Alteryx Serverのロール・ユーザー権限・コレクション権限の違いと運用ベストプラクティス
こんにちは、まつおかです。
Alteryx Serverでは「ロール」「ユーザー権限」「コレクション権限」など複数の権限設定がありますが、今回はそれぞれの違いや優先される権限についてまとめます。
1. 権限の種類
Alteryx Server の権限は、大きく3つの種類に分かれています。
| 種類 | 役割 | 設定者 |
|---|---|---|
| ロール | Serverの操作全般を制御 | Curator(管理者) |
| ユーザー権限 | 特定機能の利用可否を制御 | Curator(管理者) |
| コレクション権限 | コレクション内のアセットアクセスを制御 | コレクションオーナー または Curator |
アセットとは?
Alteryx Server上に登録・公開されているワークフロー、アプリ、スケジュールなどのコンテンツ全般を指します。
ロールとコレクション権限は独立した別の設定です。ロールは「Serverで何ができるか」、コレクション権限は「どのアセットにアクセスできるか」を制御します。
2. ロール:Serverの操作レベルを決定
ロールの種類
ユーザーには以下のいずれかのロールを割り当てます。
| ロール | できること |
|---|---|
| No Access(アクセス権なし) | すべてのアセットへのアクセスをブロック |
| Viewer(ビューアー) | パブリック公開されたワークフローのみ実行 |
| Member(メンバー) | コレクション経由で共有されたワークフロー、およびパブリックワークフローの実行 |
| Artisan(クリエイター) | ワークフローの公開・実行・共有 |
| Curator(管理者) | 管理者用インターフェースへのアクセス、すべての操作 |
| Default(既定) | 新規ユーザー追加時に自動的に割り当てられるロール サーバー設定で変更可能(初期値はViewer) |
ロールの優先度
ロールは以下の優先度で適用されます。
例:
- ユーザーロール = Curator → Curator が適用
- ユーザーロール = Default、グループロール = Artisan → Artisan が適用
- ユーザーロール = Default、グループ未所属、Default = Viewer → Viewer が適用
3. ユーザー権限:機能ごとの利用可否を設定
ロールとは別に、以下のユーザー権限をユーザーごとにON/OFFで設定できます。グループに一括設定することはできません。
| 権限名(英語) | 権限名(日本語) | 内容 |
|---|---|---|
| Schedule Jobs | ジョブのスケジューリング | 特定の時刻に実行されるようワークフローをスケジューリングできる ※サーバー設定側でワークフロースケジューリングも有効化が必要 |
| Prioritize Jobs | ジョブの優先順位付け | キューに複数のジョブがある場合に優先度をつけて実行順を制御できる |
| Tag Jobs | ジョブのタグ付け | ワークフローの実行を特定のワーカーに割り当てられる |
| Create New Collections | 新しいコレクションの作成 | コレクションを新規作成できる |
| API Access | APIアクセス | Server APIにアクセスできる |
| Create or Edit DCM Assets | DCMアセットの作成または編集 | データソース・資格情報・外部保管庫などのDCMアセットを作成・更新できる。この権限がないとDCMアセットをDesignerから同期できない |
| Share DCM Connection Credentials to Run on Server Only | Server上でのみ実行するためにDCM接続の資格情報を共有 | DCM接続資格情報をServer上での実行限定で共有できる |
| Share DCM Connection Credentials for Collaboration | コラボレーションのためにDCM接続の資格情報を共有 | DCM接続資格情報をコラボレーション目的で共有できる |
| Manage Generic Vaults | 汎用保管庫の管理 | DCM汎用保管庫を管理できる |
| Active | アクティブ | オフにするとServer UIへのアクセス自体を無効化できる |
注意: ジョブのスケジューリングは、ユーザー権限のONに加えて、サーバー設定側の「ユーザーによるワークフローのスケジュール設定を許可」も有効になっている必要があります。両方揃って初めて利用可能になります。
4. コレクション権限:アセットへのアクセスを招待制で管理
コレクションとは、ワークフローなどのアセットをまとめておける共有フォルダのような機能です。追加されたユーザーまたはグループだけがそのフォルダを見ることができ、追加されていない場合はフォルダの存在自体が表示されません。チームや部署ごとに専用の共有スペースを作るイメージです。
コレクション内の権限項目
コレクションに追加されたユーザーやグループには、以下の権限を個別に設定できます。
| 権限名(英語) | 権限名(日本語) | 内容 |
|---|---|---|
| Admin | 管理者 | 以下のすべての権限をON |
| Add Assets | アセットの追加 | アセットをコレクションに追加できる |
| Remove Assets | アセットの削除 | コレクションからアセットを削除できる |
| Update Assets | アセットの更新 | Designerでアセットを編集し、コレクションに保存し直せる |
| Add Users | ユーザーの追加 | コレクションにユーザーを招待できる |
| Remove Users | ユーザーの削除 | コレクションからユーザーを削除できる |
コレクション権限のポイント
- Curator(管理者)はすべてのコレクションに常にフルアクセス(Curatorの権限は変更不可)
- 有効期限(Expiration Date)をユーザーやグループ単位で設定できるため、期間限定のアクセス付与にも対応可能
5. ロール × コレクション権限の関係
ロールとコレクション権限は独立しているため、両方を適切に設定する必要があります。
ユーザーがコレクション内のワークフローを実行するには、Member以上のロールを持っていて、かつ、コレクションに招待されている必要があります。
6. 運用のベストプラクティス
▼ デフォルトロールは「No Access」に設定
新規ユーザーが意図せず権限を持つリスクを防ぐため、サーバー設定のデフォルトロールは「No Access」にしておき、管理者が明示的に許可するまで何もできない状態にしておくことでセキュアな運用にすることができます。
▼ ロール管理はグループで一括管理
ユーザーごとにロール設定すると管理が煩雑になりますので、ユーザーは部署や役割ごとに作成したグループに追加するだけにすることをお勧めします。
この場合、ユーザー個別のロールは「Default(既定)」にしておき、グループへの追加や削除により権限をコントロールします。特定のユーザーだけに例外として権限を変えたい場合のみ、個別のユーザーロールを直接設定します。
例:
- 「開発チーム」グループ → ロール:Artisan
- 「閲覧のみ」グループ → ロール:Viewer
- 「管理者」グループ → ロール:Curator
▼ コレクションへの追加もグループ単位で行う
ユーザーにコレクションへのアクセスを付与する場合も、個別にユーザーを追加するのではなくグループをコレクションに追加することをお勧めします。グループにユーザーを追加するだけでコレクションへのアクセスも自動的に付与することができます。
▼ ユーザー権限の一括設定はServer APIを活用
スケジューリングやAPIアクセスなどのユーザー権限は1人ずつしか設定できませんが、Server APIを使えばスクリプトで一括付与できます。ユーザー数が多い場合はAPIの利用が便利です。
さいごに
以上、Alteryx Serverの管理権限と、運用のポイントについてご紹介しました。
3つの権限管理(ロール・ユーザー権限・コレクション権限)を理解した上で、「グループで管理する」 ことが運用をシンプルにするポイントになります。
安全で効率的な運用の一助になれば幸いです!
