전문 관리 > 데이터 보안 확인 > 액세스 제어 > 액세스 제어 정책 규칙 정보
액세스 제어 정책 규칙 정보
한 가지 공통적인 관리 작업은 도메인이 제어하는 객체에 대해 액세스 제어 정책 규칙을 지정하는 것입니다. 이러한 규칙을 작성할 때는 도메인의 액세스 제어 정책을 사용자 정의해야 합니다. 결과적으로 액세스 제어 목록(ACL)은 특정 도메인의 정책과 모든 해당 상위 도메인의 정책으로부터 파생되고 임시 ACL과 함께 사용되어 액세스 결정을 수행합니다. 임시 ACL에 대한 자세한 내용은 도메인 기반 ACL과 임시 ACL에 적용되는 규칙 항목을 참조하십시오.
도메인에 대한 액세스 제어 규칙은 객체 유형, 라이프 사이클 상태, 참여자 및 참여자와 연관된 권한 간의 매핑입니다. 객체 유형과 특정 상태에 대한 액세스 제어 규칙은 해당 유형 및 상태에 있는 객체의 액세스와 관련된 참여자의 권한을 지정합니다. 예를 들어, Publications 그룹에 속하는 모든 사람은 검토 중 상태인 경우 Engineering 도메인에 있는 WTDocument 유형의 모든 객체를 읽을 수 있는 권한을 가지고 있음을 액세스 제어 규칙으로 나타낼 수 있습니다. 지정한 참여자를 제외한 모든 참여자에게 액세스 제어 규칙을 적용할 수도 있습니다. 예를 들어, Publications 그룹의 멤버를 제외한 모든 사람은 작업 중 상태인 경우 Engineering 도메인에 있는 WTDocument 유형의 모든 객체를 삭제할 수 있는 권한을 가지고 있음을 액세스 제어 규칙으로 나타낼 수 있습니다.
객체 유형은 같은 속성과 기능을 공유하는 객체의 카테고리입니다. 예를 들어, WTDocument는 객체 유형이며 이 객체 유형의 인스턴스는 작성한 도메인 중 일부에서 발견될 수 있습니다. Windchill 도메인은 계층적이기 때문에 도메인에 정의된 액세스 제어 규칙을 하위 도메인이 상속합니다. 예를 들어, Design 도메인 내에서 모든 상태의 WTDocument 객체 유형에 대해 정의된 액세스 제어 규칙은 Design 도메인과 해당 하위 도메인 내에 있는 WTDocument 객체 유형의 인스턴스에 적용됩니다. 또한 Windchill 유형도 계층적이기 때문에 객체는 상위 유형에서 정의된 규칙을 상속합니다. 따라서 둘 이상의 규칙이 해당 객체에 적용될 수 있습니다. 예를 들어, AnnotationSet 유형에 적용되는 규칙은 StructuredAnnotationSet 유형에도 적용됩니다. 또한 StructuredAnnotationSet에만 적용되는 액세스 제어 규칙이 있을 수도 있습니다.
정책 관리 유틸리티에 표시되는 객체 유형은 wt.access.PolicyAccessControlled 인터페이스를 구현하는 WTObject와 하위 객체 유형입니다. 또한 다음 중 하나에 해당해야 합니다.
유형이 인스턴스화 가능합니다. 객체 유형이 인스턴스화 가능한 경우 해당 유형의 객체 인스턴스를 작성할 수 있습니다. 유형이 인스턴스화 가능한지 여부는 유형 및 속성 관리를 통해 제어됩니다. 자세한 내용은 유형 및 속성 관리 유틸리티 작업을 참조하십시오.
유형은 wt.properties 파일의 wt.admin.hierarchyListAdditions.wt.access.PolicyAccessControlled 등록 정보에 나열됩니다.
참여자는 주도자이며 다음 중 하나일 수 있습니다.
개별 사용자
사용자 정의 그룹
시스템 그룹
동적 역할(컨텍스트 팀 또는 조직 역할)
가역할(OWNER 또는 ALL)
조직
논리적 그룹(관리자 사용자, 선택한 사용자나 선택한 그룹, 동적 역할 또는 조직의 사용자를 제외한 모든 사용자로 구성)
사용자, 그룹, 조직 및 동적 역할에 대한 자세한 내용은 참여자 관리 정보를 참조하십시오.
일반적으로는 그룹, 역할 또는 조직에 대한 액세스 제어 규칙을 정의합니다. 그룹 탭에는 시스템 그룹과 사용자 정의 그룹이 모두 나타납니다. 역할 탭에는 동적 역할과 가역할이 모두 나타납니다. 그룹, 역할 또는 조직 단위로 처리하면 동시에 여러 사용자에게 규칙을 적용할 수 있으므로 관리 오버헤드를 줄일 수 있습니다. 그러나 특정 사용자별로 규칙을 작성해야 하는 경우도 있습니다. 예를 들어, 다른 규칙에 의해 전체 그룹에 부여된 권한을 그룹의 멤버 한 명에게만 명백히 거부하는 액세스 제어 규칙을 작성할 수도 있습니다. 또한 특정 참여자를 제외한 모든 사람에 대한 규칙을 정의할 수 있습니다. 예를 들어, 액세스 제어 규칙에서 관리자 그룹을 제외한 모든 참여자에게 관리 권한을 거부할 수 있습니다.
권한은 객체에 적용되는 작업을 나타냅니다. 권한에 대한 자세한 설명이 다음 섹션에 나와 있습니다.
도움이 되셨나요?