专业化管理 > 确保数据安全 > 访问控制 > 关于访问控制策略规则
  
关于访问控制策略规则
常见的一个管理任务就是指定一些策略规则,以控制对那些由域管理的对象的访问。创建这些规则时,您就自定义了该域的访问控制策略。随后,将从某域的策略及其所有原型域的策略中派生出访问控制列表 (ACL) 并将它们与专用 ACL 一同使用,以实施您的访问决策。有关专用 ACL 的详细信息,请参阅控制基于域的 ACL 和专用 ACL 的规则
域的访问控制规则是对象类型、生命周期状态、参与者及其关联权限之间的映射。对于某对象类型和特定状态,访问控制规则用于指定参与者访问该状态下该类型的对象所涉及的特定权限。例如,某个访问控制规则可能规定:在“正在审阅”状态下时,Publications 组中的每个人都有权读取 Engineering 域中所有类型为 WTDocument 的对象。访问控制规则还可应用于除特定参与者之外的所有参与者。例如,某个访问控制规则可能规定:在“正在工作”状态下时,除了 Publications 组中的人之外,其余每个人都有权删除 Engineering 域中所有类型为 WTDocument 的对象。
对象类型指定了可共享相同属性和功能的对象类别。例如,WTDocument 就是一种对象类型,在您所创建的某些域中可能会找到该类型的实例。由于 Windchill 域是分层的,因此,为域定义的访问控制规则可以由子域来继承。例如,为 Design 域所有状态中的对象类型 WTDocument 而定义的访问控制规则,将应用于该域及其所有子域中该类型的实例。因为 Windchill 类型也是分层的,所以对象可以继承从其原型类型定义的规则。因此,对于某个给定对象,可能有多个适用规则。例如,应用于 AnnotationSet 类型的规则也将应用于 StructuredAnnotationSet 类型。此外,也可能存在专用于 StructuredAnnotationSet 的访问控制规则。
显示在“策略管理”实用程序中的对象类型是 WTObject 及其用于实现 wt.access.PolicyAccessControlled 接口的派生对象类型。此外,下列陈述之一必须为真:
类型是可实例化类型。当某个对象类型为可实例化类型时,可创建该类型的对象实例。类型是否为可实例化类型,可通过“类型和属性管理”实用程序来控制。有关其他信息,请参见使用类型和属性管理实用程序
类型列在 wt.properties 文件的 wt.admin.hierarchyListAdditions.wt.access.PolicyAccessControlled 特性中。
参与者即为承担者,它可以是以下其中一项:
单个用户
用户定义组
系统组
动态角色 (上下文团队角色或组织角色)
虚拟角色 (OWNER 或 ALL)
组织
逻辑组 (成员为除“管理员”用户、选定的用户或选定的组、动态角色或组织中的用户外的所有用户)
有关用户、组、组织和动态角色的详细信息,请参阅关于参与者管理
最常见的情况是为组、角色或组织定义访问控制规则。系统组和用户定义组将同时出现在“组”选项卡上。动态角色和虚拟角色将同时出现在“角色”选项卡上。处理组、角色或组织,可将规则同时应用于多个用户,从而有助于降低管理开销。但是,有时您也需要为特定用户创建规则。例如,访问控制规则可以明确拒绝组中某个成员的权限,尽管另一规则已将此权限赋予了该组的全体成员。您可能还需要为除了某位参与者之外的所有人定义规则。例如,访问控制规则可以拒绝除“管理员”组外所有参与者的“管理”权限。
权限表示可对某个对象进行的操作。以下几节对权限进行了更详细的说明。