権限の計画

業界全体を見渡すと、ソフトウェア開発のサイトによって、開発環境を構築する方法と要求されるセキュリティの程度はさまざまです。計画には、厳密に管理された制限の強いものから、制限の緩やかな、担当者の自主性に任された開発まで幅があります。

開発のサイトでどの手法を採用するとしても、ACL を調整して必要なレベルのアクセス制御を行うことができます。

権限の計画を設定する前に、権限の継承について、および権限の許可、拒否、消去の違いについて理解する必要があります。これらの概念の詳細については、権限を参照してください。

取り扱いに注意が必要な、機密性の高いデータを扱う産業分野では、コンフィギュレーション管理機能へのアクセスを厳密に管理する ACL を使用できます。これを実現するために、サイト全体に及ぶ機能を提供せず、プロジェクト単位でユーザーに権限を付与する権限の構造を設定します。

1. mks:si ACL では、everyone プリンシパルに対して Login 権限および OpenProject 権限を許可した後で、everyone プリンシパルから残りすべての権限を消去します。

権限の消去と拒否の違いを理解することが重要です。この概念の詳細については、コンフィギュレーション管理 ACL の制御の作成を参照してください。

これにより、最小限の権限だけをユーザーに付与する基準が設定されます。すべてのユーザー権限は、管理者の定義したグループまたはユーザーから明示的に決定されます。詳細については、権限の変更を参照してください。

2. プロジェクトごとに新しい ACL を作成します。詳細については、ACL 構成を参照してください。

プロジェクトを固有の ACL と関連付けると、各プロジェクトにアクセスするユーザー、および ACL が各ユーザーに付与する権限を制御できます。

3. 各プロジェクトの ACL には、関連するプロジェクトを操作できるユーザーおよび許可する権限を定義する ACL エントリを追加します。これを行うには、各ユーザーを明示的に指定するか、使用する認証方式で制御されるグループを指定します。

これで、プロジェクトデータへのアクセスはプロジェクトに直接かかわる開発者またはマネージャに制限されます。

中規模から大規模のサイトでは、グループに権限を割り当てる方法が扱いやすく、数百または数千の個々のユーザーにロールを割り当てるために必要となる作業時間を節約できます。認証方式でグループを定義する利点を考えてみます。グループの操作は、特にプロジェクト単位で厳密にアクセスを制御する場合に最も効果的な方法です。

グループ内でも、データへのアクセスとデータを操作する機能は、必要に応じて割り当てることができます。たとえば、開発者全員がオブジェクトのチェックアウトとロックをできるようにして、チームリーダーだけが新しいプロジェクトを作成したり、オブジェクトを上位の状態に昇格できるようにします。

この方法では、Windchill RV&S のコンフィギュレーション管理機能へのアクセスを、さらにはサイトでの開発オブジェクトへのアクセスを細かく調整して制御できるようになります。最も厳格なセキュリティ要件も満たすように、プロジェクトごとおよびユーザーごとに権限を付与できます。

セキュリティ要件がそれほど厳しくないサイトでは、比較的緩やかな構造を定義し、一般的な権限セットを有効にすると同時に、ユーザーが直接かかわるプロジェクトだけにアクセスを許可することができます。

1. mks:si ACL では、everyone プリンシパルに対して Login 権限および OpenProject 権限を許可した後で、everyone プリンシパルから残りすべての権限を消去します。詳細については、権限の変更を参照してください。

これにより、最小限の権限だけをユーザーに付与する基準が設定されます。すべてのユーザー権限は、管理者の定義したグループまたはユーザーから明示的に決定されます。

2. まだ実施していない場合は、サイトでユーザーの分布を反映するネットワークの認証システムとしてグループを作成します。これでロールと権限の割り当てが容易になります。たとえば、プログラマ、テスタ、プロジェクトマネージャでそれぞれ 1 つのグループを作成できます。

3. mks:si ACL で、グループに特定の権限を割り当てる新しい ACL エントリを定義します。