权限策略
在整个行业中,软件开发站点构建开发环境的方式及其设置的安全度非常多样化。策略严格程度包括从严格控制、高度限制的安装到完全开放的自由开发区域。
无论您的站点采取何种方法,您都可以根据需要对 ACL 进行定制,以根据需要提供尽可能多或少的访问控制。
 |
在设置权限策略之前,请务必了解权限的继承关系以及允许、拒绝和清除权限之间的差异。这些概念在权限中有详细解释。
|
严格控制的环境
那些处理高度敏感或机密材料的行业部门可以使用 ACL 对配置管理功能的访问进行严格控制。为实现此目的,需制定一个不提供全站点范围功能的权限结构,但按每个项目授予用户权限。
要设置严格控制的开发环境
1. 在 mks:si ACL 中,允许 everyone 承担者拥有 Login 和 OpenProject 权限,然后从 everyone 承担者中清除其余所有权限。
|
|
请务必了解清除权限和拒绝权限之间的区别。有关此概念的详细信息,请参阅创建配置管理 ACL 控制。
这会创建一个基线位置,仅向所有用户提供最小权限。所有用户权限现在必须明确来自管理员定义的组或用户。有关详细信息,请参阅更改权限。
|
2. 为每个项目创建一个新的 ACL。有关详细信息,请参阅ACL 配置。
通过将项目与其自己的 ACL 关联,您可以控制每个项目有哪些用户有权访问以及 ACL 授予每个用户的权限。
3. 在每个项目的 ACL 中,添加 ACL 条目以定义允许处理关联项目的用户,以及您允许的权限。您可以通过明确指定每个用户,或指定通过身份验证方案控制的组来执行此操作。
这将限制直接参与项目的开发人员和经理对项目数据的访问。
在大中型站点中,将权限分配给组是一种方便的策略,可节省为数百甚至上千的单个用户分配角色所需的工时。请考虑在身份验证方案中定义组的优点。尤其是在您想要严格控制对每个项目的访问时,使用组是最有效的方法。
4. 定义角色并将其分配给团队成员。
即使在组内,也可以根据需要对访问和操作数据的能力进行分配。例如,您可能希望所有开发人员能够检出和锁定对象,但只允许团队负责人创建新项目或将对象升级至更高状态。
此方法允许对 Windchill RV&S 配置管理功能的访问控制进行微调,进而对站点中的开发对象的访问控制进行微调。您可以根据最严格的安全要求,对每个项目和每个用户依次授予权限。
结构轻量化环境
安全性要求较低的站点可以定义更宽松的结构,提供较为宽泛的权限及,同时仍只允许用户访问其直接参与的项目。
要设置结构轻量化开发环境
1. 在 mks:si ACL 中,允许 everyone 承担者拥有 Login 和 OpenProject 权限,然后从 everyone 承担者中清除其余所有权限。有关详细信息,请参阅更改权限。
这会创建一个基线位置,仅向所有用户提供最小权限。所有用户权限现在必须明确来自管理员定义的组或用户。
2. 如果尚未执行此操作,请在网络的身份验证系统中创建组,以反映您站点上的用户分布。这便于分配角色和权限。例如,您可以为程序员创建一个组,为测试者创建另一个组,再为项目经理创建第三个组。
3. 在 mks:si ACL 中,定义将组与特定权限关联的新 ACL 条目。