Uso de roles dinámicos en las reglas de control de acceso
Los roles dinámicos representan a los grupos del sistema que se crean para los roles asignados a los miembros del equipo en equipos de contexto y equipos compartidos. Los grupos del sistema creados en un contexto de aplicación representan a las organizaciones que tienen miembros en el equipo de contexto.
Los roles dinámicos pueden seleccionarse para las reglas de control de acceso:
• En el contexto de sitio, los roles dinámicos se encuentran disponibles al crear reglas de control de acceso con la utilidad
Administración de directivas. Estos roles dinámicos constan de un rol de equipo de contexto por cada rol definido en el fichero wt.project.RoleRB.rbInfo. En la interfaz de contexto de sitio, no se pueden crear roles de equipo de contexto adicionales. Sin embargo, sí es posible modificar el contenido del fichero project.RoleRB.rbInfo como parte de una personalización. Para obtener información sobre cómo modificar el contenido de ficheros de .rbInfo, consulte
Prácticas recomendadas para personalizar los ficheros suministrados por PTC.
• En el contexto de organización, los roles dinámicos se encuentran disponibles al crear reglas de control de acceso con la utilidad Administración de directivas. Estos roles dinámicos constan de los roles de equipo de contexto para los roles definidos como visibles en la tabla Roles de un contexto de organización determinado.
El conjunto inicial de roles visibles en la tabla Roles de un contexto de organización determinado heredado del contexto del sitio. En un contexto de organización, los administradores de organización pueden añadir, eliminar, mostrar y ocultar los roles de equipo de contexto visualizados en la tabla Roles. Por tanto, pueden gestionar el conjunto de roles de equipo de contexto que aparecen al lanzar la utilidad Administración de directivas en el contexto de organización.
Para obtener más información, consulte #PolicyAdminDynamicRolesAbout/ExampleUser.
• En los contextos de sitio y organización, los roles dinámicos constan de los roles de organización que representan a los grupos del sistema que se pueden crear en contextos de aplicación. Los roles de organización representan a las organizaciones que tienen miembros en el equipo de contexto. Al crear una regla de control de acceso, los roles de organización para las organizaciones a los que se tiene acceso están disponibles. Los roles de organización se crean de forma automática; no es posible crear roles de organización adicionales.
Para obtener más información, consulte #PolicyAdminDynamicRolesAbout/ExampleWC.
• En un contexto de aplicación, los roles dinámicos que están disponibles al crear las reglas de control de acceso que usan la utilidad Administración de directivas constan de los roles del equipo de contexto que aparecen en la tabla Miembros de la página Equipo. Al crear una regla de control de acceso a partir de un contexto de aplicación, también hay roles dinámicos que constan de roles de organización. Estos roles de organización representan a los grupos del sistema creados en el contexto para cada una de las organizaciones que tienen miembros en el equipo de contexto. De estos roles de organización, están disponibles aquellos para las organizaciones a las que el usuario tiene acceso.
Se deben utilizar los roles dinámicos definidos en contextos de sitio y organización para crear reglas de control de acceso generales. Estas reglas las pueden heredar los contextos de aplicación para todos los usuarios que se añadan a un equipo en un rol concreto o de una organización específica.
|
Las reglas de control de acceso creadas para roles dinámicos sólo se aplican a los objetos que pertenecen a los dominios que residen en contextos de aplicación. Esto se debe a que los roles solo se utilizan con equipos de contexto. Los contextos de sitio y organización no tienen equipos de contexto asociados. Por consiguiente, las reglas creadas para los roles dinámicos no se aplican a los objetos que residen en dominios en estos contextos.
|
Ejemplo: rol creado por el usuario
Supongamos que hay un grupo de personas que escriben todos los documentos de especificaciones para una organización. El usuario conceder a este grupo de personas derechos para leer, descargar, modificar contenido, modificar, crear mediante traslado y crear todos los documentos. Para realizar esta tarea en la Organización de demostración se puede hacer lo siguiente:
1. Cree un nuevo rol de escritor de especificaciones desde la tabla Roles en el contexto de organización de demostración.
2. Inicie la utilidad Administración de directivas desde la página Utilidades del contexto de organización de demostración.
3. En el panel Dominios, seleccione el dominio por defecto.
4. En la ficha
Reglas de control de acceso, pulse en el icono para crear una nueva regla de control de acceso
.
5. En la ventana Nueva regla de control de acceso, seleccione lo siguiente:
Campo | Valor que se debe seleccionar |
---|
Tipo | Seleccione Documento. |
Estado | Seleccione Todos. |
Participante | En el campo Participante, busque el escritor de especificaciones. Escritor de especificaciones (Rol de equipo de contexto - Organización de demostración) aparece en el campo Participante. |
Permisos | Seleccione Leer, Descargar, Modificar, Modificar contenido, Crear mediante traslado y Crear en la columna Conceder. | Por defecto, la opción Crear selecciona automáticamente el resto de los permisos mencionados. |
|
6. Pulse en Aceptar para crear la regla.
La regla del rol dinámico Escritor de especificaciones se creará en el dominio /Default asociado al contexto de la Organización de demostración. Todos los dominios descendientes del dominio /Default heredarán esta regla. Por defecto, los dominios descendientes incluyen los dominios de equipo compartido, PDM y Proyecto que se utilizan al crear equipos compartidos y contextos de aplicación que no son privados. Por lo tanto, el dominio /Default de cualquier contexto de aplicación que tenga un equipo que utilice el rol Escritor de especificaciones y que se haya creado para un contexto de aplicación no privado o como equipo compartido heredará automáticamente la regla de control de acceso Escritor de especificaciones.
La creación y gestión de reglas de control de acceso en contextos de sitio y organización en los que los roles dinámicos se seleccionen como participantes pueden ayudar a centralizar la administración de reglas de control de acceso. En un contexto de aplicación, los participantes de roles dinámicos se tratan como si fuesen grupos del sistema asociados con los roles de equipo de contexto correspondientes y roles de organización. Si se han definido reglas de control de acceso para un grupo del sistema de equipo de contexto y reglas de control de acceso para un rol dinámico correspondiente, las reglas se combinarán al determinar la lista de control de acceso (LCA) en un dominio específico y para un tipo y estado específicos. Por ejemplo, supongamos que partimos de la siguiente información:
• Se ha creado la regla de control de acceso del rol dinámico Escritor de especificaciones tal como se describe en el ejemplo anterior.
• En la organización de demostración se ha creado el proyecto Superbicicleta con un nivel de acceso distinto del grupo por defecto Solo miembros del proyecto y utiliza el dominio estándar /Default. La jerarquía de dominio del dominio /Default incluye como padre el dominio /Default asociado con la Organización de demostración en la que se ha creado la regla de control de acceso del rol dinámico Escritor de especificaciones.
• Se ha añadido el rol Escritor de especificaciones al proyecto Superbicicleta.
Entonces, la LCA generada para el grupo del sistema Escritor de especificaciones en el proyecto Superbicicleta incluye los permisos concedidos a través de la regla de directiva creada para el rol dinámico Escritor de especificaciones en el contexto de la Organización de demostración. El grupo del sistema Escritor de especificaciones también podría tener otras reglas de directivas y reglas ad hoc creadas desde el proyecto Superbicicleta. Si existen otras reglas de directiva, se combinarán todas ellas (incluido el conjunto de reglas del rol dinámico Escritor de especificaciones). Para obtener información adicional sobre dominios y jerarquías de dominios, consulte
Administración de dominios y directivas.
| Para poder utilizar de forma efectiva reglas de control de acceso creadas en los contextos de sitio y organización, es recomendable que revise las reglas de control de acceso definidas en las plantillas de contexto de aplicación y organización utilizadas para crear los contextos. Determine qué cambios deben realizarse en estas plantillas para que las reglas definidas para roles dinámicos no aparezcan duplicadas en las plantillas. Puede cargar plantillas de roles dinámicos de ejemplo que definan cierta cantidad de reglas de control de acceso para roles dinámicos mediante una plantilla de organización. Posteriormente, las reglas se utilizan en contextos de aplicación creados a partir de plantillas de ejemplo de proyectos, bibliotecas y productos de roles dinámicos. Para obtener más información sobre las plantillas de rol dinámico de ejemplo, consulte Uso de roles dinámicos. |
Ejemplo: WindchillRol creado por la organización
Supongamos que existen dos organizaciones: ventas y fabricación. También hay dos productos: Beach Umbrella y Sport Umbrella. Hay seis usuarios divididos entre las organizaciones y los productos, tal como se muestra en la tabla siguiente:
Usuario | Organización | Producto |
---|
Patricia | Ventas | Sport Umbrella |
Paulo | Ventas | Sport Umbrella |
Pamela | Ventas | Beach Umbrella |
Juana | Fabricación | Beach Umbrella |
David | Fabricación | Beach Umbrella |
Débora | Fabricación | Sport Umbrella |
Windchill crea los siguientes grupos del sistema y los roles de organización correspondientes para el producto Sport Umbrella:
Grupo | Miembros | Rol de la organización |
---|
Ventas | Patricia, Paulo | Ventas |
Fabricación | Débora | Fabricación |
Windchill crea los siguientes grupos del sistema y los roles de organización correspondientes para el producto Beach Umbrella:
Grupo | Miembros | Rol de la organización |
---|
Ventas | Pamela | Ventas |
Fabricación | Juana, David | Fabricación |
Se crea una regla de control de acceso de directiva en el nivel del sitio que concede a todos los usuarios del rol dinámico "Fabricación" permiso de modificación en los objetos de artículos. Esta regla la hereda el dominio donde residen los artículos del producto Beach Umbrella. Como resultado, cuando se accede a un artículo en el producto Beach Umbrella, se aplica la regla de nivel de sitio a Juana y David puesto que son miembros del grupo de sistema de fabricación de la organización. Asimismo, si se accede a un artículo en el producto Sport Umbrella, la regla de nivel de sitio se aplica a Débora. Si también se añade a David como miembro de equipo del producto Sport Umbrella, la regla se le aplicaría para los artículos de ese producto porque él también estaría en el rol dinámico "Fabricación" con Débora.
Temas relacionados