|
針對寬泛的權限需求,請考慮使用前後關聯獨立的參與者。這會將小組大小保持在最佳層級,並降低對處理資源之系統的影響。針對在前後關聯之間有差別的權限需求,請使用前後關聯特定參與者。
|
系統資源效率
|
|
最適合時
|
某些參與者群組的權限需求在不同應用程式之間皆相同時。
|
使用方法
|
參與者根本不必新增至小組。相反地,應該透過存取控制規則為其授與必要權限。
|
範例
|
範例 1
整個組織都需要對組織內每個公開產品之特定類型資料的讀取權。在此類情況下,可以使用某個選項將組織中的所有使用者新增至每個產品的「未註冊成員角色」。此方式需要大量處理。可透過適當管理網域 (例如組織的 /Default/PDM 網域) 中特定物件類型的存取原則規則,為使用者提供「讀取權」。
範例 2
特定的使用者群組在每個應用程式前後關聯中執行「法規遵循審核」的功能。建立「法規遵循審核」角色,並將相同的使用者新增至每個應用程式前後關聯中的該角色,會增添不必要的負擔。不過,可透過適當管理網域 (例如網站的 / (根) 網域) 中「法規遵循審核」使用者定義群組的存取原則規則,為使用者群組提供必要權限。
|
其他考量
|
針對不屬於應用程式前後關聯小組成員的使用者,應用程式前後關聯將不會列在使用者介面中的「產品」、「物件庫」、「方案」或「專案清單」頁中。不過,使用者仍可搜尋它們。如果使用者擁有適當權限,則會找到應用程式前後關聯。存取之後,會將應用程式前後關聯載入到「導覽器」中最近存取的清單,且可在此處找到以供後續使用。
如果此類使用者需要存取不會自動顯示給非小組成員的動作,則可使用小組的「配置角色動作」設定將這類動作顯示給非小組成員看見。此類規則可能會透過前後關聯範本而自動提供給新前後關聯。某些功能,例如參與「工作流程」,可能也必須針對非小組成員使用者而個別設定。
此類使用者用來在應用程式前後關聯內導覽至不同資料類型所需的存取原則規則,可能依具體情況而有所不同。應該識別並適當授與這些權限。
|
詳細資訊
|
系統資源效率
|
|
最適合時
|
• 參與者所需的對應用程式前後關聯中物件的存取權依據其在前後關聯中的角色而定。
• 同一個小組結構可以套用至數個類似 (變更不大或沒有變更) 的應用程式前後關聯。
• 相同使用者或群組,在所有這些應用程式前後關聯中的相同角色中執行相同功能。
• 可以在本機上延伸以滿足其他需求 (請參閱以下額外的考量)。
|
使用方法
|
• 共用小組通常用於「物件庫」小組,這是由於要提供給使用者的權限之泛用本質緣故。
• 在其他情況下,可以建立多個共用小組以用於不同的「產品」與「專案」集。
|
其他考量
|
當未以本機方式延伸時,共用小組是最有效率的。以本機方式延伸小組會建立本機小組實例,這會減少共用小組應該提供的某些效能優點。根據共用小組在每個本機小組中的修改程度而定,共用小組的真正優點可能根本無法實現。
|
詳細資訊
|
系統資源效率
|
|
最適合時
|
• 參與者所需的對應用程式前後關聯中物件的存取權依據其在前後關聯中的角色而定。
• 小組結構特定於每個應用程式前後關聯。
• 在小組角色中產生作用的參與者特定於每個應用程式的前後關聯。
|
使用方法
|
• 根據職務來建立廣泛的使用者分組。
• 將群組新增至小組的特定角色。
• 請勿針對每個個別的前後關聯建立具唯一性的使用者群組。請考慮使用可重複使用的使用者群組。
|
其他考量
|
理想情況下,本機小組所需的參與者數目保持在最佳數目。
|
詳細資訊
|
效率低下的小組設計作法
|
缺點
|
最佳作法
|
---|---|---|
將組織中每個使用者新增至每個小組的「未註冊成員角色」(或任何其他角色) 以授與應用程式前後關聯資料的「讀取」權限。
|
極大型小組結構對於系統資源的需求很龐大。
|
使用原則規則來提供基本存取權限。將必須與小組直接關聯的使用者數目保持在最佳數目。
|
透過為每個小組建立數百個角色來建立非常精確的權限控制。
|
極大型小組結構對於系統資源的需求很龐大。
|
請注意定義多個特定角色的效能取捨。將小組中的角色數目保持在最佳數目。
|
使用產品或物件庫範本來指定應針對所有產品或物件庫中小組角色建立的相同原則存取控制規則。
|
這會導致不必要的複製,也就是針對每個產品中的相同角色建立了相同的原則存取控制規則。
|
如果可能,請在「組織」層級針對動態角色建立原則存取控制規則,而不要在每個應用程式前後關聯中複製它們。如需詳細資訊,請參閱在存取控制規則中使用動態角色。
|
針對產品中的角色指派,以隨機方式建立具唯一性的使用者群組。群組不重複使用,而且特定於單一產品。
|
可能會導致許多使用者群組擁有類似的參與者成員資格。這會使得使用者群組的維護更加複雜,而且使 LDAP 負載過重。
|
將使用者組織到可重複使用的使用者群組中,而不要為每個前後關聯建立具唯一性的使用者群組。或者,將使用者與小組直接關聯,而不是建立使用者群組並將這些群組關聯至角色。第二個方法不像第一個那麼有效率。
|