特定管理 > 確保資料安全性 > 安全性標籤與協定 > 配置安全性標籤 > 安全性標籤與協定的最佳實作方法
安全性標籤與協定的最佳實作方法
針對配置有安全性標籤的系統,請考慮下列最佳作法:
在不包含敏感資訊的物件上設定空安全性標籤值。也可以設定非空資訊告知標記。具有空安全性標籤值與非空資訊告知標記的物件不會限制存取權限,這表示您的 Windchill 系統將不需要核對該使用者是否是授權參與者。
只有當一或多個值限制物件的存取權限時,才使用安全性標籤。否則,請使用物件上的全域屬性而不是非空資訊告知標記。完全資訊告知標記的安全性標籤不可取代全域屬性。
針對包含敏感資訊的物件,除非參與者僅在有限的時間內需要存取權限,否則請將參與者新增至標籤值的授權參與者群組。協定應只能作為安全性標籤值限制的例外使用。儘管合約處於使用中狀態無時間限制,合約不應作為賦予大量使用者存取安全性標籤物件的權限的主要方法使用。
套用至企業物件的所有名稱/值對將會一起儲存在大小限制為 4000 的單一資料庫欄位中。針對標準安全性標籤,將 SecurityLabel 元素的 name 屬性與 SecurityLabelValue 元素的 name 屬性盡量保持最短,因為這些值一般在使用者介面中不會出現。如需詳細資訊,請參閱編輯安全性標籤組態檔案。針對自訂安全性標籤,將 CustomSecurityLabel 元素的 name 屬性與內部自訂安全性標籤值盡量保持最短。您可以使用自訂轉譯程式來縮小儲存在資料庫中內部值的大小。如需詳細資訊,請參閱建立自訂轉譯程式類別
當針對安全性標籤值或協定指定授權參與者時使用注意事項。將群組或組織指定為授權參與者可為它們提供變更群組或組織成員資格的權限,控制誰由安全性標籤值或協定授權。確保您選取其成員資格只能由管理員修改的群組與組織,且管理員應該可以延伸套用了安全性標籤值之物件的權限或與協定相關聯。例如,如果您選取與前後關聯小組角色關聯的系統群組作為協定的授權參與者,依預設前後關聯管理員可以變更小組成員資格,因此也可以變更誰是協定的授權參與者。除非前後關聯管理員也是協定管理員,否則前後關聯管理員可能無法瞭解變更小組成員資格的影響。
當建立或編輯協定時,「選取授權的相關變更」步驟可協助管理協定授權的物件。但是,將變更較大的物件作為相關變更物件包括在協定中會對 Windchill 效能產生負面影響。
依預設,所有安全性標籤都可在「編輯安全性標籤」視窗的「物件清單」表中作為欄使用。可為「物件清單」表設定自訂表格檢視以限制所顯示的安全性標籤欄。如果從表格中啟動「編輯屬性值」動作,則只有安全性標籤的可用欄會顯示在視窗中。如果您計劃建立自訂表格檢視,並與您的使用者共用檢視,則應建立檢視並在系統可由使用者使用之前予以共用,以防止意外授權修改值。
當實行自訂評估者與轉譯程式類別時,效能可能會受到影響,因為 Windchill 將會頻繁呼叫自訂類別中的方法。例如,如果您正在設定對於外部系統的呼叫,您可能會考慮快取傳回值以改善後續方法呼叫的效能。
如果您使用自訂安全性標籤,且使用者能夠手動輸入值,例如使用配置自訂安全性標籤時預設提供的文字欄位,PTC 建議將驗證新增至使用者介面。建議使用自訂轉譯程式類別來驗證值,以防止在使用者將無效值輸入到使用者介面中,或在匯入檔案中指定無效值時,將非預期值儲存到資料庫中。
確保管理員能夠修改標準或自訂安全性標籤值,以免使用者將其錯誤設定為限制使用者存取權限的值,還需要管理員協助更正值。
這是否有幫助?