配置安全标签的事前准备
在准备为站点配置安全标签之前,请执行以下操作:
• 决定要为您的站点配置哪种安全标签,并确定该标签是自定义安全标签还是标准安全标签。为每个标准安全标签建立值列表。
可根据各种需要而定义多个安全标签。要查看对象,用户必须具有对象中设置的所有安全标签值的访问权限。
有关自定义安全标签的详细信息,请参阅“高级自定义”部分中的“自定义安全标签”主题。
• 确定谁将成为各自定义安全标签或标准安全标签值的授权参与者,即对象应用安全标签值后,谁将获得对象的访问权限。此外,还需要考虑是否可使用唯一联合标识符 (UFID) (如果参与者位于 LDAP 中) 或 WTPrincipalReference (如果参与者位于数据库中) 来指定授权参与者,或者考虑是否需要编写自定义评估器类来确定拥有各自定义或标准标签值访问权的参与者。
使用 UFID 指定授权参与者时,UFID 可以指定用户、用户定义的组或组织,但最常见的是用户定义的组。使用组作为已授权的参与者能够轻松地添加或更改组成员资格,方法是使用“参与者管理”实用程序的 > 页面,或者用于管理 LDAP 目录服务中各组的第三方 LDAP 工具。
如果使用自定义评估器类指定授权参与者,则授权当前用户的方式有多种,具体视自定义评估器的实施方式而定。例如,自定义评估器将检查用户是否为特定组的成员,这与使用 UFID 类似。或者,自定义评估器可以查询 Windchill 的外部系统,该系统列出了拥有特定标签值访问权限的参与者。
有关最适合您站点的已授权参与者的信息,请参阅“高级自定义”一节中的“为自定义安全标签指定已授权的参与者”主题。
• 如果标签值只用于提供信息,则可以忽略授权参与者,以指示所有用户均将获得该值的访问权限。
• 或者,创建必要的组作为授权参与者。
| 创建用户定义的组时,请确保记录各个组的可分辨名称以及用于存储各个组的目录服务,因为在配置期间需要此信息。 |
• 确定是否要为站点启用协议。如果要启用协议,则必须进行以下操作:
◦ 在站点上下文中创建或标识现有协议管理者组。在示例配置中,该组是“协议管理者”组。请确保记录各个组的可分辨名称以及用于存储各个组的目录服务,因为在配置期间需要此信息。还需要为协议管理者组的成员设置访问控制权限。有关设置这些权限的详细信息,请参阅
设置协议管理者的访问控制权限。
◦ 如果希望使用多种类型的协议,则可创建“协议”类型的子类型。每种自定义安全标签或标准安全标签值都可以选择性地与一种协议类型相关联。请确保记录每种协议子类型的内部名称,因为在配置期间需要此信息。
| 如果计划使用基于上下文的协议,PTC 建议您为基于上下文的协议和标准协议创建子类型。这样便可以更容易地为每种类型维护策略访问控制规则,在默认情况下,这两种类型都是从该协议类型继承而来的。 |
• 确定在用户尝试下载对象内容时,是否显示下载确认消息。
• 确定是否存在要隐藏其安全标签的特定对象类型,因此无法设置非空安全标签值。有关带有安全标签的对象类型的列表,请访问 <Windchill>/conf/exposedSecurityLabelObjects.xml 文件,其中 <Windchill> 是 Windchill 解决方案的安装位置。
• 确定安全标签更改应用到对象的指定版本还是对象的所有版本。例如,用户在某部件的最新版本 B.1 上启动了“编辑安全标签”操作,默认情况下,用户选择的安全标签设置仅会应用到部件的 B.1 版本。但是,可以使用首选项“将安全标签更改应用到对象版本”和以下选项更改默认值:
◦ “始终应用到所有版本”
◦ “始终应用到已编辑的版本”
◦ 在“编辑安全标签”页面上显示一个复选框,用户可以使用该选项将安全标签更改应用到对象的所有版本。您可以选择“显示所有版本选项已选中”值让此复选框处于预选状态,或选择“显示所有版本选项未选中”值让此复选框处于取消选中状态。如果选择此复选框,则对安全标签进行的更改将应用到所有版本。如果取消选择此复选框,则更改将应用到已编辑版本。
如果将安全标签更改应用到对象的所有版本,则可能需要更改策略访问控制规则。例如,如果当前应用的策略规则阻止对已发布状态的对象进行修改,则启用该属性将阻止对象已发布状态的版本进行更新。
• 确定“修改安全标签”权限在 Windchill 权限列表中是可更新、只读还是隐藏。这由“访问权限配置”(针对“项目群”、“项目”、“组织”和“站点”上下文) 和“访问权限配置 (PDM)” (针对“存储库”和“产品”上下文) 首选项控制。这些首选项在 > 实用程序中进行管理。默认情况下,这两个首选项会隐藏“修改安全标签”权限。