|
Für umfassende Berechtigungsanforderungen sollten Sie kontextunabhängige Teilnehmer in Betracht ziehen. Dies sorgt für eine optimale Größe des Teams und reduziert die Auswirkungen auf die Systemverarbeitungsressourcen. Für Berechtigungsanforderungen, die von Kontext zu Kontext variieren, verwenden Sie kontextspezifische Teilnehmer.
|
Systemressourceneffizienz
|
|
Wann am besten geeignet
|
Wenn die Berechtigungsanforderungen für bestimmte Teilnehmergruppen sich nicht von Anwendungskontext zu Anwendungskontext unterscheiden
|
Verwendungshinweise
|
Die Teilnehmer sollten nicht zum Team hinzugefügt werden. Stattdessen sollten ihnen die erforderlichen Berechtigungen über Zugriffssteuerungsregeln gewährt werden.
|
Beispiele
|
Beispiel 1
Eine komplette Organisation benötigt Lesezugriff auf spezifische Typen von Daten in jedem öffentlichen Produkt innerhalb der Organisation. In diesem Fall würde eine Option darin bestehen, alle Benutzer in der Organisation zur Gastrolle in jedem Produkt hinzuzufügen. Dies ist ein verarbeitungsintensiver Ansatz. Stattdessen kann Benutzern mithilfe von Zugriffsrichtlinien Lesezugriff auf bestimmte Objekttypen in einer geeigneten Domäne wie der Domäne "/Default/PDM" der Organisation gewährt werden.
Beispiel 2
Eine bestimmte Benutzergruppe führt Aufgaben im Rahmen der Compliance-Prüfung in jedem Anwendungskontext durch. Die Erstellung einer Rolle für die Compliance-Prüfung und das Hinzufügen derselben Benutzer zu dieser Rolle für jeden Anwendungskontext verursacht unnötigen Mehraufwand. Stattdessen können der Benutzergruppe die erforderlichen Berechtigungen mithilfe von Zugriffsrichtlinien für eine benutzerdefinierte Gruppe "Compliance-Prüfung" in einer geeigneten Domäne wie der Domäne "/" (Root) des Standorts gewährt werden.
|
Weitere Hinweise
|
Für Benutzer, die keine Mitglieder des Anwendungskontext-Teams sind, werden die Anwendungskontexte nicht auf der Seite "Produkt", "Bibliothek", "Programm" oder "Projektliste" der Benutzeroberfläche aufgeführt. Benutzer können sie jedoch suchen. Wenn Benutzer über entsprechende Berechtigungen verfügen, werden die Anwendungskontexte gefunden. Nach dem Zugriff werden die Anwendungskontexte in die zuletzt genutzten Listen im Navigator geladen und stehen dort zur späteren Verwendung zur Verfügung.
Wenn diese Benutzer auf Aktionen zugreifen müssen, die für Nicht-Teammitglieder nicht automatisch sichtbar sind, können die Einstellungen "Aktionen für Rollen konfigurieren" des Teams verwendet werden, um die nötigen Aktionen für Nicht-Teammitglieder sichtbar zu machen. Solche Regeln können mit Kontextvorlagen automatisch für neue Kontexte weitergegeben werden. Unter Umständen müssen auch einige Funktionen, z.B. die Teilnahme an Workflows, für Nicht-Teammitglieder anders eingestellt werden.
Die Zugriffsrichtlinienregeln, die für solche Benutzer für die Navigation zu verschiedenen Typen von Daten innerhalb des Anwendungskontexts benötigt werden, können von Fall zu Fall anders sein. Diese Berechtigungen sollten identifiziert und richtig gewährt werden.
|
Mehr Informationen
|
Systemressourceneffizienz
|
|
Wann am besten geeignet
|
• Die Teilnehmer benötigen Zugriff auf Objekte innerhalb eines Anwendungskontexts, und zwar basierend auf ihrer Rolle in diesem Kontext.
• Die gleiche Teamstruktur kann für mehrere ähnliche Anwendungskontexte angewendet werden, mit wenigen oder gar keinen Änderungen.
• Die gleichen Benutzer oder Gruppen agieren in all diesen Anwendungskontexten in denselben Rollen.
• Kann lokal erweitert werden, um weitere Anforderungen zu erfüllen (siehe "Weitere Hinweise" unten).
|
Verwendungshinweise
|
• Gemeinsam benutzte Teams werden aufgrund der allgemeinen Berechtigungen, die Benutzern gewährt werden müssen, oft für Bibliotheksteams verwendet.
• In anderen Fällen können mehrere gemeinsam benutzte Teams für verschiedene Produkte und Projekte erstellt werden.
|
Weitere Hinweise
|
Gemeinsam benutzte Teams sind am effizientesten, wenn sie nicht lokal erweitert werden. Beim lokalen Erweitern des Teams wird eine lokale Team-Instanz erstellt, die einige der Leistungsvorteile reduziert, die mit dem gemeinsam genutzten Team erzielt werden sollen. Abhängig davon, in welchem Maße das gemeinsam benutzte Team in jedem lokalen Team verändert wird, kann mit dem gemeinsam benutzten Team überhaupt kein echter Vorteil erzielt werden.
|
Mehr Informationen
|
Systemressourceneffizienz
|
|
Wann am besten geeignet
|
• Die Teilnehmer benötigen Zugriff auf Objekte innerhalb eines Anwendungskontexts, und zwar basierend auf ihrer Rolle in diesem Kontext.
• Die Teamstruktur ist für jeden Anwendungskontext gibt spezifisch.
• Welche Teilnehmer in den Teamrollen agieren, unterscheidet sich je nach Anwendungskontext.
|
Verwendungshinweise
|
• Erstellen Sie breite Gruppierungen von Benutzern auf Grundlage ihrer Zuständigkeiten.
• Fügen Sie die Gruppen bestimmten Rollen im Team hinzu.
• Erstellen Sie keine eindeutigen Benutzergruppierungen für jeden einzelnen Kontext. Erwägen Sie, wiederverwendbare Benutzergruppen zu verwenden.
|
Weitere Hinweise
|
Idealerweise wird die Anzahl von Teilnehmern, die Mitglied eines lokalen Teams sein müssen, auf die optimale Anzahl festgelegt.
|
Mehr Informationen
|
Ineffiziente Vorgehensweise beim Team-Entwurf
|
Mängel
|
Empfohlene Vorgehensweise
|
---|---|---|
Hinzufügen jedes Benutzers in der Organisation zur Gastrolle (oder zu einer anderen Rolle) in jedem Team, um eine Leseberechtigung für Anwendungskontextdaten zu gewähren.
|
Sehr große Teamstrukturen beanspruchen Systemressourcen sehr stark.
|
Stellen Sie grundlegende Zugriffsberechtigungen mithilfe von Richtlinienregeln bereit. Verwenden Sie als Anzahl der Benutzer, die einem Team direkt zugeordnet sein müssen, die optimale Anzahl.
|
Äußerst präzise Berechtigungskontrolle durch das Erstellen von Hunderten von Rollen für jedes Team.
|
Sehr große Teamstrukturen beanspruchen Systemressourcen sehr stark.
|
Denken Sie an den Leistungskompromiss, den Sie beim Erstellen vieler spezialisierter Rollen eingehen müssen. Verwenden Sie als Anzahl von Rollen in einem Team die optimale Anzahl.
|
Verwenden Sie Produkt- oder Bibliotheksvorlagen zur Angabe der gleichen Zugriffssteuerungsregeln, die für Teamrollen in allen Produkten oder Bibliotheken erstellt werden sollten.
|
Dies führt zu unnötiger Duplizierung, da die gleichen Richtlinien-Zugriffssteuerungsregeln für dieselbe Rolle in jedem Produkt erstellt werden.
|
Erstellen Sie wenn möglich Richtlinien-Zugriffssteuerungsregeln für dynamische Rollen auf Organisationsebene, anstatt sie in jedem Anwendungskontext zu duplizieren. Weitere Informationen finden Sie unter Dynamische Rollen in Zugriffsregeln verwenden.
|
Eindeutige Benutzergruppen werden adhoc für Rollenzuweisungen in Produkten erstellt. Die Gruppen werden nicht wiederverwendet und sind spezifisch für ein einzelnes Produkt.
|
Die Folge können viele Benutzergruppen mit ähnlichen Teilnehmermitgliedschaften sein. Dies erschwert die Pflege von Benutzergruppen und überlädt das LDAP.
|
Organisieren Sie Benutzer in wiederverwendbaren Benutzergruppen, anstatt eindeutige Benutzergruppen für jeden Kontext zu erstellen. Alternativ können Sie auch Benutzer direkt Teams zuordnen, anstatt Benutzergruppen zu erstellen und diese Gruppen Rollen zuzuordnen. Die zweite Methode ist nicht so effizient wie die erste.
|