Использование динамических ролей в правилах управления доступом
Динамические роли представляют системные группы, создаваемые для ролей, назначенных участникам коллектива в коллективах контекста и общих коллективах. Системные группы, создаваемые в контексте приложения, представляют организации, участники которых находятся в коллективе контекста.
Динамические роли могут быть выбраны для правил управления доступом.
• В контексте сайта динамические роли доступны при создании правил управления доступом с помощью утилиты
Администрирование политики. В состав этих динамических ролей входит роль коллектива контекста для каждой роли, определенной в файле wt.project.RoleRB.rbInfo. В интерфейсе контекста сайта невозможно создать дополнительные роли коллектива контекста; однако, как часть настройки, можно изменить содержимое файла wt.project.RoleRb.rbinfo. Дополнительные сведения об изменении содержимого rbInfo-файлов см. в разделе
Оптимальные методы настройки файлов, предоставляемых корпорацией PTC.
• В контексте организации динамические роли доступны при создании правил управления доступом с помощью утилиты Администрирование политики. В состав этих динамических ролей входят роли контекста коллектива для ролей, которые заданы как видимые в таблице Роли для данного контекста организации.
Первоначальный набор ролей, которые отображаются в таблице Роли из данного контекста, наследуется из контекста сайта. В контексте организации администраторы организации могут добавить, удалить, показать и скрыть роли коллектива контекста, показываемые в таблице Роли. Поэтому они могут управлять набором ролей коллектива контекста, которые отображаются при запуске утилиты Администрирование политики из контекста организации.
Дополнительные сведения см. в разделе Пример. Создаваемая пользователем роль.
• В обоих контекстах - сайта и организации - динамические роли состоят из ролей организации, представляющих системные группы, которые могут быть созданы в контекстах приложения. Роли организации представляют организации, участники которых находятся в коллективе контекста. При создании правила управления доступом вам доступны роли организации для тех организаций, к которым у вас имеется доступ,. Роли организации создаются автоматически; невозможно создать дополнительные роли организации.
Дополнительные сведения см. в разделе Пример. Созданная в Windchill роль организации.
• В контексте приложения динамические роли, доступные при создании правил управления доступом с помощью утилиты Администрирование политики, состоят из ролей коллектива контекста, отображаемых в таблице Участники на странице Коллектив. При создании правила управления доступом в контексте приложения существуют также динамические роли, которые состоят из ролей организации. Эти роли организации представляют собой системные группы, создаваемые в контексте для каждой из организаций, участники которой находятся в коллективе контекста. Из этих ролей организации вам доступны роли организации для тех организаций, к которым у вас имеется доступ.
Используйте динамические роли, установленные в контекстах сайта и организации, для создания общих правил управления доступом. Эти правила могут наследоваться контекстами приложения для всех пользователей, которые добавлены в коллектив в определенной роли или из определенной организации.
|
|
Правила управления доступом, созданные для динамических ролей, применимы только к объектам доменов, находящихся в контекстах приложений. Это вызвано тем, что эти роли используются только вместе с коллективами контекстов. Для контекстов сайта и организации не существует связанных с ними коллективов контекстов. Поэтому правила, создаваемые для динамических ролей, не применяются к объектам, находящимся в доменах в этих контекстах.
|
Пример. Создаваемая пользователем роль
Предположим, что есть группа людей, которые создают все документы спецификаций для организации. Нужно предоставить этой группе людей права на чтение, загрузку, изменение содержимого, изменение, создание путем перемещения и создание всех документов. Чтобы выполнить эту задачу для демонстрационной организации, необходимо сделать следующее:
1. Создайте новую роль "Составитель спецификаций" в таблице Роли в контексте демонстрационной организации.
2. Запустите утилиту Администрирование политики со страницы Утилиты в контексте демонстрационной организации.
3. На панели Домены выберите домен по умолчанию.
4. На вкладке
Правила управления доступом щелкните значок создания нового правила управления доступом
.
5. В окне Создать правило управления доступом выберите следующее.
Поле | Выбираемое значение |
Тип | Выберите Документ. |
Состояние | Выберите Все. |
Участник | В поле Участник найдите значение "Составитель спецификаций". Будет отображено Составитель спецификаций (Роль коллектива контекста - Демонстрационная организация) в поле Участник. |
Разрешения | Выберите пункт Чтение, Загрузить, Изменить, Изменить содержимое, Создать перемещением и Создать в столбце Разрешить. | По умолчанию вместе с разрешением "Создать" автоматически выбираются другие указанные здесь разрешения. |
|
6. Нажмите кнопку ОК, чтобы создать правило.
Теперь правило для динамической роли "Составитель спецификаций" создано в домене /Default, связанном с контекстом демонстрационной организации. Все домены, являющиеся дочерними по отношению к домену /Default, наследуют это правило. По умолчанию дочерние домены содержат домены PDM, Project и домены общего коллектива, используемые при создании не являющихся частными контекстов приложений и общих коллективов. Следовательно, домен /Default внутри любого контекста приложения, у которого есть коллектив, использующий роль "Составитель спецификаций" и созданный для нечастного контекста приложения или как общий коллектив, будет автоматически наследовать правило управления доступом, созданное для роли "Составитель спецификаций".
Создание правил управления доступом и управление ими в контекстах сайта и организации, в которых в качестве участников выбираются динамические роли, облегчает централизацию администрирования правил управления доступом. Внутри контекста приложения участники динамических ролей обрабатываются как системные группы, связанные с соответствующими ролями коллектива контекста и ролями организации. Если существуют правила управления доступом, заданные для системной группы коллектива контекста, и правила управления доступом, заданные для соответствующей динамической роли, то эти правила объединяются при определении списка управления доступом (ACL) к политике внутри конкретного домена и для конкретного типа и состояния. В качестве примера предположим следующее.
• Правило управления доступом для динамической роли "Составитель спецификаций" было создано, как описано в уже приведенном примере.
• Проект "Супербайк" был создан в демонстрационной организации с уровнем доступа, отличным от группы "Только участники проекта" по умолчанию, и использует стандартный домен /Default. Иерархия доменов для домена /Default включает как родительский домен /Default, связанный с демонстрационной организацией, где было создано правило управления доступом для динамической роли "Составитель спецификаций".
• Роль "Составитель спецификаций" была добавлена к проекту "Супербайк".
Следовательно, список разрешений для системной группы "Составитель спецификаций" в проекте "Супербайк" включает права, предоставленные правилом политики, созданном для динамической роли "Составитель спецификаций" в контексте демонстрационной организации. У системной группы "Составитель спецификаций" также могут быть другие правила политики и динамические правила, созданные в проекте "Супербайк". Если есть другие правила, все правила политики (включая правило, заданное для динамической роли составителя спецификаций) объединяются. Дополнительные сведения о доменах и иерархиях доменов см. в разделе
Администрирование доменов и политик.
| Чтобы эффективно использовать правила управления доступом, создаваемые для динамических ролей в контекстах сайта и организации, нужно проверять правила управления доступом, заданные в шаблонах контекста организаций и приложений, которые используются для создания контекстов. Определите, какие изменения необходимо произвести в этих шаблонах, чтобы правила, заданные для динамических ролей, не повторялись в шаблонах. Можно загрузить один из шаблонов для динамических ролей, которые задают большое число правил управления доступом для динамических ролей с помощью шаблона организации. Эти правила затем используются в контекстах приложений, которые создаются из примеров шаблонов динамических ролей для изделий, библиотек и проектов. Дополнительные сведения о примерных шаблонах динамических ролей см. в разделе Использование динамических ролей. |
Пример. Созданная в Windchill роль организации
Предположим, что имеется две организации: "Продажи" и "Производство". Также имеется два изделия: "Пляжный зонт" и "Спортивный зонт". Имеется шесть пользователей, разделенных среди организаций и изделий, как показано в следующей таблице:
Пользователь | Организация | Изделие |
Пэт | Продажи | Спортивный зонт |
Пол | Продажи | Спортивный зонт |
Пэм | Продажи | Пляжный зонт |
Дона | Производство | Пляжный зонт |
Дэйв | Производство | Пляжный зонт |
Дебби | Производство | Спортивный зонт |
Windchill создает следующие системные группы и соответствующие роли организации для изделия "Спортивный зонт":
Группа | Участники | Роль организации |
Продажи | Пэт, Пол | Продажи |
Производство | Дебби | Производство |
Windchill создает следующие системные группы и соответствующие роли организации для изделия "Пляжный зонт":
Группа | Участники | Роль организации |
Продажи | Пэм | Продажи |
Производство | Дона, Дэйв | Производство |
Создадим правило управления доступом к политике на уровне сайта, предоставляющее всем пользователям в динамической роли "Производство" разрешение на изменение для объектов "Деталь". Это правило наследуется доменом, в котором находятся детали для изделия "Пляжный зонт". В результате при получении доступа к детали в изделии "Пляжный зонт" правило на уровне сайта применяется к Доне и Дэйву, поскольку они являются участниками системной группы "Производство" для организации. Аналогично при получении доступа к детали в изделии "Спортивный зонт", правило на уровне сайта применяется к Дебби. Если бы Дэйв был также добавлен как участник коллектива изделия "Спортивный зонт", то это правило было бы применено к нему при доступе к деталям для этого изделия, потому что он вместе с Дебби также был бы в динамической роли "Производство".
См. также
