DataverseにおけるRLSとOLSによるデータ可視性・アクセス制御

Dataverse アプリでは、ユーザーのデータアクセスを慎重に制御する必要があります。重要なガバナンスプラクティスとして、行レベルセキュリティ (RLS) とオブジェクトレベルセキュリティ (OLS) があります。RLS は、従業員が自分のデータのみを表示できるなど、ユーザーがどの特定のレコードを表示できるかを決定します。一方、OLS は、ほとんどのユーザーから「給与」列を非表示にするなど、テーブル全体とそのフィールドの可視性を制御します。これらを組み合わせることで、ユーザーは関連性があり保護された情報にのみアクセスできるようになります。RLS はセキュリティロールと階層セキュリティを通じて管理され、OLS はテーブル権限とフィールドレベルセキュリティプロファイルを使用します。人事アプリのシナリオでは、一般の従業員は、セキュリティロールの「ユーザー」読み取り権限を使用して、自分のレコードに制限できます。マネージャーは、ロールの「ビジネスユニット」読み取り権限を設定することで、自分のビジネスユニット内の従業員を表示できます。人事担当者は、すべての従業員レコードに完全にアクセスするために、「組織」レベルの読み取り権限が必要です。機密性の高いフィールド（「給与」など）を非表示にするには、フィールドセキュリティプロファイルが使用されます。「給与」列のフィールドセキュリティを有効にし、ユーザーを特定のプロファイルに割り当てることで、指定された担当者のみが表示または編集できるようになります。ベストプラクティスには、事前にロールを計画する、セキュリティグループを使用する、徹底的なテストを行う、最小権限の原則を遵守する、すべてのセキュリティ構成を文書化することが含まれます。この包括的なアプローチにより、機密データが保護され、アプリケーションガバナンスが強化されます。