Administration spécialisée > Garantie de la sécurité des données > Accords et étiquettes de sécurité > Configuration des étiquettes de sécurité > Meilleures pratiques en matière d'étiquettes de sécurité et d'accords
  
Meilleures pratiques en matière d'étiquettes de sécurité et d'accords
Dans le cas d'un système avec des étiquettes de sécurité configurées, prenez en compte les bonnes pratiques suivantes :
Appliquez une valeur d'étiquette de sécurité nulle aux objets ne contenant pas d'informations sensibles. L'application d'un marquage informatif non nul est également acceptable. L'accès aux objets comportant des valeurs d'étiquette de sécurité nulles et des marquages informatifs non nuls n'est pas restreint, ce qui signifie que le système Windchill n'a pas besoin de vérifier si l'utilisateur est un participant autorisé.
Utilisez des étiquettes de sécurité uniquement lorsqu'une ou plusieurs valeurs restreignent l'accès à un objet. Par ailleurs, appliquez des attributs globaux plutôt que des marquages informatifs non nuls aux objets. Les étiquettes de sécurité qui sont des marquages purement informatifs ne remplacent pas les attributs globaux.
Pour les objets qui ne contiennent pas d'informations sensibles, ajoutez les participants au groupe des participants autorisés de la valeur d'étiquette, sauf si ces participants ont uniquement besoin d'un accès pendant une période limitée. Les accords doivent être utilisés uniquement comme des exceptions à la restriction de la valeur d'étiquette de sécurité. Bien que leur durée d'activation ne soit pas limitée, les accords ne doivent pas être utilisés comme principale méthode pour accorder à un grand nombre d'utilisateurs l'accès à un objet comportant une étiquette de sécurité.
Toutes les paires nom/valeur appliquées à un objet métier sont stockées ensemble dans une seule colonne de base de données dont la taille limite est de 4000. En ce qui concerne les étiquettes de sécurité standard, limitez autant que possible la longueur de l'attribut name de l'élément SecurityLabel et de l'attribut name de l'élément SecurityLabelValue, car ces valeurs n'apparaissent généralement pas dans l'interface utilisateur. Pour plus d'informations, consultez l'étape Modifier le fichier de configuration des étiquettes de sécurité. En ce qui concerne les étiquettes de sécurité personnalisées, limitez autant que possible la longueur de l'attribut name de l'élément CustomSecurityLabel et des valeurs d'étiquettes de sécurité personnalisées internes. Vous pouvez utiliser un convertisseur personnalisé pour réduire la taille des valeurs internes stockées dans la base de données. Pour plus d'informations, consultez le chapitre Créer une classe de convertisseurs personnalisée.
Faites preuve de prudence lorsque vous spécifiez un participant autorisé pour une valeur d'étiquette de sécurité ou pour un accord. La définition d'un groupe ou d'une organisation en tant que participant autorisé accorde à ces derniers la permission de modifier le contrôle d'appartenance au groupe ou à l'organisation concernant les personnes autorisées par la valeur d'étiquette de sécurité ou par l'accord. Prenez soin de sélectionner des groupes et organisations dont l'appartenance est uniquement modifiable par des administrateurs qui ont été autorisés à étendre l'accès aux objets auxquels la valeur d'étiquette de sécurité est appliquée ou qui sont associés à l'accord. Par exemple, si vous sélectionnez un groupe système lié à un rôle d'équipe associée au contexte en tant que participant autorisé pour un accord, l'administrateur de contexte peut par défaut modifier l'appartenance de l'équipe, et donc également modifier les participants autorisés pour l'accord. A moins que l'administrateur de contexte ne soit également un administrateur d'accord, il risque de ne pas comprendre l'impact d'une modification de l'appartenance de l'équipe.
L'étape Sélectionner les modifications associées autorisées dans le cadre de la création ou de la modification d'un accord est conçue pour vous aider à gérer les objets autorisés d'un accord. Toutefois, le fait d'inclure des objets de modification volumineux en tant qu'objets de modification associés dans un accord peut avoir une incidence négative sur les performances de Windchill.
Par défaut, toutes les étiquettes de sécurité sont disponibles sous forme de colonnes dans le tableau Liste d'objets de la fenêtre Modifier les étiquettes de sécurité. Vous pouvez configurer un tableau personnalisé pour le tableau Liste d'objets afin de limiter les colonnes d'étiquette de sécurité affichées. Si l'action Modifier les valeurs des attributs est exécutée à partir du tableau, seules les colonnes des étiquettes de sécurité disponibles s'affichent dans la fenêtre. Si vous prévoyez de créer un tableau personnalisé et de partager ce dernier avec vos utilisateurs, vous devez créer et partager ce tableau avant de mettre le système à la disposition des utilisateurs afin d'empêcher toute modification non autorisée des valeurs.
L'implémentation des classes d'estimateurs et de convertisseurs personnalisées peut nuire aux performances, car les méthodes des classes personnalisées sont fréquemment appelées par Windchill. Si vous configurez un appel à un système externe, vous pouvez par exemple envisager de mettre en cache les valeurs renvoyées pour améliorer les performances pendant les appels de méthode qui suivront.
Si vous utilisez des étiquettes de sécurité personnalisées, PTC vous recommande d'ajouter une étape de validation à l'interface utilisateur si les utilisateurs peuvent entrer des valeurs manuellement, en utilisant le champ de texte fourni par défaut lorsque les étiquettes de sécurité personnalisées sont configurées par exemple. L'utilisation d'une classe de convertisseurs personnalisée est recommandée pour valider les valeurs et empêcher l'enregistrement de valeurs inattendues dans la base de données, si l'utilisateur entre une valeur non valide dans l'interface utilisateur ou si une valeur non valide est spécifiée dans un fichier d'importation.
Assurez-vous qu'un administrateur peut modifier une valeur d'étiquette de sécurité standard ou personnalisée, au cas où un utilisateur la définirait par inadvertance sur une valeur restreignant son accès à cette dernière, et qu'il aurait besoin d'aide pour la corriger.