IBM® Enterprise
Records のセキュリティー実装では、マーキング・セットを使用します。マーキング・セットは、オブジェクトへのアクセスを制御する特別なプロパティー値です。 ユーザーは、インスタンスのセキュリティーとマーキング値で設定された基準を満たした場合にオブジェクトにアクセスできます。 マーキング・セットは、FileNet® P8 ドメイン全体に適用されるので、P8 ドメイン内にあるすべてのオブジェクト・ストアで使用できます。
IBM Enterprise
Records には複数のマーキング・セットがあり、
IBM Enterprise
Records のインストール・プロセスで
Content Platform Engine サーバーに作成されます。
これらのマーキング・セットには以下のタイプが含まれます。
- IBM Enterprise
Records エンティティー削除の防止
- 補足的マーキング (DoD および PRO)
- セキュリティー・カテゴリー (PRO)
- セキュリティー・カテゴリー (DoD 分類)
IBM Enterprise
Records エンティティー削除の防止
「RM エンティティー削除の防止」階層型マーキング・セットは、
IBM Enterprise
Records の DoD および Base インストールで使用できます。 PRO インストールでは、
「RM エンティティー削除の防止 PRO」という別のマーキング・セットを使用します。 DoD インストールおよび Base インストールの場合、マーキング・セットが原因で、
レコード管理者またはレコード・マネージャーでないユーザーはエンティティーを削除できません。 削除できなくなるエンティティーは、ファイル・プラン、レコード・カテゴリー、レコード・フォルダー、ボリューム、およびレコードです。 PRO インストールの場合、レコード管理者でないユーザーは、
IBM Enterprise
Records によりこれらのエンティティーを削除できません。
「RM エンティティー削除の防止」マーキング・セットは
IBM Enterprise
Records 内部で使用されるため、このマーキング・セットを変更しないでください。
マーキング・セットには次のマーキングがあります。
- デフォルト: このマーキング・セットは、IBM Enterprise
Records により上記のエンティティーに適用されるデフォルトのマーキングです。
- 削除の防止: エンティティーを保留に配置する場合に IBM Enterprise
Records により適用されるマーキングです。 このマーキングが適用されると、レコード管理者やレコード・マネージャーを含めどのユーザーもエンティティーを削除できなくなります。
補足的マーキング
このマーキング・セットは、非階層型マーキング・セットであり、
IBM Enterprise
Records の PRO インストールおよび DoD インストールで使用できます。
補足的マーキング・セットには、マーキングは含まれていません。 このセットには、アプリケーション固有の要件を満たすマーキングを作成できます。 例えば、
ドキュメントの処理を補足したり明確にしたりするマーキングを作成できます。 このセットは、ORCON (ORiginator CONtrolled、オリジネーター制御)、RD (Restricted Data、制限付きデータ)、および FRD (Formerly Restricted Data、旧制限付きデータ) のマーキングに適用されます。
補足的マーキング・セットは、レコード・カテゴリー、レコード・フォルダー、ボリューム、およびレコードに適用されます。
- このマーキング・セットを使用するには、マーキングをマーキング・セットに追加します。
- IBM Administration
Console for Content Platform Engine を使用して、コンテナーを作成する IBM Enterprise
Records ユーザー・インターフェースに「補足的マーキングのリスト」プロパティーを表示します。 IBM Administration
Console for Content Platform Engine を使用して、「補足的マーキングのリスト」プロパティー・テンプレートの「非表示」チェック・ボックスをオフにします。
- 「レコードとして宣言」エントリー・テンプレートに「補足的マーキングのリスト」プロパティーを表示するには、このプロパティーをエントリー・テンプレートに追加します。
IBM Enterprise
Records には PRO データ・モデルのレポートがあります。このレポートでは、特定のタイプの補足的マーキングに関連付けられた電子フォルダーおよびレコードがすべて一覧表示されます。 レポートの生成方法について詳しくは、
レポートの生成に関するトピックを参照してください。
セキュリティー・カテゴリー
セキュリティー・カテゴリーは、階層型マーキング・セットであり、PRO データ・モデルと DoD 分類データ・モデルの両方で使用できます。
PRO データ・モデルは 3 つのマーキングで構成されます。
- 「最高機密」(階層内の最高レベル)
- 「機密」
- 「社外秘」
- 「部外秘」
- 「分類されていない」(階層内の最低レベル)
DoD 分類データ・モデルは 3 つのマーキングで構成されます。
- 「最高機密」(階層内の最高レベル)
- 「機密」
- 「社外秘」
- 「分類されていない」(階層内の最低レベル)
PRO データ・モデルの場合、デフォルトでレコード管理者は「最高機密」に割り当てられ、「機密」、「社外秘」、および「分類されていない」の割り当てを継承します。 他のユーザーはすべて「分類されていない」マーキングに割り当てられます。
DoD 分類データ・モデルの場合、デフォルトでは、「最高機密」、「機密」、および「社外秘」はどのユーザーにも割り当てられません。 認証されたユーザーは「分類されていない」マーキングに割り当てられています。
GCD 管理者権限を持つ PRO のレコード管理者および DoD のレコード・マネージャーは、
マーキングのセキュリティー設定を変更できます。
例えば、グループやユーザーを「機密」、「社外秘」、および「部外秘」マーキングに追加できます。
DoD 分類データ・モデルの階層型マーキング・セットを編集する場合、次の要件に注意する必要があります。
- 「分類されていない」マーキングは、階層内で最下位でなければなりません。
- このマーキングの名前は「分類されていない」とする必要があります。
分類されたレコードは、上記の要件を守らないと正常に機能しません。 例えば、「分類されていない」より下位に別のマーキングを追加すると、「分類されていない」として宣言されたレコードは編集できなくなります。
PRO データ・モデルの場合、「セキュリティー・カテゴリー」マーキング・セットは、レコード・カテゴリー、レコード・フォルダー、ボリューム、およびレコードに適用されます。 これらのエンティティーには、「分類されていない」マーキングがデフォルトで適用されています。 いずれかのエンティティーを作成/宣言する際に、「セキュリティー・カテゴリー」プロパティーの値を別のカテゴリーに変更できます。 「セキュリティー・カテゴリー」プロパティーは、
エンティティーの作成時/宣言時に「プロパティーの設定」ページに表示されます。 IBM Enterprise
Records セキュリティー・ウィザードでは、IBM Enterprise
Records ロールに基づいてマーキングのセキュリティーを更新します。
DoD 分類データ・モデルの場合、「現在の分類」マーキングはレコードにのみ適用されます。 ユーザーがレコードを宣言するとき、IBM Enterprise
Records により「現在の分類」が設定されます。 また、権限のあるユーザーがレコードの分類を変更するときに限り、IBM Enterprise
Records により「現在の分類」マーキングが変更されます。
デフォルトでは、子オブジェクトは、親オブジェクトのセキュリティー・マーキングを継承します。 PRO データ・モデルでは、子オブジェクトに割り当てられているセキュリティー・マーキングの方が安全性が高い場合、親オブジェクトは子オブジェクトの設定を継承することができます。 子オブジェクトから親オブジェクトへのセキュリティーの伝搬を構成するには、次の手順を実行します。
- 「セキュリティー伝搬 COM イベント」を構成します。
- クラスを「セキュリティー伝搬 COM」イベントにサブスクライブします。 IBM Enterprise
Records は、このイベント・サブスクリプションを使用して、親セキュリティー・マーキングに更新内容を伝搬します。
- IBM Enterprise
Records で「伝搬セキュリティー・マーキング」設定を構成します。 マーキング伝搬の構成方法について詳しくは、
セキュリティー・マーキングの伝搬の構成に関するトピックを参照してください。