Bewährte Vorgehensweisen für Sicherheitslabel und Vereinbarungen
Beachten Sie die folgenden optimalen Vorgehensweisen für ein System mit konfigurierten Sicherheitsbeschriftungen:
• Legen Sie den Sicherheitsbezeichnungswert null für Objekte fest, die keine sensiblen Informationen enthalten. Die Einstellung einer informativen Markierung ungleich null ist auch möglich. Objekte mit Sicherheitsbeschriftungswert null und informativen Markierungen ungleich null schränken den Zugriff nicht ein. Dies bedeutet, dass vom Windchill System nicht verifiziert werden muss, ob der Benutzer ein autorisierter Teilnehmer ist.
• Verwenden Sie Sicherheitslabel nur, wenn der Zugriff auf ein Objekt durch mindestens einen Wert eingeschränkt wird. Verwenden Sie andernfalls globale Attribute für ein Objekt statt informativer Markierungen ungleich null. Sicherheitsbeschriftungen, die rein informative Markierungen sind, stellen keinen Ersatz für globale Attribute dar.
• Fügen Sie der autorisierten Teilnehmergruppe des Sicherheitsbezeichnungswerts für Objekte, die sensible Informationen enthalten, Teilnehmer hinzu, es sei denn, die Teilnehmer benötigen nur für einen begrenzten Zeitraum Zugriff. Vereinbarungen sollten nur als Ausnahme für eine Beschränkung durch einen Sicherheitsbezeichnungswert verwendet werden. Der Zeitraum, in dem eine Vereinbarung aktiv ist, ist zwar nicht beschränkt. Vereinbarungen sollten jedoch nicht in erster Linie dazu verwendet werden, Benutzern in großer Zahl Zugriff auf ein Sicherheitsbezeichnungsobjekt zu gewähren.
• Alle auf ein Geschäftsobjekt angewendeten Name/Wert-Paare werden zusammen in einer einzigen Datenbankspalte mit einer maximalen Größe von 4000 gespeichert. Halten Sie bei Standard-Sicherheitsbeschriftungen das
name-Attribut des
SecurityLabel-Elements und das
name-Attribut des
SecurityLabelValue-Elements so kurz wie möglich, da diese Werte im Allgemeinen nicht in der Benutzeroberfläche zu sehen sind. Weitere Informationen finden Sie unter
Sicherheitslabel-Konfigurationsdateien bearbeiten. Halten Sie bei angepassten Sicherheitsbeschriftungen das
name-Attribut des
CustomSecurityLabel-Elements und die internen angepassten Sicherheitsbeschriftungswerte so kurz wie möglich. Sie können einen angepassten Übersetzer verwenden, um die Größe der internen in der Datenbank gespeicherten Werte zu reduzieren. Weitere Informationen finden Sie unter
Angepasste Übersetzerklasse erstellen.
• Gehen Sie bei der Angabe eines autorisierten Teilnehmers für einen Sicherheitsbeschriftungswert oder eine Vereinbarung mit Bedacht vor. Die Angabe einer Gruppe oder Organisation als autorisierter Teilnehmer gibt Personen mit der Berechtigung, die Gruppen- oder Organisationsmitgliedschaft zu ändern, die Kontrolle darüber, wer durch den Sicherheitsbeschriftungswert oder die Vereinbarung autorisiert ist. Stellen Sie sicher, dass Sie Gruppen und Organisationen auswählen, deren Mitgliedschaft nur von Administratoren geändert werden kann, die den Zugriff auf Objekte mit angewendetem Sicherheitsbeschriftungswert oder der Vereinbarung zugeordnete Objekte erweitern dürfen. Wenn Sie beispielsweise eine mit einer Kontext-Teamrolle verknüpfte Systemgruppe als autorisierten Teilnehmer für eine Vereinbarung auswählen, kann der Kontext-Administrator standardmäßig die Teammitgliedschaft ändern und daher auch ändern, wer ein autorisierter Teilnehmer für die Vereinbarung ist. Sofern der Kontext-Administrator nicht auch Vereinbarungs-Administrator ist, versteht er eventuell nicht die Auswirkungen einer Änderung der Teammitgliedschaft.
• Der Schritt Autorisierte zugehörige Änderungen auswählen bei der Erstellung oder Bearbeitung einer Vereinbarung unterstützt Sie bei der Verwaltung von autorisierten Vereinbarungsobjekten. Die Verwendung großer Änderungsobjekte als zugehörige Änderungsobjekte in einer Vereinbarung kann sich jedoch negativ auf die Windchill Leistung auswirken.
• Standardmäßig sind alle Sicherheitsbeschriftungen als Spalten in der Tabelle Objektliste im Fenster Sicherheitsbeschriftungen bearbeiten verfügbar. Eine benutzerdefinierte Tabellenansicht kann so eingerichtet werden, dass in der Tabelle Objektliste die Anzeige der Sicherheitsbeschriftungsspalten einschränkt ist. Wenn die Aktion in der Tabelle Attributwerte bearbeiten gestartet wird, werden nur die Spalten für Sicherheitsbeschriftungen im Fenster angezeigt, die verfügbar sind. Wenn Sie vorhaben, eine benutzerdefinierte Tabellenansicht zu erstellen und die Ansicht mit Ihren Benutzern zu teilen, sollte die Ansicht erstellt und geteilt werden, bevor das System für Benutzer verfügbar gemacht wird, um eine unbeabsichtigte Autorisierung für das Ändern von Werte zu verhindern.
• Das Implementieren von angepassten Bewerter- und Übersetzerklassen kann die Leistung beeinträchtigen, da Methoden in den angepassten Klassen oft von Windchill aufgerufen werden. Wenn Sie z.B. den Aufruf eines externen Systems einrichten, können Sie die zurückgegebenen Werte zwischenspeichern, um die Leistung nachfolgender Methodenaufrufe zu verbessern.
• Wenn Sie angepasste Sicherheitsbeschriftungen verwenden, empfiehlt PTC, in der Benutzeroberfläche eine Validierungsmethode hinzuzufügen, wenn Benutzer Werte manuell eingeben können – beispielsweise über das Textfeld, das standardmäßig bereitgestellt wird, wenn angepasste Sicherheitsbeschriftungen konfiguriert werden. Eine angepasste Übersetzerklasse wird zur Validierung der Werte empfohlen, damit keine unerwarteten Werte in der Datenbank gespeichert werden, wenn der Benutzer einen ungültigen Wert in der Benutzeroberfläche eingibt oder wenn ein ungültiger Wert in einer Importdatei angegeben wird.
• Stellen Sie sicher, dass ein Administrator einen standardmäßigen oder benutzerdefinierten Sicherheitsbeschriftungswert ändern kann, falls der Wert von einem Benutzer versehentlich auf einen Wert gesetzt wird, der den Benutzerzugriff einschränkt, und der Benutzer Hilfe benötigt, um den Wert zu korrigieren.