アクセス制御ポリシー規則について
一般的な管理作業の 1 つとして、ドメインごとに管理されているオブジェクトへのアクセスを制御するポリシー規則の指定があります。これらの規則を作成する際に、管理者はドメインのアクセス制御ポリシーをカスタマイズします。その後、ドメインのポリシーとそのすべての祖先ドメインのポリシーに基づいてアクセス制御リスト (ACL) が生成され、アドホック ACL とともに使用されて、アクセス制御が実行されます。詳細については、
ドメインベースの ACL とアドホック ACL を管理する規則を参照してください。
ドメインのアクセス制御規則は、オブジェクトタイプ、ライフサイクル状態、参加者、およびその関連するアクセス許可の間のマッピングを定義したものです。アクセス制御規則は、特定のタイプと特定の状態のオブジェクトへのアクセスに関する参加者の権限を定義します。たとえば、「Engineering」ドメインの WTDocument というタイプのオブジェクトが「レビュー中」の状態の場合に、Publications というユーザーグループの全メンバーに、すべてのオブジェクトの「読み取り」アクセス許可を与えるアクセス制御規則を作成できます。アクセス制御規則は、指定した参加者以外のすべての参加者に適用することもできます。たとえば、「Engineering」ドメインの WTDocument というタイプのオブジェクトが「作業中」の状態の場合に、Publications グループのメンバーを除くすべてのメンバーに、すべてのオブジェクトの「削除」アクセス許可を与えるアクセス制御規則を作成できます。
オブジェクトタイプは、同じ属性と機能を共有するオブジェクトのカテゴリを指します。たとえば、オブジェクトタイプの 1 つとして WTDocument がありますが、ユーザーが作成したいくつかのドメインにこのタイプの複数のインスタンスが存在する可能性があります。Windchill のドメインは階層構造になっているので、ドメインのアクセス制御規則は子ドメインに継承されます。たとえば、「Design」ドメイン内のすべての状態のオブジェクトタイプ WTDocument に対して定義されているアクセス制御規則は、そのドメイン内または子ドメイン内のタイプ WTDocument のインスタンスに適用されます。Windchill タイプも階層構造になっているので、オブジェクトは親タイプから定義された規則を継承します。したがって、指定された 1 つのオブジェクトに複数の規則を適用できます。たとえば、AnnotationSet タイプに適用する規則は StructuredAnnotationSet タイプにも適用されます。さらに、StructuredAnnotationSet に固有のアクセス制御規則がある可能性があります。
「ポリシー管理」ユーティリティに表示されるオブジェクトタイプは、WTObject と、wt.access.PolicyAccessControlled インタフェースを実装するその子オブジェクトタイプです。さらに、以下のいずれかの条件を満たしている必要があります。
• インスタンス化可能である。オブジェクトタイプがインスタンス化可能である場合、そのタイプのオブジェクトインスタンスを生成できます。タイプをインスタンス化可能にするかどうかを制御するには、
「タイプおよび属性の管理」ユーティリティを使用します。詳細については、
タイプおよび属性の管理ユーティリティの使用を参照してください。
• wt.properties ファイルの wt.admin.hierarchyListAdditions.wt.access.PolicyAccessControlled プロパティにそのタイプが指定されている。
参加者とはプリンシパルのことで、以下のいずれかになります。
• 個人ユーザー
• ユーザー定義グループ
• システムグループ
• ダイナミック役割 (コンテキストチームの役割または組織の役割)
• 疑似役割 (「オーナー」または「すべて」)
• 組織
• 論理グループ (メンバーは、管理者ユーザー、選択したユーザー、選択したグループ、ダイナミック役割、または組織のユーザーを除く、すべてのユーザー)
ユーザー、グループ、組織、およびダイナミック役割の詳細については、
参加者管理についてを参照してください。
ほとんどの場合、グループ、役割、または組織に対してアクセス制御を定義します。システムグループとユーザー定義グループは、「グループ」タブに一緒に表示されます。ダイナミック役割と疑似役割は、いずれも「役割」タブに表示されます。グループ、役割、または組織を使用すると、複数のユーザーに対して規則を一度に適用できるので、管理作業の軽減に役立ちます。ただし、特定のユーザーに対する規則を作成しなければならない場合もあります。その例としては、ほかの規則によってグループ全体に付与されているアクセス許可を、1 人のグループメンバーに対し明示的に拒否するアクセス制御規則があります。特定の参加者を除くすべてのメンバーに対する規則の定義が必要となる場合もあります。たとえば、管理者グループを除くすべての参加者に対して、アクセス制御規則で管理者アクセス許可を拒否することができます。
アクセス許可は、オブジェクトに対して許可された操作を示します。アクセス許可については、以下のセクションで詳しく説明します。