存取控制概觀
您身為管理員,必須確定只有適當的參與者能夠存取物件。有關存取權的決定可以表達為存取控制規則。有兩種類型的存取控制規則:
• 原則規則,此類規則在網域中針對特定生命週期狀態下特定物件類型的物件所設定,並會授與、拒絕或絕對拒絕這些物件的存取控制權限。這些規則決定了參與者能夠與網域中指定類型與生命週期狀態下物件之間所擁有之互動的類型。原則規則組成了該網域的存取控制原則。
• 隨機規則,此類規則在物件中設定,並會授與特定物件存取控制權限。這些規則決定了參與者能夠與物件之間擁有之互動的類型。
例如,您可以建立原則規則,當WTDocument 類型物件處於其生命週期的「審核中」狀態時,給予發行群組修改的權限。您還可以建立另一個原則規則,來絕對拒絕「出版」群組權限,以在 WTDocument 物件處於生命週期的「已發行」狀態下時刪除物件。此外,也可以將隨機規則新增到 WTDocument 的特定實體中,例如「線上圖書館計劃」,以讓不具備「線上圖書館」群組權限的所選使用者群組修改此特定文件。
存取控制清單 (ACL) 是從存取控制規則中衍生出來的。ACL 有兩種類型:
• 原則 ACL,適用於物件類型。
• 隨機 ACL,適用於特定物件。
ACL 是使用者嘗試與物件互動時,實施存取控制決定的基本機制。ACL 是依據需求建立並且快取,以發揮最大的系統效能。
使用者檢視物件屬性 (其中有部分屬性參考含有存取控制的物件),例如參與者時,則使用者能否看到屬性的值,是由使用者是否具有所參考物件的「讀取」權限來決定。通常使用者若沒有參考物件的「讀取」權限,欄位並不會顯示屬性值,而是顯示 (「保全資訊」) 。例如,假設使用者顯示產品的相關資訊。在顯示的頁面上,有個產品屬性欄位是「建立者」,其值則是建立產品之使用者的姓名。如果顯示產品資訊的使用者沒有建立產品之使用者的「讀取」權限,則不會顯示使用者的姓名。使用者不會看到姓名,看到的是(「保全資訊」) 。