アクセス制御ポリシーからの ACL の生成
ACL は、アクセス制御の実行に使用されるメカニズムです。このセクションでは、いかにして ACL がドメインのアクセス制御ポリシーから生成されるかについて説明します。次のセクションでは、ACL の働きについて説明します。
ACL は、オブジェクトタイプ、状態、ドメインごとに生成されます。オブジェクトは、所属するドメイン、タイプ、状態が一致する ACL に関連付けられます。たとえば、指定されたドメインにある、指定されたライフサイクル状態のすべての WTDocument オブジェクトが、同じ ACL に関連付けられます。また、この ACL は、同じドメインに属している WTPart オブジェクトに関連付けられた ACL とは異なります。
オブジェクトの ACL は、オブジェクトのタイプ、状態、およびドメインに適用されるすべての規則を組み合わせることによって取得されます。この定義を明確にするには、規則を組み合わせる方法、および特定のタイプのオブジェクトに規則を適用するタイミングを指定する必要があります。
ある規則が所定のタイプに適用できるのは、アクセス制御規則で参照されているオブジェクトタイプが、そのタイプ自体または祖先タイプのいずれかである場合です。たとえば、IncidentReport が WTDocument のサブタイプであれば、WTDocument タイプに適用する規則はインシデントレポートにも適用されます。
特定タイプのオブジェクトに適用する規則は、アクセス許可のタイプと参加者が同じである規則を結合して組み合わされます。後項に含まれる全アクセス許可の和集合を求めると、規則が結合されます。
たとえば、以下の規則の組み合わせについて考えてみます。
ドメイン
タイプ
状態
参加者
付与されるアクセス許可
規則 1:
/ (サイト)
WTObject
作業中
解析者
読み取り
規則 2:
/Parts (Bike Production)
WTObject
作業中
エンジニア
読み取り
規則 3:
/Parts (Bike Production)
Incident Report
作業中
解析者
修正
これらの規則を組み合わせて、以下の ACL エントリが、Bike Production コンテキスト内の「/Parts」ドメインに「作業中」状態のインシデントレポート用に生成されます。
タイプ
状態
参加者
付与されるアクセス許可
/Parts (Bike Production)
Incident Report
作業中
解析者
読み取り、修正
/Parts (Bike Production)
Incident Report
作業中
エンジニア
読み取り
これは役に立ちましたか?