Skip to content

アプリケーション内で をクリックすると、お使いのDataRobotバージョンに関する全プラットフォームドキュメントにアクセスできます。

認証、ロール、および権限

DataRobotでは、顧客データを保護するためにアーキテクチャ、エンティティ認証、および承認レベルで多くのセキュリティレイヤーが導入されています。このページのセクションでは、各レベルでのロールと権限について詳しく説明します。

一般的なアクセスガイダンス

アクセスは、ロールと権限で構成されます。_ロール_はユーザーのアクセスを分類します。_権限_はロールに関連付けられた機能ベースの権限を指定します。

役割の定義

一般的に、ロールのタイプにはそれぞれ次のアクセス権があります。

ロール アクセス
コンシューマー/オブザーバー 読み取り専用
エディター/ユーザー 読み取り/書き込み
オーナー 読み取り/書き込み/管理

ロールの優先順位と共有

ロールベースのアクセス制御(RBAC)は、DataRobotアプリケーションへのアクセスを制御し、組織の管理者によって管理されます。RBACのロールの名前は異なりますが、同じ読み取り/書き込み/管理権限が付与されます。割り当てられたロールは、アプリケーションの使用時にユーザーに表示される項目およびユーザーがアクセスできるオブジェクトの両方を制御します。

RBACは共有ベースのロールの権限をオーバーライドします。たとえば、管理者によってRBAC閲覧者のロール(読み取り専用アクセス権)が割り当てられた別のユーザーと共有するとします。そのとき、ユーザー権限を与えます(読み書きアクセス権)。ただし、閲覧者のロールが優先されるため、そのユーザーの書き込みアクセスは拒否されます。

ユーザーは1つのエンティティに複数のロールを割り当てることができます。最も許可されたロールは優先され、RBACに従って更新されます。以下の点に注意してください。

  • データセットを組織で共有した場合、メンバーにはコンシューマーのロールが割り当てられます。同じデータセットがエディターのロールを持つその組織のユーザーに共有されます。その特定のユーザーは編集権限を持ち、組織の他のメンバーはコンシューマーになります。
  • データセットをグループで共有した場合、メンバーには所有者権限が付与されます。グループの1人のユーザーにコンシューマーアクセスのみを許可します。そのユーザーをグループから削除し、ユーザーを個別に再割り当てして、低い権限を割り当てる必要があります。

共有

共有へのアクセスは、ボタン(AIカタログ)またはアイコン()から行うことができますが、メニューから独立していることがあります(デプロイとプロジェクト)。

ユーザー、ユーザーグループ、または組織を招待してプロジェクトを共有する場合、選択した各ターゲットにはデフォルトのロールである「ユーザー」または「エディター」が割り当てられます。(すべてのエンティティが特定のユーザー数を超えて共有を許可するものはありません。)ロールはドロップダウンメニューから変更できます。

アクセスを共有または削除する場合は、次の点に注意してください。

  • アクセスはアクティブなアカウントとのみ共有できます。
  • 共有できるのは自分のアクセスレベルまでです(コンシューマーはエディターのロールを付与できません)。自分よりも高いアクセスレベルを持つコラボレーターのアクセスをダウングレードすることはできません。
  • すべてのエンティティには少なくとも1人のオーナー(デフォルトではエンティティの作成者)が必要です。作成者を削除するには、そのユーザーは1人以上の別の共同編集者にオーナーのロールを割り当ててから、自分自身を削除する必要があります。
  • データ接続エンティティとデータアセットエンティティには、(「共有を許可する」設定に基づいて)共有できるユーザーが少なくとも1人必要です。

共有モーダルの要素は、共有するエンティティによって異なります。フィールドの説明を特定のフィールドのエンティティと共に以下に示します。

フィールド 説明
名前を追加
ロール 追加するユーザー/グループ/組織のロール(アクセス)を設定します。
共有を許可(AIカタログ、データ接続) アセットを他のユーザーと(共有レベルまで)再共有する権限をコラボレーターに付与します。
データを使用可能(AIカタログ) コラボレーターが特定の操作(データのダウンロード、データセットからのプロジェクトの作成など)にデータセットを使用できるようにします。
名前を入力する エンティティにユーザー/グループ/組織を追加します。入力を開始すると、一致する名前が表示されます(表示される名前は共有権限がある名前です)。名前をクリックして、[次と共有]フィールドに追加します。これらはエンティティのコラボレーターです。リクエストあたり最大100の名前を追加できます。合計数に制限はありません。
オプションの備考(プロジェクト) 最大500文字のメモを追加します。これはDataRobotがコラボレーターに送信する通知に含まれます。
共有ボタン 指定された名前へのアクセスをエンティティに追加します。少なくとも1つの名前が入力されるとアクティブになります。変更は、ボタンの下のフィールドに反映されます。
ユーザー/グループ/組織:タブをクリックして表示
次と共有済み エンティティが共有されている名前のリスト。現在のユーザー(ユーザーのみの場合はオーナー)は、ユーザータブに常に表示されます。エンティティティと協力しているグループや組織がない場合、結果は表示されません。
ロール 追加するユーザー/グループ/組織のロールを設定します。
エンティティ固有のオプション 上記のセクションで設定されたオプションをリセットできます。これを使用して、名前付きの大きいコラボレーターのサブセットの権限を変更します。

プロジェクトのロール

下表では各役割に許可されている一般的な権限を説明しています。以下の固有のロールと権限も参照してください。

操作 オーナー ユーザー コンシューマー
全てを表示する
IDEの起動
予測を作成
特徴量セットの作成と編集
ターゲットを設定する
キューからのジョブの削除
オートパイロットを実行
他のユーザーとのプロジェクトの共有
プロジェクト名を変更
プロジェクトを削除
ホールドアウトのロックを解除
プロジェクトのクローン

共有データ接続とデータアセットのロール

コラボレーションが頻繁に行われるエンタープライズできめ細やかなアクセスをサポートするために、各種機能を定義する3つのユーザーの役割が用意されています。ロールは、データ接続およびデータソース(エンティティ)にわたる権限の3つのレベルを表します。エンティティを共有する場合、エンティティを共有するユーザーにロールを割り当てる必要があります。

備考

データベースドライバーを追加できるのは管理者だけです。

  • エディター: エンティティのアクティブユーザー。このロールには、エンティティに基づく制約があります(読み取りおよび書き込み)。
  • コンシューマー: エンティティのパッシブユーザー(読み取りのみ)。
  • オーナー: エンティティの作成者または割り当てられた管理者。このロールには、最高レベルのアクセスおよび機能(読み取り、書き込み、および管理)があります。

AIカタログに関連するタスクを実行するために必要なロールを次の表に示します。この表では、次の凡例を使用します。

  • コンシューマー(C)
  • データアクセスのあるコンシューマー(CA)
  • エディター(E)
  • データアクセスのあるエディター(EA)
  • オーナー(O)
タスク ユーザー権限
データストア/データ接続
データ接続の表示 C、CA、E、EA、O
接続のテスト C、CA、E、EA、O
データ接続からのデータソースの新規作成 E、EA、O
スキーマとテーブルのリスト E、EA、O
データ接続の編集と名前の変更 E、EA、O
データ接続の削除 O
データセット/データアセット
メタデータおよびコラボレータの表示 C、CA、E、EA、O
共有 コラボレーターは他のユーザーと共有し、ロールを割り当てることができます(割り当てることのできるロールのレベルはコラボレーター自身のロールまでです)。たとえば、コンシューマーはコンシューマーのロールを割り当てることができますが、エディターのロールを割り当てることはできません。オーナーはどのロールでも割り当てることができます。
データサンプルのダウンロード CA、EA、O
データセットをダウンロード CA、EA、O
サンプルデータの表示 CA、EA、O
プロジェクト作成でのデータの使用 CA、EA、O
カスタムモデルトレーニングでのデータセットの使用 CA、EA、O
予測でのデータセットの使用 CA、EA、O
メタデータの変更 E、EA、O
新しいバージョンの作成(リモートまたはスナップショット)* EA、O
再読み込み** EA、O
データセットの削除 O

*「リモート」は、データを見つける場所の情報(URLリンクなど)を参照します。「スナップショット」は実際のデータです。

** データセットが「リモート」の場合、スナップショットに変換されます

デプロイのロール

次の表では、各デプロイの役割の権限を定義します。

操作 オーナー ユーザー コンシューマー
予測の使用*
インベントリでのデプロイの表示
API経由でのデータの取得
モデルの置換
デプロイメタデータの編集
デプロイを削除
デプロイへのユーザーの追加
ユーザーの権限レベルの変更 ✔**
共有デプロイからのユーザーの削除 ✔***

* コンシューマーは、デプロイAPIルートを使用して予測を作成できますが、デプロイは、コンシューマーの予測のデプロイインベントリの一部にはなりません。

** コンシューマーまたはユーザーのみ。

*** オーナーのロールを持つ別のユーザーが存在する場合にのみ自身を削除できます。

モデルレジストリの役割

次の表では、各モデルパッケージのロールに権限を定義します。

オプション 説明 場所
モデルパッケージの表示 モデルターゲット、予測タイプ、作成日などからなるモデルパッケージのメタデータを表示します。 オーナー、ユーザー、コンシューマー
モデルパッケージをデプロイ 選択したモデルパッケージで新しいデプロイを作成します。 オーナー、ユーザー、コンシューマー
モデルパッケージの共有 プロジェクトの権限に関係なく共有機能を提供します。 オーナー、ユーザー、コンシューマー
モデルパッケージの恒久的なアーカイブ プロジェクトの権限に関係なく共有機能を提供します。 オーナー

カスタムモデルおよび環境のロール

次の表では、各カスタムモデルまたは環境のロールに権限を定義します。カスタム環境にはエディターの機能はありません。エディターの機能があるのは、カスタムモデルだけです。

環境のロールと権限

操作 オーナー コンシューマー
環境の使用および表示
メタデータの更新および環境の新しいバージョンの追加
環境の削除

モデルのロールと権限

操作 オーナー エディター コンシューマー
モデルの使用および表示
メタデータの更新およびモデルの新しいバージョンの追加
モデルの削除

*いずれのロールでも、埋め込まれた認証トークンを含むアプリケーションリンクを共有することによってアプリケーションを共有できます。

自動化されたアプリケーションのロール

次の表は、自動化されたアプリケーションでサポートされている各ロールの権限を定義します。

操作 オーナー エディター コンシューマー
予測を作成
アプリケーションの非アクティブ化
DataRobotライセンスを持つその他のユーザーとのアプリケーションの共有
アプリケーションの削除
アプリケーションのアップグレード
アプリケーションの設定の更新

DataRobotでの認証

DataRobotでは、さまざまな認証とセキュリティ機能が搭載されています。たとえば、データベース接続の機能を使用するとき、組織のデータソースへのアクセス操作を実行するたびにデータベースのユーザー名とパスワード認証情報の入力を求めるプロンプトが表示されます。パスワードはDataRobotコンポーネントを介して渡される前に暗号化され、DataRobotでデータベースへの接続が確立された後に復号されます。DataRobotには、いずれの形式でもユーザー名やパスワードは保存されません。

マネージドAIクラウド: アプリケーションWebサイトにログインするには、ユーザーは、ユーザー名とパスワードで認証を受けるか、Googleで認証を受けることができます。認証プロセスは、アプリケーションサーバーへのTLS 1.2を使用してHTTPSで行われます。ユーザーが設定したパスワードは、上に示すデータベースに安全に格納されます。保存する前にパスワードはSHA-512を使用して一意のソルト付きでハッシュされ、BPKDF2で追加の保護が適用されます。元のパスワードは破棄され、恒久的に保存されることはありません。

オンプレミスAIクラスター、プライベートAIクラウドおよびハイブリッドAIクラウド:アプリケーションWebサイトにログインするには、ユーザーは、ユーザー名とパスワードで認証を受けるか、LDAPで認証を受けることができます。SAML 2.0を使用したSSOもサポートされています。Hadoopインストールの場合、KerberosおよびSAML偽装を使用できます。認証プロセスは、アプリケーションサーバーへのTLS 1.2を使用してHTTPSで行われます。ユーザーが設定したパスワードは、上に示すデータベースに安全に格納されます。保存する前にパスワードはSHA-512を使用して一意のソルト付きでハッシュされ、BPKDF2で追加の保護が適用されます。元のパスワードは破棄され、恒久的に保存されることはありません。

DataRobotでは、時間ベースのワンタイムパスワード(TOTP)を使用して生成されたソフトウェアトークンを使用した多要素認証(MFA)を始めとするパスワードベースの認証の強化も行われています。

すべてのAPI通信では、認証要素の機密性を保護するためにTLS 1.2が使用されます。DataRobot APIを操作する場合、認証はHTTP Authorizationヘッダーに含まれるBearerトークンを使用して実行されます。APIを介して予測サーバーを操作する場合は、同じ認証方法を使用します。ユーザー名 + APIトークン(基本認証)またはAPIトークンのみでも認証できますが、これらの認証方法は廃止されているので推奨されません。予測サーバーへのアクセスをさらに制限するには、datarobot-keyという追加のHTTPヘッダーも必要です。


更新しました February 22, 2022
Back to top