|
En el caso de requisitos de permiso amplios, se debe considerar el uso de participantes independientes del contexto. De este modo, el tamaño del equipo quedará en un nivel óptimo y se reducirá el impacto en los recursos de procesamiento del sistema. En el caso de necesidades de permisos que varían entre contextos, se deben utilizar participantes específicos del contexto.
|
Eficiencia de recursos del sistema
|
|
Cuando sea más adecuado
|
En el caso que los requisitos de permiso para determinados grupos de participantes no cambien de un contexto de aplicación a otro.
|
Cómo se utiliza
|
Los participantes no deben añadirse al equipo. En su lugar, se les debe conceder los permisos necesarios mediante reglas de control de acceso.
|
Ejemplos
|
Ejemplo 1
Toda la organización necesita permiso de lectura a tipos de datos específicos de todos los productos públicos de la organización. En este caso, una opción podría haber implicado la adición de todos los usuarios de la organización al rol de invitado de todos los productos. Este es un enfoque de procesamiento intensivo. En su lugar, se puede otorgar a los usuarios permiso de lectura mediante las reglas de directivas de acceso a tipos de objeto específicos de un dominio administrativo adecuado, tal como el dominio /Default/PDM de la organización.
Ejemplo 2
Un grupo concreto de usuarios realiza las funciones de revisión de conformidad en todos los contextos de aplicación. Si se establece un rol de revisión de conformidad y se añaden los mismos usuarios a ese rol en todos los contextos de aplicación, se incrementan innecesariamente los gastos indirectos. En su lugar, el grupo de usuarios puede recibir los permisos necesarios a través de reglas de directivas de acceso para un grupo definido por el usuario de revisión de cumplimiento, en un dominio administrativo adecuado, como el dominio /(raíz) del sitio.
|
Consideraciones adicionales
|
Para los usuarios que no son miembros del equipo de contexto de aplicación, los contextos de aplicación no aparecerán en la página del producto, biblioteca, programa o lista de proyectos de la interfaz de usuario. Sin embargo, los usuarios pueden buscarlos. Si los usuarios disponen de los permisos adecuados, pueden encontrar los contextos de aplicación. Una vez que se haya accedido a ellos, los contextos de aplicación se cargarán en las listas acceso reciente en el navegador y se pueden encontrar allí que para un uso posterior.
Si estos usuarios necesitan acceder a acciones que no son automáticamente visibles a los miembros que no pertenecen al equipo, se pueden utilizar las opciones de configuración Configurar acciones para los roles en el equipo para que estas acciones sean visibles a los miembros que no pertenecen al equipo. Estas reglas se pueden proporcionar automáticamente a los nuevos contextos a través de las plantillas de contexto. Es posible que, para los usuarios que no sean miembros del equipo, sea necesario configurar algunas funcionalidades de manera diferente.
Las reglas de directivas de acceso necesarias para que estos usuarios naveguen a tipos de datos diferentes dentro del contexto de aplicación pueden variar de un caso a otro. Estos permisos se deberán identificar y conceder correctamente.
|
Más información
|
Eficiencia de recursos del sistema
|
|
Cuando sea más adecuado
|
• Los participantes requieren acceso a los objetos que residen en un contexto de aplicación según su rol en el contexto.
• La misma estructura del equipo se puede aplicar a varios contextos de aplicación similares, realizando unos pocos cambios o ninguno.
• La misma función de usuarios o de grupos en los mismos roles en todos los contextos de aplicación.
• Se puede extender localmente para satisfacer necesidades adicionales (consulte Consideraciones adicionales a continuación).
|
Cómo se utiliza
|
• Los equipos de biblioteca utilizan a menudo equipos compartidos debido a la naturaleza genérica de los permisos que se deben proporcionar a los usuarios.
• En otros casos, se pueden crear varios equipos compartidos para que se apliquen a distintos conjuntos de productos y proyectos.
|
Consideraciones adicionales
|
Los equipos compartidos son más eficientes cuando no están extendidos localmente. Al extender el equipo localmente, se crea una instancia del equipo local, lo que reduce algunas de las ventajas de rendimiento que se esperan de un equipo compartido. En función de si se modifica muy extensivamente el equipo compartido en cada equipo local, es posible que la ventaja real del equipo compartido no se note en absoluto.
|
Más información
|
Eficiencia de recursos del sistema
|
|
Cuando sea más adecuado
|
• Los participantes requieren acceso a los objetos que residen en un contexto de aplicación según su rol en el contexto.
• La estructura de equipo es específica de cada contexto de aplicación.
• Los participantes que funcionan en los roles del equipo son específicos de cada contexto de aplicación.
|
Cómo se utiliza
|
• Cree agrupaciones de usuarios amplias según las responsabilidades.
• Añada los grupos a los roles específicos del equipo.
• No cree agrupaciones de usuarios únicas para cada contexto individual. Considere el uso de grupos de usuarios reutilizables.
|
Consideraciones adicionales
|
Idealmente, el número de participantes que precisan estar en el equipo local debe mantenerse en un número óptimo.
|
Más información
|
Práctica ineficaz de diseño de equipo
|
Inconvenientes
|
Práctica recomendada
|
Añadir todos los usuarios de la organización al rol Invitado (o a cualquier otro rol) en cada equipo para conceder permisos de lectura a datos de contexto de aplicación.
|
Las estructuras de equipo de gran tamaño exigen mucho de los recursos del sistema.
|
Proporcione permisos de acceso básicos mediante reglas de directivas. Reduzca a un número óptimo el número de usuarios que necesiten estar directamente asociados a un equipo.
|
Crear un control muy preciso de los permisos creando centenares de roles para cada equipo.
|
Las estructuras de equipo de gran tamaño exigen mucho de los recursos del sistema.
|
Se debe tener en cuenta que definir muchos roles especializados afecta al rendimiento. Reduzca a un número óptimo el número de roles en un equipo.
|
Utilizar plantillas de producto y biblioteca para especificar las mismas reglas de control de acceso de directiva que se deben crear para los roles de equipo en todos los productos o bibliotecas.
|
Esto se traduce en una duplicación innecesaria en la que se crean las mismas reglas de control de acceso de la directiva para el mismo rol en cada producto.
|
Siempre que sea posible, cree reglas de control de acceso de directiva para roles dinámicos en el nivel de la organización en lugar de duplicarlos en cada contexto de aplicación. Para obtener más información, consulte Uso de roles dinámicos en las reglas de control de acceso.
|
Se crean grupos de usuarios exclusivos de manera puntual para las asignaciones de roles de productos. Los grupos no se reutilizan y son específicos a un único producto.
|
Puede dar lugar a muchos grupos de usuarios con afiliaciones de participantes parecidas. Esto complica el mantenimiento de grupos de usuarios y sobrecarga el LDAP.
|
Organice a los usuarios en grupos de usuarios reutilizables en lugar de crear grupos de usuarios exclusivos para cada contexto. Como alternativa, asocie los usuarios directamente a los equipos en lugar de crear grupos de usuarios y asociar estos grupos a los roles. El segundo método no es tan eficaz como el primero.
|