CA Process Automation には、プロセス、データセットおよびスケジュールなどの特定のオートメーション オブジェクトの操作に対するきめ細かいアクセス制御が用意されています。 アクセス制御には、従来の読み取りおよび書き込み権限だけではなく、プロセスを開始し、そのインスタンスをモニタする権限も含まれます。 また、子プロセス、データセットまたはカレンダなど、その他のオブジェクトへのアクセスも制御されます。 アクセス権限は、UI および Web サービスを含むすべての外部インターフェースで適用されます。
これらを仮定した、以下の例を考えます。
ユーザ A が P1 インスタンスを開始する場合、ユーザ A が P2 を直接開始する権限を付与されている場合に限り、P1 は P2 を開始できます。 露出からオートメーション オブジェクトを保護するため、所有者 X はプロセス P1 (またはその子プロセスまたはオペレータのいずれか)を所有者として実行することを要求できます。すなわち、プロセスを所有者 X の ID で実行します。 所有者 X がプロセスを[所有者として実行]に設定すると、所有者 X は他のユーザに対して P1 が必要とする要素へのアクセス権を付与せずに、プロセス P1 を実行する権限を付与していることになります。
同様に、所有者 X は、プロセス インスタンスを開始したユーザの ID でオペレータが実行されるようにすることができます。 プロセス P1 は[所有者として実行]に設定されていますが、所有者 X は、直接または間接的にプロセス P1 を開始するユーザの ID で子プロセス P2 が実行されるようにすることができます。 この場合、CA Process Automation は、送信元のユーザの ID を使用して、子プロセス P2 へのアクセスを検証します。
このシナリオを考えます: DBA ユーザが、名前付きデータセットへの DBA 認証情報を外在化させることが必要なデータベース管理プロセスを作成します。 DBA は、このプロセスを所有者として実行するように設定します。 [所有者として実行]により、プロセスのインスタンスに DBA 認証情報を格納するデータセットへのアクセス権が付与されます。 DBA は、選択したユーザに DBA 認証情報へのアクセス権を直接付与せずに、特定の DBA プロセスを実行する権限を付与します。
つまり、実行中のプロセス インスタンスには以下の 2 つの関連する ID があることになります。
注: 現在有効なユーザ ID は、子プロセス、オペレータ、およびデータセットへのアクセスを検証するために使用されます。
|
Copyright © 2013 CA.
All rights reserved.
|
|