、区切り文字、およびテキスト識別子の適切なエントリを選択します。
    Picture9.png
  5. 「インポート」を選択し、定義されたマッピングに従って CSV ファイルをアップロードします。
SAML属性によるユーザの作成と割り当て

SAP Analytics CloudはSAML属性を基にユーザの作成や割り当てを行う機能も提供しています。SAMLベースのシングルサインオン(SSO)システムを採用している組織にとって、SAP Analytics Cloudと既存の身元管理ソリューションとの間でスムーズな連携を実現するために特に有効です。5章でSAMLを利用したユーザ管理について詳しくご説明いたします。

チームによるユーザのグルーピング

SAP Analytics Cloudでは、チームを使ってユーザをグルーピングして管理することが可能です。チームは複数のユーザからなるグループであり、SAP Analytics Cloud のオブジェクトまたはフォルダへのアクセス権を共有することができます。チームに対してロールを付与することができます。チームには複数のユーザを含めることができ、ユーザは複数のチームに属することが可能です。

Picture10.png

チームの作成方法及びメンバーの追加
  1. 「セキュリティ」→「チーム」に移動します。
  2. 「チームの作成」を選択します。
    Picture12.png
  3. チーム名や説明などの必要な情報を入力します。
    Picture13.png
  4. システムフォルダの下にチームファイル用のフォルダを追加するには、「フォルダを作成」を選択します。チームメンバーには、チームフォルダに関する共有権限(読込、コピー、ファイルの作成、フォルダの作成) が付与されます。他の権限を付与する場合は、ファイルまたはフォルダの共有 - SAP HelpPortal を参照してください。チームフォルダは他のフォルダと同様に削除および復元できますが、元の場所にのみ復元されます。
    Picture14.png
  5. メンバー領域で、 「メンバーの追加」を選択して、このチームに追加する既存のユーザを検索します。ユーザ選択ダイアログが開きます。
    Picture15.png
  6. 完了したら、作成を選択します。
ユーザの有効化と無効化及び削除

ユーザ管理専用メニューからユーザの有効化、無効化および削除などができます。
Picture16.png

権限管理

SAP Analytics Cloudでは、ライセンス、ロール、権限を用いてセキュリティや機能を管理します。ユーザが利用可能な機能はライセンスタイプごとに定義されており、ロールは特定の機能へのアクセス権をユーザに与える権限の集まりです。権限はSAP Analytics Cloud内のリソースやオブジェクトへのアクセス許可を意味します。
SAC内の権限管理は以下の3つの権限定義から構成され、これらの設定はユーザ、もしくはチームに対して設定を行います。

  1. アプリケーション操作権限
  2. データアクセス権限(ロールの他、モデルでの設定も可)
  3. オブジェクト権限

    Picture17.png

ロール概要

SAP Analytics Cloudは、ユーザがどの機能にアクセスできるかを制御する堅牢なシステムを備えており、これはロールによって基本的に管理されます。ロールでは、特定のライセンスタイプで使用できる機能のサブセットを選択できるほか、ロールに割り当てられたすべてのユーザが機能を利用できるようにする権限、またはそれらの機能を制限する権限を変更することができます。たとえば、ビジネスインテリジェンスライセンスを持つユーザには、ストーリーの表示のみを許可して編集は禁止するロールを割り当てることができます。

ロールの種類

標準アプリケーションロール

標準アプリケーションロールは、SAP Analytics Cloudにあらかじめ定義されており、ユーザが行う主要な作業を代表しています。これらのロールは、SAP Analytics Cloudに新しい権限が追加されるたびに自動的に更新されるため、権限はプラットフォームの進化と共に更新されます。
標準アプリケーションロールに関して詳しくは標準アプリケーションロール - SAP Help Portalをご参照ください。ベストプラクティスとして、標準ロールは使わず、必ず基本のものを元にカスタムロールを作成してください。標準ロールは新しい権限が追加された際に自動で更新され、それによって新しい権限が勝手に有効化されることがあります。カスタムロールを使うことで、これらの新しい権限を自分で管理し、標準ロールを使用する場合のように自動的に権限が有効になるのを防ぐことができます。

カスタムロール

カスタムロールは、組織の特定のニーズに合わせてカスタマイズできるロールを提供します。これらはゼロから、または既存の標準アプリケーションロールをベースにして作成することができ、個々の権限を調整することが可能です。

カスタムロールの作成
  1. サイドナビゲーションから、 「セキュリティ 」 → 「ロール」を選択し、 ロール追加」を選択します。作成ダイアログが開きます。
    Picture18.png
  2. 「新規ロールを作成」ダイアログで、ロールの一意の名前と任意の説明を入力します。また、ライセンスタイプを選択し、「作成」を選択します。
    Picture19.png
  3. ロールテンプレートを選択」ダイアログで、テンプレートを選択します。
    使用可能なロールテンプレートは、選択したライセンスに関連付けられた標準ロールに基づきます。空白のテンプレートを使用して開始することもできます。
    Picture20.png
  4. 新規ロールの各オブジェクトタイプに対して権限を定義します。
    Picture21.png

ロールとライセンスとの関連

SAP Analytics Cloudの各ロールは特定のライセンスタイプに関連付けられており、ユーザが利用できる機能に影響を与えます。ロールがユーザに割り当てられると、そのロールに対応するライセンスが暗黙的に付与されます。
SAP Analytics Cloud では、以下の 3 つのライセンスタイプが提供されます。

  1. SAP Analytics Cloud for business intelligence, predictive edition
    BI機能の使用または、すでに準備された非公開バージョンへのセル入力を行う等、一部計画機能を使用することは可能です。
  2. SAP Analytics Cloud for planning, predictive standard edition
    上記に加えて、データアクションの実行など、一部計画機能を追加で使用することは可能です。
  3. SAP Analytics Cloud for planning, predictive professional edition
    上記に加えて、計画モデルの作成など、すべての計画機能を使用することが可能です。

Picture22.jpg

各ライセンスタイプで利用できる特定の機能の詳細については、分析モデル用の機能 (ライセンスタイプ別) - SAP Help Portal および 計画モデル用の機能 (ライセンスタイプ別) - SAP Help Portal を参照してください。

ロールの割り当て

管理者は様々な方法を使用して個人とチームの両方にロールを割り当てることができます。個人に対しては、ユーザページで直接ロールが割り当てられ、チームに対しては、割り当てられたロールがチーム全体に適用され、すべてのチームメンバーに反映されます。ロールを直接にユーザに割り当てるのは便利ですが、ベストプラクティスとは考えられていません。チーム継承を通じてロールを割り当てるのはベストプラクティスです。これは、システムオーナーを除くすべてのユーザに対して、直接役割を割り当てないべきであることを意味します。なぜなら、「システムオーナー」の役割はチームに割り当てることができないからです。

ロールページでのロールの割り当て

  1. サイドナビゲーションから、 「セキュリティ 」 → 「ロール」を選択し、 該当のロールを選択します。

  2. ロール定義ページで「XXユーザ」を選択します。
    Picture23.png
  3. 「ユーザへのロールの割り当て」ダイアログで、ロールの割り当て先として使用可能なユーザおよびチームを選択し、「OK」を選択します。
SAML 属性を使用してロールをマッピング

SAP Analytics Cloud では、SAML ロールマッピングを使用すると、ユーザの SAML 属性に基づいてロールをユーザに自動的に割り当てることができます。詳細は第5章カスタムIdPを利用した、ユーザ・権限管理をご参照ください。

カスタムIdPを利用した、ユーザ・権限管理

SAML2認証を利用することで、SAP Analytics Cloudへのシングルサインオン(SSO)機能が安全に実現され、ユーザは複数のログイン情報を覚えることなくSAP Analytics Cloudにアクセスできます。

Picture24.png

SAML2概要

SAML 2 フェデレーション認証には、2つのコンポーネントが関わっています。
アイデンティティプロバイダー(IdP: ユーザを認証し、成功した場合にはサービスプロバイダー(SP)へ認証情報を提供します。SAP Analytics Cloudは標準でSAP Cloud IdentityIdPとして使用しますが、お客様自身で準備したSAML 2に基づいたIdPを設定することも可能です。
サービスプロバイダー(SP: IdPによるユーザ認証を基にサービスを提供します。SAP Analytics Cloudやそのバックエンドデータソース(HANABWS4/HANA、など)は、同一のIdPを通じてユーザ認証を行います。

Picture25.png

以下がそのプロセスフローの一例です:

  1. ユーザがChromeブラウザを使ってSAP Analytics Cloudにログインしようとします。
  2. SAP Analytics CloudはSAMLリクエストを作成し、これに応答します。
  3. ブラウザがユーザをアイデンティティプロバイダーのページにリダイレクトします。
  4. アイデンティティプロバイダーはSAMLリクエストを解析し、ユーザが既に認証されているかどうかを確認します。
  5. ユーザがまだ認証されていなければ、アイデンティティプロバイダーは認証を求めます。すでに認証されている場合は、このステップを省略して、IdPは直接SAMLレスポンスを生成します。
  6. IdPはエンコードされたSAMLレスポンスをブラウザ経由で返します。
  7. ブラウザはそのSAMLレスポンスをSAP Analytics Cloudに送信し、検証を行います。
  8. 検証が成功すれば、ユーザはSAP Analytics Cloudにログインされ、様々なリソースへのアクセス権を得ます。

カスタム SAML アイデンティティプロバイダの有効化

デフォルトでは、SAP Cloud Identity サービスは SAP Analytics Cloud によって使用されます。カスタム SAML アイデンティティプロバイダを利用するには、カスタムIdPを有効化する必要があります。
設定の詳細は下記のURLをご参照ください。
カスタム SAML アイデンティティプロバイダの有効化 - SAP Help Portal

終わり

今回はユーザ管理/権限管理 機能のご紹介でした。SAP Analytics Cloudは予算計画などの一連の予算管理業務に必要な機能を備えており、本ブログシリーズではそれぞれの機能の特徴や要点をご紹介しています。こちらのリンクからご参照ください。

Labels in this area
Popular Blog Posts