安全标签概述
安全标签是用于分类敏感信息和限制仅授权用户具有访问权限的方法。
安全标签由每个站点唯一配置,与对象的 Windchill 访问控制策略和专用权限一起使用来确定是否授权用户访问对象。一个站点可配置多个安全标签以满足不同需要,如识别法律信息、建立出口管制条件或保护专有信息。
当前有两种可用的安全标签类型:标准安全标签和自定义安全标签。您可以为站点配置其中一种或两种安全标签类型。有关自定义安全标签的详细信息,请参阅
自定义安全标签。
每个安全标签都具有一个空值或无限制的值,并且可以具有多个附加值,其中每个值都可以限制或不限制仅某个指定的授权参与者具有访问权限。不限制访问权限 (即未定义授权参与者) 的安全标签值只能用作信息标记。
授权的参与者可以是用户、用户定义组或组织。指定用户定义组作为获得授权的参与者是最灵活的方式,因为这样可以根据需要使用“参与者管理”实用程序或 LDAP 目录服务修改组中的成员资格。或者,可以自定义安全标签来使用评估器确定参与者是否是安全标签值的已授权参与者。参与者必须为已授权参与者,并被授予“修改安全标签”权限才能修改安全标签值。要查看对象,用户必须至少具有对象的“读取”权限,而且还必须是该对象中设置的所有安全标签值的授权参与者。
各标准安全标签值或自定义安全标签值还可以选择性地具有相关联的协议类型。如果用户无权访问带有特定安全标签值的对象,可通过相应的协议获得临时访问权限。
例如,一个站点可使用“无需许可症”、“需要许可证”和“不出口”三个值来配置“出口管制”标准安全标签。
• “不需要许可证”是空值,不会通过该安全标签值限制任何用户访问对象。
• “需要许可证”限制为仅 US 员工组的成员具有访问权限。该值具有与“导出协议”关联的协议类型。如果用户不属于“美国雇员”组但满足必要的许可要求,则可通过“出口协议”获得标有“需要许可证”值的对象的临时访问权限。
• “不导出”限制为仅 US 员工组的成员具有访问权限。该值没有任何相关联的协议,因此无法为不属于“美国雇员”的用户授予临时访问权限。
安全标签应在对象创建期间,对象检入或在系统中可用之前进行设置,以防止暴露敏感信息。可以在“设置安全标签”步骤为使用创建窗口的对象设置标签,或通过定义对象初始化规则设置对象的默认安全标签。对象创建完成后,可使用“编辑安全标签”操作来查看和更改安全标签。