セキュリティ エリアの概念によって、セキュリティ モデルが拡張されます。 セキュリティ エリアは、さまざまなユーザが管理する何千ものオブジェクトが使用される大規模な実装に適したオプションの機能です。
セキュリティ エリアは、地理的、組織的、またはトポロジ上の区分です。 セキュリティ エリアを定義しておくと、ユーザのアクセス権をセキュリティ エリアにリンクされているオブジェクトにのみ制限する場合に役立ちます。 セキュリティ エリアの概念では、セキュリティ プロファイルおよびオブジェクトによって示されるユーザがセキュリティ エリアにリンクされます。 セキュリティ エリアは、複数のプロファイル、および複数のオブジェクトにリンクされている可能性があります。 オブジェクトにリンクされている少なくとも 1 つのセキュリティ エリアが、ユーザの少なくとも 1 つのセキュリティ プロファイルにもリンクされている場合、ユーザはオブジェクトにアクセスできます。 オブジェクト アクセス権が拒否された場合、ユーザに対してそのオブジェクトは表示されません。
例: 2 つのセキュリティ エリアおよび 3 人のユーザ
HRManager、SeniorManager、および DevManager の 3 人のユーザには、ユーザ プロファイル HRMgrProfile、SrMgrProfile、および DevMgrProfile(すべてのアクセス権) が割り当てられます。 HumanResources および Development という 2 つのセキュリティ エリアが定義されています。 プロファイル HRMgrProfile および SrMgrProfile は、セキュリティ エリア HumanResources にリンクされています。 プロファイル SrMgrProfile および DevMgrProfile は、セキュリティ エリア Development にリンクされています。 したがって、SrMgrProfile で示される SeniorManager は、HumanResources および Development の両方のセキュリティ エリアへのアクセス権を持っています。 HRManager はセキュリティ エリア HumanResources へのアクセス権のみを持っていて、ユーザ DevManager はセキュリティ エリア Development へのアクセス権のみを持っています。 たとえば、HRManager が HumanResources エリア内の自分のコンソールでクエリを作成した場合、これはユーザ DevManager に対して非表示になります。 すべてのユーザ プロファイルに対しては、システムで作成されたオブジェクトのみが表示されます。
エリアのアクセス権を設定すると、1 つ以上のプロファイルの特定のオブジェクトに対するアクセス権を制限できます。 つまり、 t1 つのプロファイルに対して定義されている複数のクラス レベルのアクセス権が同じになります。 オブジェクトをさまざまなエリア に割り当てまたはリンクするか、プロファイルのアクセスを特定のエリアにリンクされた オブジェクトのみの表示に制限できます。
オブジェクトのアクセス権は、基本的にセキュリティ クラスによって管理されています。また、セキュリティ サブシステムでは、最大 32 のエリアの作成が許可されています。
以下の図に、セキュリティ サブシステムのエリアのサポートの概要を示します。
ユーザ 1 およびユーザ 2 はセキュリティ プロファイル A に属しています。 プロファイル A にリンクされているエリアの定義では、セキュリティ プロファイル A に属するユーザに対して表示するエリアが定義されます。
ユーザ 2 が作成したオブジェクトは、適切なエリアにリンクされているすべてのユーザに対して表示されます。
重要なユース ケース、およびこれらのユース ケースのコンテキストにおけるエリアのサポート内容については、セキュリティ エリアのサポートのユース ケースを参照してください。
|
Copyright © 2013 CA.
All rights reserved.
|
|