|
В случае универсальных требований к разрешениям рассмотрите возможность использования независимых от контекста участников. Это позволит сохранить оптимальный размер коллектива и снизить нагрузку на технологические ресурсы системы. В случае потребностей в разрешениях, которые изменяются в зависимости от контекста, используйте участников определенного контекста.
|
Эффективность использования системных ресурсов
|
|
В каких случаях является наилучшим вариантом
|
Если требования к разрешениям для определенных групп участников не изменяются при переходе из одного контекста приложения в другой.
|
Как использовать
|
Участников вообще не требуется добавлять в коллектив. Вместо этого нужно предоставить им необходимые разрешения с помощью правил управления доступом.
|
Примеры
|
Пример 1
Всей организации требуется доступ на чтение к определенным типам данных в каждом общедоступном изделии в организации. В этом случае одним из вариантов может быть добавление всех пользователей в организации к роли гостя в каждом изделии. Такой подход требует интенсивного использования технологических ресурсов. Вместо этого можно предоставить пользователям доступ на чтение с помощью правил политики доступа для определенных типов объектов в соответствующем административном домене, например в домене организации /Default/PDM.
Пример 2
Определенная группа пользователей осуществляет проверку соответствия в каждом контексте приложения. Установление роли проверки соответствия и добавление к этой роли одних и тех же пользователей для каждого контекста приложения добавляет ненужные накладные расходы. Вместо этого можно предоставить группе пользователей необходимые разрешения с помощью правил политики доступа для определяемой пользователем группы "Проверка соответствия" в соответствующем административном домене, например в домене сайта / (корень).
|
Дополнительные соображения
|
Для пользователей, которые не являются участниками коллектива контекста приложения, контексты приложений не будут приведены на странице списка изделий, библиотек, программ или проектов в интерфейсе пользователя. Однако пользователи могут выполнять их поиск. При наличии соответствующих разрешений пользователь сможет найти контексты приложений. Контексты приложений, к которым обращался пользователь, загружаются в списки недавно открывавшихся приложений в навигаторе, где их можно будет найти для последующего использования.
Если таким пользователям требуется доступ к действиям, которые не отображаются автоматически для тех, кто не является участником коллектива, настройки раздела "Настроить действия для ролей" для коллектива позволяют сделать эти действия видимыми для пользователей, не входящих в коллектив. Такие правила могут автоматически предоставляться новым контекстам через шаблоны контекстов. Также для пользователей, не являющихся участниками коллектива, может потребоваться иначе настроить некоторые функции, например участие в рабочих процессах.
Правила политики доступа, необходимые таким пользователям для перехода к другим типам данных в контексте приложения, могут отличаться в зависимости от конкретного случая. Необходимо должным образом определить и предоставить соответствующие разрешения.
|
Дополнительные сведения
|
Эффективность использования системных ресурсов
|
|
В каких случаях является наилучшим вариантом
|
• Участникам требуется доступ к объектам, находящимся в контексте приложения, на основе их роли в контексте.
• Такую же структуру коллективов (без изменений или с минимальными изменениями) можно применять для множества подобных контекстов приложений.
• Одни и те же пользователи или группы используют одинаковые роли во всех таких контекстах приложений.
• Доступна возможность локального распространения в соответствии с дополнительными требованиями (см. дополнительные соображения ниже).
|
Как использовать
|
• Общие коллективы часто используются для коллективов библиотек из-за базовой природы разрешений, предоставляемых пользователям.
• В других случаях можно создать несколько общих коллективов для обслуживания различных наборов изделий и проектов.
|
Дополнительные соображения
|
Общие коллективы наиболее эффективны в том случае, если они не распространены локально. При локальном распространении создается экземпляр локального коллектива. Это уменьшает положительное влияние на быстродействие, ожидаемое от использования общего коллектива. В зависимости от степени изменения общего коллектива в каждом локальном коллективе, фактический положительный эффект общего коллектива может вообще быть сведен к нулю.
|
Дополнительные сведения
|
Эффективность использования системных ресурсов
|
|
В каких случаях является наилучшим вариантом
|
• Участникам требуется доступ к объектам, находящимся в контексте приложения, на основе их роли в контексте.
• Структура коллектива является специфичной для каждого контекста приложения.
• Участники в ролях коллектива специфичны для каждого контекста приложения.
|
Как использовать
|
• Создайте расширенные группы пользователей в соответствии с их кругом обязанностей.
• Добавьте группы к определенным ролям в коллективе.
• Не создавайте уникальных групп пользователей для каждого отдельного контекста. Рассмотрите возможность применения повторно используемых групп пользователей.
|
Дополнительные соображения
|
В идеале локальный коллектив должен содержать оптимальное число участников.
|
Дополнительные сведения
|
Неэффективный метод конструирования коллективов
|
Недостатки
|
Оптимальный метод
|
---|---|---|
Добавление каждого пользователя в организации к роли гостя (или любой другой роли) в каждом коллективе, чтобы предоставить право на чтение для данных контекста приложения.
|
Очень большие структуры коллективов создают значительную нагрузку на ресурсы системы.
|
Используйте правила политики для предоставления базовых прав доступа. Поддерживайте оптимальное число пользователей, которых необходимо непосредственно связать с коллективом.
|
Обеспечение очень точного управления разрешениями посредством создания сотен ролей для каждого коллектива.
|
Очень большие структуры коллективов создают значительную нагрузку на ресурсы системы.
|
Учитывайте ухудшение быстродействия при определении большого числа специализированных ролей. Поддерживайте оптимальное число ролей в коллективе.
|
Не используйте шаблоны изделия или библиотеки для определения одинаковых правил управления доступом к политике, которые должны быть созданы для ролей коллектива во всех изделиях или библиотеках.
|
Это приведет к ненужному дублированию, когда одинаковые правила доступа к политике создаются для одинаковых ролей в каждом изделии.
|
По возможности создавайте правила управления доступом к политике для динамических ролей на уровне организации вместо их дублирования в каждом контексте приложения. Дополнительные сведения см. в разделе Использование динамических ролей в правилах управления доступом.
|
На динамической основе создаются уникальные группы пользователей для назначения ролей в изделиях. Группы не используются повторно и являются специфичными для одного изделия.
|
Может привести к созданию множества групп пользователей с одинаковой принадлежностью участников. Это усложняет обслуживание групп пользователей и перегружает LDAP.
|
Организовывайте пользователей в повторно используемые группы пользователей вместо создания уникальных групп пользователей для каждого контекста. Либо связывайте пользователей непосредственно с коллективами вместо создания групп пользователей и связывания этих групп с ролями. Второй метод не так эффективен, как первый.
|