IBM Enterprise Records バージョン 5.1.2    

オブジェクト・セキュリティー

オブジェクト・ストア内の各オブジェクトには、セキュリティー設定があります。 IBM® Enterprise Records オブジェクトを作成するときに、さまざまな方法でセキュリティー設定が定義されます。

セキュリティー設定は、次の項目によって定義されます。

また、オブジェクトはセキュリティー・マーキングを継承することが可能で、ユーザーがマーキングを直接オブジェクトに割り当てることもできます。 オブジェクト・セキュリティーの適用について詳しくは、オブジェクト・セキュリティー設定または変更に関するトピックを参照してください。

レコードのセキュリティー

ポスト・インポート・スクリプト FPOS_PostImport_datamodel.vbs では、レコード・クラスおよびサブクラス (電子、E メール、マーカー) の「デフォルト・インスタンス・オーナー」プロパティーは「NULL」に設定されています。 このスクリプトは、オブジェクト・ストアにデータ・モデルをインポートする際に実行されます。 レコード・クラスまたはサブクラスで宣言したレコードは、クラスの「デフォルト・インスタンス・オーナー」プロパティーを継承します。 このプロパティーは「NULL」に設定されます。 PRO インストールの場合、「オーナー」プロパティーは「管理者」を表します。 オーナーが「NULL」の場合、IBM Enterprise Records はどのユーザーにも特別なアクセス権を付与しません。 レコードの作成者は、レコードのセキュリティーの変更などレコードに対する管理者権限を持ちません。

IBM Administration Console for Content Platform Engine を使用して、オーナーを指定のユーザーまたはグループに変更できます。 レコード・クラスまたはサブクラスの「デフォルト・インスタンス・オーナー」を変更して、この所有権を変更します。 ただし、IBM Enterprise Records は変更内容を既存のレコードには適用せず、変更後に作成されたレコードにのみ適用します。

宣言プロセスでレコードをコンテナーにファイリングすると、レコードは親コンテナーのセキュリティー (親セキュリティー) を継承します。 Application Engine または Workplace XT を使用して複数のコンテナーにレコードを宣言した場合、最初に選択したレコード・コンテナーが親セキュリティーになります。

IBM Enterprise Records のインストール時に、レコード・クラスの「デフォルト・インスタンス・セキュリティー」により、「レコード・マネージャー」ユーザー・グループに「マイナー/メジャー・バージョン管理」の権限が付与されます。 これらの権限によって、ユーザーは、レコードとして宣言されたドキュメントの新しいバージョンを作成することができます。 コンテナー・セキュリティーで一部のユーザーに対してすべての権限を特別に拒否した場合、この拒否設定はレコードに伝搬されます。 ただし、この場合に伝搬される拒否設定よりも、クラスの「デフォルト・インスタンス・セキュリティー」で設定されたユーザー・グループの方が優先されます。 拒否設定されたユーザーは、カテゴリーを参照できませんが、検索やレポートでレコードにアクセスすることはできます。

検索やレポートで幅広くレコードにアクセスするのを禁止する場合、「デフォルト・インスタンス・セキュリティー」インストール・ステップを完了しないでください。 「デフォルト・インスタンス・セキュリティー」インストール・ステップを完了しなければ、IBM Enterprise Records により、レコード・レベルおよびフォルダー・レベルのセキュリティー・アクセスがコントロールされます。 例えば、次の設定を行うことができます。

セキュリティーの継承

複数のフォルダーにレコードをファイリングした場合、レコードは引き続き最初のフォルダーのセキュリティーを継承します。 最初のフォルダーは、親セキュリティー・フォルダーです。 複数のフォルダーにレコードをファイリングし、親セキュリティー・フォルダーから新規フォルダーにレコードを移動した場合、 レコードは、新規フォルダーのセキュリティーを継承します。 また、レコードの親セキュリティー・フォルダーを削除した場合にも、セキュリティーの継承は変更されます。

複数のフォルダーにファイリングされたレコードの親セキュリティー・フォルダーを表示/変更するには、次のようにします。

  1. そのレコードを参照します。
  2. 「情報の取得」をクリックします。
  3. 「レコード情報」の下で「ファイリングされる」を選択します。
  4. 親セキュリティー・フォルダーを選択します。
  5. 「適用」をクリックして変更を適用します。

この場合、スイープは、その親セキュリティーも使用して、このレコードの現在実行中のスケジュールの選択を行います。

重要: IBM Enterprise Records では、セキュリティーの継承の無効化はサポートされていません。

ドキュメントのセキュリティー

ドキュメントをレコードとして宣言するには、ユーザーは、「Records User」ロールが割り当てられ、ドキュメントの「プロパティーの変更」権限を持つ必要があります。 ユーザーがドキュメントのオーサーである場合、ドキュメントに対するフルアクセスがあります。 ドキュメントがレコードとして宣言されると、IBM Enterprise Records により、ドキュメントのセキュリティーはレコードのセキュリティーで上書きされます。 ドキュメントに割り当てられたアクセス権はドキュメントに関連付けられたレコードによって制御されます。 オーサーは宣言後のドキュメントの宣言されたセキュリティーを変更できなくなります。 権限のあるユーザーがレコードのアクセス権を更新すると、レコードが宣言されたドキュメントに対する同じアクセス権も更新されます。

レコードとして宣言されたドキュメントのチェックアウトとチェックインをレコード・ユーザーに許可するには、デフォルトのインストール手順ですべてのレコードに対する追加の権限をすべてのユーザーに付与します。 IBM Enterprise Records の実装によっては、アクセス・レベルの高いユーザーがレコードおよびフォルダーのセキュリティーの変更が可能で、ドキュメントのオーサーがドキュメントのチェックインおよびチェックアウトを実行できる場合があります。 ドキュメントのバージョンを作成するには、レコードに対する「コンテンツの変更」権限が必要です。 また、ドキュメントのコンテンツを表示するには、レコードに対する「コンテンツの表示」権限が必要です。

宣言したドキュメントは、関連付けられたレコードを削除しないと削除できません。 ドキュメント削除に関する制約は、レコードを参照して「削除の防止」アクションを使用するドキュメントのプロパティーによって課されます。 「フルコントロール」アクセス権を持つユーザーでも、宣言済みのドキュメントを削除することはできません。 ドキュメントは、ドキュメントに関連付けられたレコードが削除されると、システムにより自動的に削除されます。 削除アクションは、レコードのオブジェクト値プロパティーがドキュメントを参照し、「段階的に削除する」アクションを使用することにより実行されます。



フィードバック

最終更新: 2013 年 11 月
object_security.htm

© Copyright IBM Corp. 2013