アクセス制御リストについて
このセクションでは、ドメインのアクセス制御ポリシーから ACL を生成する方法を簡単に示し、アクセス制御を実行するために ACL がどのような役割を果たすかを説明します。
アクセス制御規則を作成るときには、規則の前項目と規則の後項目を指定します。
• 規則の前項目は、以下の 3 つの部分で構成されます。
◦ ドメイン。
◦ オブジェクトタイプ。特定のオブジェクトにアクセスポリシーのどの規則を適用するかを決定します。
◦ ライフサイクル状態。アクセス許可が適用されるために、オブジェクトがどのライフサイクルフェーズにある必要があるかを指定します。オブジェクトタイプがライフサイクルで管理されていないと、状態は適用されず、「すべて」に設定されているライフサイクル状態の規則だけが適用されます。
• 規則の後項目は、以下の 3 つの部分で構成されます。
◦ 参加者。ユーザー、ユーザー定義グループ、システムグループ、役割、または組織のいずれかです。ユーザーは、複数のグループまたは役割のメンバーになることができます。
◦ 規則の対象が、参加者であるか、指定した参加者を除くすべての参加者であるか。
◦ 関連するアクセス許可。
◦ アクセス許可が付与、拒否、またはオーバーライド不可で拒否されるかどうか。
指定した参加者以外のすべてを対象とする規則では、参加者は、次のユーザーを除くすべての参加者がメンバーであるグループとして処理されます。
• 管理者ユーザー
• 選択したユーザー
• 選択したグループ、ダイナミック役割、または組織のユーザー
たとえば、管理者グループを除くすべての参加者が、「リリース」状態の部品の「削除」アクセス許可を拒否されるように規則を作成できます。この場合、管理者グループに属していないすべての参加者は、指定された状態にある部品を削除することができません。
「ポリシー管理」ユーティリティで定義する役割は、疑似役割とダイナミック役割に分類できます。
• 「オーナー」の疑似役割に定義された規則は、所有可能なオブジェクトのオーナーに適用されるアクセス許可を指定します。
• 「すべて」の疑似役割に定義された規則は、すべての参加者に適用されるアクセス許可を指定します。ACL を計算するとき、この役割はグループと同様に処理されます。
• ダイナミック役割に定義された規則は、その役割を使用するコンテキストチームに関連付けられたシステムグループに適用されるアクセス許可を指定します。ドメインの ACL を導出する際、ダイナミック役割には、そのドメインのコンテキストに該当するシステムグループが割り当てられます。一部のダイナミック役割がコンテキストに存在しない場合は、それに対応する規則は無視されます。たとえば、組織の「Default」ドメインに属するコンテキストチーム「デザイナー」役割に規則が定義されているとします。アプリケーションコンテキストは組織の「Default」ドメインから規則を継承していますが、このコンテキストではデザイナー役割を使用しません。この場合、コンテキストチーム「デザイナー」役割に対して定義された規則は無視されます。
ダイナミック役割を使用したアクセス制御規則の集中管理を参照してください。
ドメイン内の一部またはすべてのオブジェクトタイプのアクセス制御規則を作成できます。このような規則の集合が、ドメインのアクセス制御ポリシーを構成します。
ACL は、各規則の前項目に基づいて作成されます。ACL は、ドメインおよびその祖先ドメインのポリシーから作成され、複数の ACL エントリで構成されます。各 ACL エントリには、参加者に関連付けられた一連のアクセス許可が含まれます。各 ACL エントリは、関連付けられた参加者に対してアクセス許可を付与 (+)、拒否 (-)、またはオーバーライド不可で拒否 (!) します。
パフォーマンスを向上するために、ACL は 1 度適用されるとキャッシュされます。そのため、ユーザーが特定のオブジェクトへのアクセスを次に要求したとき、ACL がただちに読み込まれます。