アクセス制御の概要
管理者として、適切な参加者のみがオブジェクトにアクセスできるようにする必要があります。アクセス権に関する決定は、アクセス制御規則として表されます。2 種類のアクセス制御規則があります。
• ポリシー規則は、特定のライフサイクル状態にある特定のオブジェクトタイプのオブジェクトに対してドメインで設定され、これらのオブジェクトに対するアクセス制御許可を付与、拒否、またはオーバーライド不可で拒否します。これらの規則は、ドメイン内の指定したタイプおよびライフサイクル状態のオブジェクトに対して、参加者が実行できる操作の種類を決定します。ポリシー規則の集合が、ドメインのアクセス制御ポリシーを形成します。
• アドホック規則は、オブジェクトに対して設定され、特定のオブジェクトに対するアクセス制御許可を付与します。これらの規則は、参加者がオブジェクトに対して実行できる操作の種類を決定します。
たとえば、Publication というグループに対して、WTDocument というタイプのオブジェクトを、ライフサイクル状態が「レビュー中」のときに修正するアクセス許可を与えるポリシー規則を作成できます。別のポリシー規則を作成して、WTDocument オブジェクトのライフサイクル状態が「リリース済み」であるときには、Publication グループに対して、WTDocument オブジェクトを削除するためのアクセス許可をオーバーライド不可で拒否することもできます。さらに、アドホック規則を Publications Plan などの WTDocument の特定のインスタンスに追加すると、Publications グループのアクセス許可にない特定のユーザーグループがこの特定のドキュメントを修正できるようになります。
アクセス制御リスト (ACL) は、アクセス制御規則から導出されます。ACL には、以下の 2 つのタイプがあります。
• ポリシー ACL。オブジェクトタイプに適用されます。
• アドホック ACL。特定のオブジェクトに適用されます。
ACL とは、ユーザーがオブジェクトを操作する際にアクセス制御決定を施行するための基本的なメカニズムです。ACL は、要求に応じて作成され、システムのパフォーマンスを最適化するためにキャッシュされます。
ユーザーが、参加者など、一部の属性がアクセス制御されたオブジェクトを参照するオブジェクトの属性を表示する場合、その属性の値が表示されるかどうかは、参照先のオブジェクトの「読み取り」アクセス許可をユーザーが持っているかどうかによって異なります。通常、ユーザーが参照先のオブジェクトの「読み取り」アクセス許可を持っていない場合、フィールドには属性値の代わりに「セキュリティ保護されている情報」と表示されます。たとえば、ユーザーが製品に関する情報を表示するとします。表示されたページでは、製品属性フィールドの「作成者」の値は、製品を作成したユーザーの名前になります。製品情報を表示するユーザーが、製品を作成したユーザーの「読み取り」アクセス許可を持っていない場合、ユーザーの名前は表示されません。名前の代わりに 「セキュリティ保護されている情報」と表示されます。