セキュリティーの管理

セキュリティー設定は、アプリケーションからアクセスされるすべてのオブジェクト (ドキュメント、フォルダー、保管済み検索、検索テンプレート、エントリー・テンプレート、フォーム、パブリッシュ・テンプレート、カスタム・オブジェクト) を保護します。通常は管理者によりユーザー、グループ、サイトのデフォルト・セキュリティーが定義されます。サイトの設定によっては、新規のフォルダー、ドキュメント、カスタム・オブジェクトの追加時や、ドキュメントのチェックイン時、ドキュメントの発行時、オブジェクトの情報ページの表示時に、ユーザーがセキュリティー権限を設定できる場合があります。オブジェクトのセキュリティーを変更するには、適切な権限が必要です。

このセクションのトピックでは、セキュリティー設定について解説し、セキュリティー設定を割り当てる方法について説明します。

デフォルト・セキュリティー

通常、ドキュメント・クラス、フォルダー・クラス、およびカスタム・オブジェクト・クラスのデフォルト・セキュリティーは、管理者が定義します。ただし、次の方法でもデフォルトのセキュリティー設定を定義できます。

オブジェクトに対して適切な権限があれば、そのオブジェクトのセキュリティー設定を変更できます。

注意: 管理者は、サイト設定を使用して、ユーザーがドキュメントを追加またはチェックインしたとき、またはフォルダーを追加したときに、セキュリティー・ページを表示しないように設定できます。ドキュメントまたはフォルダーを追加する際にセキュリティー・ページが非表示になっている場合は、ドキュメントまたはフォルダー・クラスのデフォルト・セキュリティーが適用されます。ドキュメントのデフォルト・セキュリティーは、セキュリティー・ポリシーでも定義されます。ドキュメントをチェックインする場合は、前回のチェックアウトに適用された設定 (予約オブジェクト)、またはドキュメントにセキュリティー・ポリシーが使用されている場合はそのセキュリティー・ポリシーがデフォルト・セキュリティーになります。予約オブジェクトの詳細については、「バージョンについて」を参照してください。

セキュリティー設定

オブジェクトの基本セキュリティー・ページには、オブジェクトへのアクセスが許可されているユーザーとグループ、および許可されている権限レベルが表示されます。このページで、オブジェクトのセキュリティー・ポリシーの表示または割り当て、新しいユーザーやグループの追加、既存のユーザーやグループの権限の変更を行うことができます。

注意: 管理者は別のツールを使用してセキュリティーを管理できます。このツールでは、セキュリティー設定をアクセス制御リスト (ACL) として参照します。また、このツールは各ユーザーおよびグループのタイトルとその権限をアクセス制御項目 (ACE) として識別します。

次の図に、Timesheet という名前のドキュメントのセキュリティー設定を示します。現在、ドキュメントにセキュリティー・ポリシーが割り当てられており、デフォルト・セキュリティーが管理されています。チェック・マークは個々のユーザーまたはグループに対して許可されている権限を表します。

セキュリティーの例

場合によっては、特定のユーザーまたはグループがアイテムのセキュリティー設定に 2 回以上リストされます。その場合、2 つ以上のソースからユーザーまたはグループのセキュリティー設定が取得されます。例えば、ユーザー「abrown」に、継承されたアクセス権、セキュリティー・ポリシーから取得したアクセス権、および直接設定されたアクセス権がある場合、このユーザー名が 3 回リストされます。また、オプションの拡張機能製品 IBM InfoSphere Enterprise Records がインストールされている場合、レコード管理用設定により、さらに多くのセキュリティーをドキュメントに適用できます。設定の詳細を表示するには、ユーザー名またはグループ名をクリックします。次の表のアイコンは、セキュリティー設定のソースを示します。

アイコン 説明
アイコンなし セキュリティー設定は直接 (明示的に) 設定されています。
フォルダーの継承から設定が導出されます。 フォルダーの継承からセキュリティー設定が導出されます。
設定がすべてのサブフォルダーに適用されます。 セキュリティー設定が 1 つのフォルダーから全レベルのサブフォルダーに適用されます。
設定が次のレベルのフォルダーに適用されます。 セキュリティー設定が 1 つのフォルダーから 1 レベル下の次のサブフォルダーに適用されます。
セキュリティー・ポリシーから設定が導出されます。 セキュリティー・ポリシーから取得したセキュリティー設定(Workplace XT でのみ表示されるアイコンです)

注意: 継承が構成されていると、セキュリティー上の親がそのドキュメントのセキュリティーのソースになる場合があります。親フォルダーからの継承は、新しいフォルダーを追加した場合にも適用されます。セキュリティーの継承を規定するルールは管理者が定義します。

権限レベル

権限レベルは、特定のユーザーまたはグループに付与される、オブジェクトへのアクセスの組み合わせタイプを指定する権限のセットです。例えば、「コンテンツの変更」は、ドキュメントのチェックアウト、ドキュメントのマイナー・バージョンとしてのチェックイン、およびドキュメントのチェックアウトの取り消しに関するユーザーの権限を制御します。

注意: 設定可能な権限レベルは、選択したオブジェクトのタイプによって異なります。

設定できる権限は「許可」または「拒否」です。この権限は別の権限と関連があります。「許可」または「拒否」の設定を変更すると、その影響が関連する設定にまで波及します。例えば、「コンテンツの変更」を「許可」に設定すると、「プロパティーの変更」、「コンテンツの表示」、「プロパティーの表示」の設定も「許可」になります。

次の図に、特定のドキュメントに対する HR Managers グループの現在の権限設定を示します。「オーナー制御」と「公開」の権限がともに「暗黙的な拒否」になっています。「暗黙的な拒否」は、特定の設定がないことを示しています。この場合、別の方法でアクセス権が付与されない限り、これらのアクセス権はグループ・アカウントで拒否されます。次の例の場合、HR Managers グループには、このドキュメントへの「オーナー・コントロール」と「発行」アクセス権が明示的に付与されていません。ただし、グループのメンバーには、これらのアクセス権が他の方法により付与されている場合があります (例えば、メンバーに直接アクセス権が付与されていたり、他のグループのメンバーシップにより付与されたりしている場合など)。 この例のその他の設定は、セキュリティー・ポリシーから導出されます。必要に応じて、すべての設定で「許可」または「拒否」を選択してこれらの設定を上書きできます。

HR Managers グループの現在のセキュリティー設定

注意: Workplace XT で「公開」権限が表示されている場合でも、Workplace で公開操作を実行する必要があります。

権限の説明

次の表に個別の権限について説明します。

権限 説明
オーナー制御 この権限を付与されたユーザーは、該当するオブジェクトを完全に制御できます。ユーザーは、オブジェクトを削除したり、オブジェクトのセキュリティーを設定したりできます。デフォルトでは、オブジェクトをオブジェクト・ストアに最初に追加したユーザーに、そのオブジェクトに対する「オーナー制御」権限が割り当てられます。
  • 「オーナー制御」を「許可」にすると、残りのすべての権限の設定も「許可」になります。
  • 「オーナー制御」を「拒否」にした場合は、他の権限の設定は変更されません。
バージョンの昇格
(ドキュメントのみ)
ドキュメントの昇格および降格を実行できます。ドキュメントのチェックアウト、ドキュメントのメジャー・バージョンとしてのチェックイン、ドキュメントのチェックアウトの取り消し、ドキュメント・バージョンの昇格または降格を実行できます。バージョン管理の詳細については、「ドキュメントのバージョン管理」を参照してください。
  • 「バージョンの昇格」を「許可」に設定すると、「コンテンツの変更」、「プロパティーの変更」、「コンテンツの表示」、「プロパティーの表示」も自動的に「許可」に設定されます。
  • 「バージョンの昇格」を「拒否」にすると、「オーナー制御」の設定も「拒否」に変更されます。

注意: Application Integration には、昇格および降格機能はありません。

コンテンツの変更
(ドキュメントのみ)
ドキュメントのチェックアウト、ドキュメントのマイナー・バージョンとしてのチェックイン、チェックアウトの取り消しを実行できます。
  • 「コンテンツの変更」を「許可」に設定すると、「プロパティーの変更」、「コンテンツの表示」、「プロパティーの表示」も自動的に「許可」に設定されます。
  • 「コンテンツの変更」を「拒否」に設定すると、「オーナー制御」と「バージョンの昇格」も「拒否」に設定されます。

また、適切なデザイナー・ツールを使用しても、「コンテンツの変更」アクセス権では検索テンプレート、保管済み検索、パブリッシュ・テンプレート、またはワークフローを変更できません。サーチ・デザイナー、または Process Designer を使用してチェックアウトを適用するには、「バージョンの昇格」アクセス権が必要です。

プロパティーの変更 オブジェクトのプロパティーを変更できます。
  • 「プロパティーの変更」を「許可」に設定すると、「コンテンツの表示」と「プロパティーの表示」もドキュメントに対して自動的に「許可」に設定されます。
  • 「プロパティーの変更」をフォルダーに対して「許可」に設定すると、「プロパティーの表示」も自動的に「許可」に設定されます。
  • 「プロパティーの変更」を「拒否」に設定すると、「オーナー制御」、「バージョンの昇格」(ドキュメントのみ)、「コンテンツの変更」(ドキュメントのみ)、「公開」(ドキュメントのみ) も「拒否」に設定されます。
コンテンツの表示
(ドキュメントのみ)
ドキュメント・オブジェクト (保管済み検索、検索テンプレート、ワークフロー、エントリー・テンプレートなど) を表示できます。例えば、オブジェクトがスプレッドシート・ドキュメントの場合、ユーザーはそのスプレッドシートを開いて表示できます。
  • 「コンテンツの表示」を「許可」に設定すると、「プロパティーの表示」も自動的に「許可」に設定されます。
  • 「コンテンツの表示」を「拒否」に設定すると、「オーナー制御」、「バージョンの昇格」、「コンテンツの変更」、「プロパティーの変更」、「公開」も「拒否」に設定されます。
プロパティーの表示 フォルダーまたはオブジェクトのプロパティーを表示できます。
  • 「プロパティーの表示」を「許可」に設定しても、その他の設定は変わりません。
  • 「プロパティーの表示」を「拒否」に設定すると、その他のすべての権限がデフォルトで「拒否」に設定されます。
公開
(ドキュメントのみ)
既存のドキュメントを公開できます。
  • 「公開」を「許可」に設定すると、「コンテンツの表示」、「プロパティーの表示」、「プロパティーの変更」も自動的に「許可」に設定されます。
  • 「公開」を「拒否」に設定すると、「オーナー制御」も「拒否」に設定されます。

注意: Workplace を使用して、公開操作を実行する必要があります。

サブフォルダーの作成
(フォルダーのみ)
既存のフォルダーにサブフォルダーを追加できます。
  • 「サブフォルダーの作成」を「許可」に設定すると、「プロパティーの表示」も「許可」に設定されます。
  • 「サブフォルダーの作成」を「拒否」に設定すると、「オーナー制御」も「拒否」に設定されます。
フォルダー内のファイル
(フォルダーのみ)
ドキュメントをフォルダーに追加できます。
  • 「フォルダー内のファイル」を「許可」に設定すると、「プロパティーの表示」も「許可」に設定されます。
  • 「フォルダー内のファイル」を「拒否」に設定すると、「オーナー制御」も「拒否」に設定されます。

 

  • 「フォルダー内のファイル」では、フォルダーにサブフォルダーを追加する権限は付与されません。サブフォルダーを追加するには、「サブフォルダーの作成」権限が必要です。
  • ドキュメントに設定されているセキュリティー権限では、どのフォルダーにドキュメントを保管できるかは制御しません。このような権限は、フォルダー・セキュリティーによって制御されています。ドキュメントに対して「プロパティーの表示」権限を持っている場合、該当するフォルダーに対する「フォルダー内のファイル」アクセス権を持っていないと、ドキュメントをファイリング、移動、ファイリング解除できません。

使用可能な権限レベル

次の表に、各オブジェクトに適用可能な権限レベルを示します。Workplace XT では、カスタム・オブジェクトおよび公開テンプレートはサポートされません。

ドキュメント アノテーション
(Image Viewer)
フォルダー カスタム・オブジェクトおよびセキュリティー・ポリシー 保管済み検索および公開テンプレート
オーナー制御
バージョンの昇格
コンテンツの変更
プロパティーの変更
コンテンツの表示
プロパティーの表示
公開
オーナー制御
コンテンツの変更
コンテンツの表示
オーナー制御
プロパティーの変更
サブフォルダーの作成
フォルダー内のファイル
プロパティーの表示
オーナー制御
プロパティーの変更
プロパティーの表示
オーナー制御
バージョンの昇格
コンテンツの変更
プロパティーの変更
コンテンツの表示
プロパティーの表示

注意: Workplace XT では、エントリー・テンプレート定義、検索テンプレート、およびワークフロー定義は、特殊なクラスのドキュメントです。このような特殊なタイプのドキュメントには、保管済み検索の権限が適用されます。ワークフロー定義では、「公開」権限が表示されますが、ワークフローを公開することはできません。

アノテーションとドキュメント権限のインタラクション

Image Viewer のアノテーション機能により、既存のドキュメントにアノテーションを追加できます。ドキュメントで定義済みのセキュリティー以外に、各アノテーション・アイテムに対してセキュリティーを定義できます。管理者は、アノテーションのデフォルト・セキュリティーをドキュメント・オブジェクトのデフォルトのセキュリティー設定から導出するかどうか、またはアプリケーションのデフォルト・セキュリティーをアノテーション・クラスのデフォルトのセキュリティー設定から導出するかどうかを指定します。また、クラスおよびクラスのデフォルトのセキュリティー設定も定義します。

次の表に示すように、アノテーションの追加、編集、または削除の機能はドキュメントのセキュリティーおよびアノテーションのセキュリティーにより決定されます。

アノテーションのオペレーション 必須のドキュメントの権限 必須のアノテーションの権限 生成されるアノテーションの権限
アノテーションの表示 コンテンツの表示 コンテンツの表示 同じ
アノテーションの追加 コンテンツの変更 適用外 オーナー制御、ドキュメントから継承されたセキュリティー
アノテーションの編集 コンテンツの変更 コンテンツの変更 同じ
アノテーションの削除 コンテンツの変更 オーナー制御 適用外
アノテーションのセキュリティー設定の変更 コンテンツの変更 オーナー制御 セキュリティー設定の設定

 アノテーション・セキュリティーにより、ユーザーが削除権限を持つドキュメントを削除できない場合があります。ドキュメントを削除するには、すべてのアノテーションの削除権限と、ドキュメントの削除権限が必要です。

システムに関する注意

権限の設定ページには、システムに関する注意が表示されます。これらの情報を参照すると、各設定が元々どこで定義されているかを確認できます。次の表に、これらの注意ラベルとその定義元を示します。

システムに関する注意 説明
システム定義の拡張設定 1 つ以上の場所で定義されている設定。
セキュリティー・ポリシーにより拒否 セキュリティー・ポリシーで「拒否」に設定されている権限。
セキュリティー・ポリシーにより許可 セキュリティー・ポリシーで「許可」に設定されている権限。
システム定義の拡張設定により拒否 セキュリティー・テンプレートの権限と、親フォルダーから継承した権限の組み合わせによって「拒否」に設定されている権限。
システム定義の拡張設定により許可 セキュリティー・テンプレートの権限と、親フォルダーから継承した権限の組み合わせによって「許可」に設定されている権限。
継承されたセキュリティーにより拒否 親フォルダーから継承したセキュリティーによって「拒否」に設定されている権限。
継承されたセキュリティーにより許可 親フォルダーから継承したセキュリティーによって「許可」に設定されている権限。
暗黙的な拒否 明示的または継承済みのシステム権限が設定されていません。別のアクセス制御項目でアカウントへのアクセスが許可または拒否される場合があります。セキュリティー・モデルでは、権限が「許可」に設定されていない場合はオブジェクトへのアクセスが拒否されます。