• アクセス制御をバイパスしたり、権限のエスカレーションを許可したりしないでください。システム呼び出しに必要な場合は、定義済みのコーディングパターンを使用して、必要に応じてアクセス許可が再確立されるようにします。

• サーバー側認証チェックは、すべての操作またはオブジェクトアクセスについて必ず実行されます。

◦ 操作バリデータで認証をチェックするだけでは十分ではありません。操作を実行するサービスは、必要な認証を適用する必要があります。認証要件には、アクセス許可、特定のグループへのメンバーシップ、所有権などが含まれます。

◦ オブジェクトのアクセス権が別のオブジェクト (リンクオブジェクト、ワークスペース、プリファレンスなど) から派生している場合、オブジェクトに対して操作を実行する前に、サーバー側で認証が検証されます。

• アクセス制御は汎用エラーメッセージを使用して安全に失敗するようにします。ユーザーに機密情報を開示しないでください。

• 失敗した決定を含む、アクセス制御に関するすべての決定がログに記録されます。

• セキュリティ監査イベントが呼び出され、Windchill ビジネスオブジェクトに対する認証の失敗が取り込まれます。

• クロスサイトリクエストフォージェリ (CSRF): Windchill ビジネスオブジェクトの作成、修正、削除、チームメンバーシップの修正、アクセス制御の修正などの操作を実行する操作は、CSRF 攻撃から保護するために CSRFProtector API を使用します。JCA および GWT インフラストラクチャを使用する操作では、CSRF 保護がすでに実施されています。

• 許可された統合は、Windchill コンフィギュレーションによって確立されている、セキュリティで保護された接続を使用する必要があります。代替通信は許可されていません。