Utilisation de rôles dynamiques dans les règles de contrôle d'accès
Les rôles dynamiques représentent les groupes système qui sont créés pour les rôles affectés à des membres d'équipes associées au contexte et partagées. Les groupes système créés dans un contexte d'application représentent les organisations dont certains membres appartiennent à l'équipe associée au contexte.
Les rôles dynamiques peuvent être sélectionnés pour des règles d'accès :
• Dans le contexte du site, les rôles dynamiques sont disponibles lors de la création des règles de contrôle d'accès via l'utilitaire Administration des politiques. Ces rôles dynamiques sont composés d'un rôle d'équipe associée au contexte pour chaque rôle défini dans le fichier wt.project.RoleRB.rbInfo. Dans l'interface du contexte du site, vous ne pouvez pas créer d'autres rôles d'équipe associée au contexte, mais vous pouvez modifier le contenu du fichier wt.project.RoleRB.rbInfo.
• Dans le contexte d'une organisation, les rôles dynamiques sont disponibles lors de la création de règles de contrôle d'accès via l'utilitaire Administration des politiques. Ces rôles dynamiques incluent les rôles d'équipe associée au contexte pour les rôles qui sont configurés de façon à s'afficher dans le tableau Rôles à partir d'un contexte d'organisation donné.
Le jeu initial de rôles qui sont visibles dans le tableau Rôles à partir d'un contexte d'organisation donné provient du contexte du site. Dans un contexte d'organisation, les administrateurs de l'organisation peuvent ajouter, supprimer, afficher et masquer les rôles d'équipe associée au contexte qui sont affichés dans le tableau Rôles. Par conséquent, ils peuvent gérer l'ensemble de rôles d'équipe associée au contexte qui s'affichent lorsque l'utilitaire Administration des politiques est lancé depuis le contexte d'organisation.
Pour en savoir plus, consultez le manuel anglais #PolicyAdminDynamicRolesAbout/ExampleUser.
• Dans les contextes de site et d'organisation, les rôles dynamiques comportent des rôles d'organisation qui représentent les groupes système pouvant être créés dans des contextes d'application. Les rôles d'organisation représentent les organisations dont certains membres appartiennent à l'équipe associée au contexte. Lorsque vous créez une règle de contrôle d'accès, les rôles d'organisation des organisations auxquelles vous avez accès sont disponibles. Les rôles d'organisation sont créés automatiquement. Vous ne pouvez pas en créer vous-même.
Pour en savoir plus, consultez le manuel anglais #PolicyAdminDynamicRolesAbout/ExampleWC.
• Dans un contexte d'application, les rôles dynamiques disponibles lors de la création des règles de contrôle d'accès à l'aide de l'utilitaire Administration des politiques comprennent les rôles d'équipe associée au contexte qui sont affichés dans le tableau Membres de la page Equipe. Lorsque vous créez une règle de contrôle d'accès à partir d'un contexte d'application, il existe également des rôles dynamiques, qui incluent des rôles d'organisation. Ces rôles représentent les groupes système créés dans le contexte de chaque organisation dont certains membres appartiennent à l'équipe associée au contexte. Dans ces rôles d'organisation, les rôles associés aux organisations auxquelles vous avez accès sont disponibles.
Utilisez les rôles dynamiques définis dans les contextes de site et d'organisation pour créer des règles de contrôle d'accès générales. Ces règles peuvent être héritées par les contextes d'application pour tous les utilisateurs qui sont ajoutés à une équipe dans un rôle spécifique ou provenant d'une organisation précise.
|
Les règles de contrôle d'accès créées pour des rôles dynamiques ne s'appliquent qu'aux objets appartenant aux domaines résidant dans des contextes d'application. Cela s'explique par le fait que les rôles sont uniquement utilisés avec les équipes associées au contexte. Les contextes de site et d'organisation ne présentent aucune équipe associée au contexte. Par conséquent, les règles créées pour les rôles dynamiques ne s'appliquent pas aux objets résidant dans des domaines au sein de ces contextes.
|
Exemple : Rôle créé par l'utilisateur
Supposons qu'un groupe des personnes soit chargé de rédiger tous les documents de spécification d'une organisation. Vous souhaitez octroyer à ce groupe les droits suivants : Lire, Télécharger, Modifier le contenu, Modifier, Créer par déplacement et Créer, pour l'ensemble des documents. Pour effectuer cette tâche dans l'Organisation de démonstration, procédez comme suit :
1. Créez le rôle Rédacteur de spécifications dans le tableau Rôles du contexte de l'Organisation de démonstration.
2. Lancez l'utilitaire Administration des politiques à partir de la page Utilitaires dans le contexte Organisation de démonstration.
3. Dans le volet Domaines, sélectionnez le domaine par défaut.
4. Dans l'onglet
Règles de contrôle d'accès, cliquez sur l'icône Créer une nouvelle règle de contrôle d'accès
.
5. Dans la fenêtre Nouvelle règle de contrôle d'accès, sélectionnez les éléments suivants :
Champ | Valeur à sélectionner |
---|
Type | Sélectionnez Document. |
Etat | Sélectionnez Tout. |
Participant | Dans le champ Participant, recherchez Rédacteur de spécifications. Rédacteur de spécifications (Rôle de l'équipe associée au contexte - Organisation de démonstration) s'affiche dans le champ Participant. |
Permissions | Sélectionnez Lire, Télécharger, Modifier, Modifier le contenu, Créer par déplacement et Créer dans la colonne Accorder. | Par défaut, le choix de la permission Créer entraîne la sélection automatique des autres permissions mentionnées ici. |
|
6. Cliquez sur OK pour créer la règle.
La règle du rôle dynamique Rédacteur de spécifications est maintenant créée dans le domaine /Default associé au contexte de l'Organisation de démonstration. Tous les domaines qui sont les descendants du domaine /Default héritent de cette règle. Par défaut, les domaines descendants incluent les domaines PDM, Projet et Equipe partagée, qui sont utilisés lors de la création de contextes d'application non privés et d'équipes partagées. Par conséquent, le domaine /Default d'un contexte d'application dont une équipe utilise le rôle Rédacteur de spécifications et qui a été créé pour un contexte d'application non privé ou une équipe partagée hérite automatiquement de la règle de contrôle d'accès Rédacteur de spécifications.
La création et la gestion des règles d'accès dans des contextes de site et d'organisation où des rôles dynamiques sont sélectionnés comme participants permettent de centraliser l'administration des règles d'accès. Dans un contexte d'application, les participants au rôle dynamique sont traités comme s'ils étaient des groupes système associés aux rôles de l'équipe associée au contexte et aux rôles d'organisation correspondants. Si un jeu de règles de contrôle d'accès est défini pour un groupe système d'équipe associée au contexte et un autre jeu, pour un rôle dynamique correspondant, ces règles sont fusionnées lors de la détermination de la liste de contrôle d'accès aux politiques dans un domaine particulier et pour un type et un état spécifiques. Prenons l'exemple suivant :
• La règle de contrôle d'accès du rôle dynamique Rédacteur de spécifications a été créée comme dans l'exemple précédent.
• Le projet Super Vélo a été créé avec un niveau d'accès autre que Membres du projet uniquement dans l'Organisation de démonstration et utilise le domaine /Default standard. La hiérarchie du domaine /Default inclut en tant que parent le domaine /Default associé à l'Organisation de démonstration où la règle de contrôle d'accès du rôle dynamique Rédacteur de spécifications a été créée.
• Le rôle Rédacteur de spécifications est ajouté au projet Super Vélo.
Ensuite, la LCA générée pour le groupe système Rédacteur de spécifications dans le projet Super Vélo inclut les permissions accordées par la règle de politique créée pour le rôle dynamique Rédacteur de spécifications dans le contexte Organisation de démonstration. Le groupe système Rédacteur de spécifications peut avoir d'autres règles de politique et des règles ad hoc créées à partir du projet Super Vélo. S'il y a d'autres règles de politique, toutes les règles de politique (notamment celle définie pour le rôle dynamique Rédacteur de spécifications) sont fusionnées. Pour plus d'informations sur les domaines et les hiérarchies de domaine, consultez la section
Administration des domaines et des règles.
| Pour utiliser efficacement les règles de contrôle d'accès créées dans les contextes de site et d'organisation pour les rôles dynamiques, vous devez examiner les règles de contrôle d'accès définies dans les modèles de contexte d'application et d'organisation qui sont utilisés pour créer les contextes. Déterminez les modifications à apporter à ces modèles afin que les règles définies pour les rôles dynamiques ne soient pas dupliquées dans les modèles. Vous pouvez charger des exemples de modèles de rôle dynamique, qui définissent plusieurs règles de contrôle d'accès pour les rôles dynamiques utilisant un modèle d'organisation. Les règles sont ensuite utilisées dans les contextes d'application qui sont créés à partir de modèles de projet, de bibliothèque et de produit pour un exemple de rôle dynamique. Pour plus d'informations sur les exemples de modèles de rôle dynamique, consultez la section Utilisation des rôles dynamiques. |
Exemple : Rôle d'organisation créé par Windchill
Supposons que vous disposiez de deux organisations : Sales et Manufacturing. Vous avez également deux produits : Beach Umbrella et Sport Umbrella. Six utilisateurs sont répartis entre les différents produits et organisations, comme illustré dans le tableau ci-dessous :
Utilisateur | Organisation | Produit |
---|
Pat | Ventes | Sport Umbrella |
Paul | Ventes | Sport Umbrella |
Pam | Ventes | Beach Umbrella |
Dawn | Fabrication | Beach Umbrella |
Dave | Fabrication | Beach Umbrella |
Debbie | Fabrication | Sport Umbrella |
Windchill crée les groupes système suivants et les rôles d'organisation correspondants pour le produit Parapluie sport :
Groupe | Membres | Rôle d'organisation |
---|
Ventes | Pat, Paul | Ventes |
Fabrication | Debbie | Fabrication |
Windchill crée les groupes système suivants, ainsi que les rôles d'organisation correspondants pour le produit Beach Umbrella :
Groupe | Membres | Rôle d'organisation |
---|
Ventes | Pam | Ventes |
Fabrication | Dawn, Dave | Fabrication |
Vous créez une règle de contrôle d'accès aux politiques au niveau du site, qui accorde à tous les utilisateurs du rôle dynamique "Fabrication" la permission Modifier pour les objets d'article. Cette règle est héritée par le domaine hébergeant les articles du produit Beach Umbrella. Par conséquent, lorsqu'un article est accessible dans le produit Beach Umbrella, la règle de niveau site s'applique pour Dawn et Dave, car ils sont membres du groupe système Manufacturing de l'organisation. De même, lors de l'accès à un article du produit Sport Umbrella, la règle de niveau site s'applique à Debbie. Si Dave était également membre de l'équipe associée au produit Sport Umbrella, la règle s'appliquerait également à lui dans le cas des articles de ce produit, car il ferait partie du rôle dynamique "Manufacturing", comme Debbie.
Rubriques connexes