セキュリティラベルと免除承諾の効果的な適用方法
セキュリティラベルを設定したシステムについては、次の最良事例を考慮してください。
• 機密情報が含まれていないオブジェクトでは、セキュリティラベル値を Null に設定します。Null 以外のセキュリティラベル値を情報マークとして設定する方法もあります。セキュリティラベル値が Null であるか Null 以外の情報マークが設定されているオブジェクトへのアクセスは制限されず、Windchill システムはユーザーが承認された参加者であるかどうかを確認する必要がありません。
• 1 つ以上のラベル値によってオブジェクトへのアクセスを制限する場合にのみ、セキュリティラベルを使用します。そうでない場合、オブジェクトに Null 以外の情報マークを設定するのではなく、グローバル属性を使用します。情報マーク専用のセキュリティラベルはグローバル属性に置き換わるものではありません。
• 機密情報を含むオブジェクトの場合、参加者が一定期間の間だけアクセスする必要がある場合を除き、ラベル値の承認された参加者グループに参加者を追加します。免除承諾は、セキュリティラベル値による制限に対する例外としてのみ使用します。免除承諾をアクティブにすることができる期間には制限がありませんが、セキュリティラベルが設定されたオブジェクトへのアクセス許可を多数のユーザーに付与する主な手段として免除承諾を使用してはなりません。
• ビジネスオブジェクトに適用される名前/値の各ペアがデータベースの各列に保存され、列の最大数は 4000 です。標準のセキュリティラベルでは、
SecurityLabel エレメントの
name 属性および
SecurityLabelValue エレメントの
name 属性の値は、ユーザーインタフェースには通常は表示されないのでできるだけ短くします。詳細については、
セキュリティラベルのコンフィギュレーションファイルを編集するを参照してください。カスタムセキュリティラベルでは、
CustomSecurityLabel エレメントの
name 属性と内部カスタムセキュリティラベル値はできるだけ短くします。カスタムトランスレータを使用して、データベースに保存される内部値のサイズを小さくすることができます。詳細については、
カスタムトランスレータクラスを作成するを参照してください。
• セキュリティラベルの値または承諾について承認された参加者を指定する際には、注意が必要です。グループまたは組織を承認された参加者として指定すると、グループまたは組織を変更する権限を持つユーザーが、セキュリティラベルの値または承諾による認証を制御できるようになります。常に、セキュリティラベルの値が適用されたオブジェクトまたは承諾に関連付けられたオブジェクトへの拡張アクセス権を持つ管理者だけがメンバーシップを修正できる、グループおよび組織を選択するようにしてください。たとえば、承諾について承認された参加者としてのコンテキストチーム役割に関連付けられたシステムグループを選択した場合、デフォルトでコンテキスト管理者はチームのメンバーシップを変更でき、したがって承諾に対して承認された参加者を変更することもできます。コンテキスト管理者が承諾管理者を兼ねていない限り、コンテキスト管理者にはチームのメンバーシップを変更した場合の影響はわかりません。
• 承諾に対して承認されたオブジェクトの管理には、承諾を作成または編集したときの「承認された関連変更を選択」ステップが役立ちます。ただし、関連する変更管理オブジェクトとして大きな変更管理オブジェクトが承諾内に含まれる場合、Windchill のパフォーマンスに悪影響を与えます。
• デフォルトでは、すべてのセキュリティラベルが「セキュリティラベルを編集」ウィンドウの「オブジェクトリスト」テーブルに列として表示されます。「オブジェクトリスト」テーブルにカスタムテーブルビューを設定することで、表示されるセキュリティラベルの列を制限できます。このテーブルから「属性値を編集」操作を実行した場合、使用可能なセキュリティラベルの列だけがウィンドウに表示されます。カスタムテーブルビューを作成してユーザーと共有する場合、値を修正する権限が意図せず付与されないようにするため、システムをユーザーが使用できるようにする前に、そのビューを作成して共有する必要があります。
• カスタムエバリュエータクラスとカスタムトランスレータクラスを実装する際、カスタムクラスのメソッドが Windchill によって頻繁に呼び出されるため、パフォーマンスが低下する可能性があります。外部システムに対する呼び出しを設定する場合などには、以降のメソッド呼び出しでのパフォーマンスが向上するように、返された値をキャッシュに保存することなどを検討してください。
• カスタムセキュリティラベルを使用している場合、ユーザーが値を手動で入力可能であれば、カスタムセキュリティラベルの設定時にデフォルトで表示されるテキストフィールドなどを使用して、ユーザーインタフェースに検証を追加してください。ユーザーがユーザーインタフェースに無効な値を入力したかインポートファイルに無効な値が指定されている場合に予期しない値がデータベースに保管されるのを防止するため、カスタムトランスレータクラスによって値を検証してください。
• ユーザーが誤って自身のアクセスを制限する値を設定し、値の修正に支援が必要な場合に備えて、管理者が標準セキュリティラベル値またはカスタムセキュリティラベル値を修正できることを確認してください。