「アクセス・ロール」サイト設定では、アクセス・ロールを作成して、各アクセス・ロールのメンバーを管理することができます。アクセス・ロールにより、アプリケーション内の標準ページで一部の
アクション、ページ、およびアプレットが非表示になります。しかし、
別のアプリケーションまたは API から提供されたり、Workplace XT アクション、ページ、またはアプレットを直接呼び出す
カスタムビルト URL を介して提供されたりする場合は、アクセス・ロールにより、Content Engine オブジェクトが保護されることも、
これらのアクション、ページ、およびアプレットのユーザーによる呼び出しが妨げられることもありません。アクセス・ロールは、ファイルまたはフォルダー・レベルのセキュリティーの
代わりにはなりません。
デフォルトのアクセス・ロール
デフォルトのアクセス・ロールは、管理機能や特定のワークフロー関連ツールへのアクセスを制御します。デフォルト・アクセス・ロールは、アプリケーションのインストール時に作成されます。デフォルト・アクセス・ロールの名前は変更可能で、メンバーの追加や削除も行うことができます。デフォルト・アクセス・ロールは削除できません。
各デフォルト・アクセス・ロールは、特定の機能やツールへのアクセスを制御します。また、デフォルト・アクセス・ロールを他のビューやアクションに割り当てることができます。
- Application Engine 管理者 - サイト設定が可能で、「管理ツール」にアクセスできるユーザーを指定します。このアクセス・ロールのメンバーのみが、アクセス・ロールとメンバーシップを定義できます。
- このアクセス・ロールのメンバーは、暗黙的に定義済みのすべてのアクセス・ロールのメンバーとなります。
- このアクセス・ロールには、最低 1 人のメンバーが必要です。
- 初回使用時にブートストラップ設定を行うユーザーが、自動的に「Application Engine 管理者」アクセス・ロールに追加されます。このユーザーは、オブジェクト・ストア内のアクセス・ロールを表現し、保護する Content Engine 内のカスタム・オブジェクトの作成者または所有者となります。別のユーザーが Enterprise Manager によりアクセス・ロールのカスタム・オブジェクトの所有権を取らないかぎり、このユーザーに対して、デフォルトのアクセス・ロールへのアクセスを拒否することはできません。
- このアクセス・ロールのメンバーを「アクセス拒否」に設定することはできません。アクセス拒否の設定が可能な唯一の方法は、このアクセス・ロールにユーザーを追加しないことです。
- PSConsole -「シミュレーション・コンソール」にアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。
- PSDesigner -「Simulation Designer」にアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。
- PWAdministrator -「プロセス・アドミニストレーター」にアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。
- PWConfiguration -「プロセス構成コンソール」にアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。
- PWDesigner -「Process Designer」にデザイン・モードおよびダイアグラム・モードでアクセス可能で、「ワークフロー・サブスクリプション」ウィザードにアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。ユーザーが「ワークフロー・サブスクリプション」ウィザードにアクセスするには、このアクセス・ロールにメンバーを追加し、Enterprise Manager を使用して、インスタンスを作成してリンクの権限を修正するアクセス権を各ユーザーに付与する必要があります。このアクセス権は、ワークフロー・サブスクリプション・クラスのデフォルトの権限に対して設定されます。詳細については、「セキュリティー・スクリプト・ウィザード」を参照してください。
- PWDiagram -「Process Designer」にダイアグラム・モードでアクセスできるユーザーを指定します。デフォルトでは、メンバーを追加するまで、このアクセス・ロールにメンバーはいません。
カスタム・アクセス・ロール
カスタム・アクセス・ロールの作成やデフォルト・アクセス・ロールの使用により、Workplace XT 内の特定の機能やコマンドにアクセスできるユーザーを指定することができます。アクセス・ロールは「マイ
Workplace」 設定、「プライマリー・ビュー」設定、および「アクション」設定で使用できます。割り当てられたアクセス・ロールのメンバーでない場合、ユーザーはその機能にアクセスできません。特定のアクセス・ロールのメンバーの場合、ユーザーは、関連付けられた機能に対するメンバー・アクセスの許可と拒否を行うことができます。
アクセス・ロールの制御を解決する
ユーザーは、複数のアクセス・ロールのメンバーとなることができます。この場合、矛盾する権限を伴うことがあります。また場合によっては、ユーザーがすべての目的の機能およびアクションに対するフル・アクセス権限を持つことを保証するため、追加のメンバーシップを付与する必要があります。アクセス・ロールのメンバーシップ、プライマリー・ビューへのアクセス、およびアクションへのアクセスを割り当てる場合、次の点に注意してください。
- アクセス権をすべてのユーザーに付与するには、「認証されたユーザー」グループをアクセス・ロールに追加します。このグループに対するアクセスを許可か拒否に設定することで、すべてのユーザーに対するアクセス許可/アクセス拒否を設定できます。
- ユーザーをアクセス・ロールに追加する場合、デフォルトではアクセス許可に設定されます。必要に応じて、アクセスを手動で拒否に設定する必要があります。
- ユーザーが複数のアクセス・ロールのメンバーで、アクセス・ロール間でアクセス権の許可と拒否が矛盾する設定のある場合、ユーザーにはアクセス許可が設定されます。すなわち、あるアクセス・ロールでのアクセス許可は、他のアクセス・ロールでのアクセス拒否よりも優先されます。
- Content Engine で定義されるオブジェクト・ストアの管理者は、アクセス・ロールのメンバーシップにかかわらず、オブジェクト・ストア内のすべてのオブジェクトを表示することができます。
- ユーザーが PSConsole、PSDesigner、または PWDesigner アクセス・ロールへのメンバーシップを付与されており、「拡張ツール」が別のアクセス・ロールで保護されている場合、ユーザーは、「拡張ツール」の表示や、アクセス・ロールのツール (シミュレーション・コンソール、Simulation Designer、Process Designer、または「ワークフロー・サブスクリプション」ウィザード) の開始を行うには、「拡張オーサー」アクセス・ロールのメンバーでもある必要があります。
- ユーザーが PWAdministrator または PWConfiguration アクセス・ロールへのメンバーシップを付与されており、「管理」メニューが別のアクセス・ロールで保護されている場合、ユーザーは、「管理」ページまたは「管理」メニューの表示や、アクセス・ロールの関連ツール (プロセス・アドミニストレーターまたはプロセス構成コンソール) の開始を行うには、「管理」アクセス・ロールのメンバーでもある必要があります。
アクセス・ロールのメンバーシップの変更
アクセス・ロールのメンバーシップ情報はクライアント・セッション中にキャッシュされますが、アクセス・ロール割り当てに変更があった場合、変更内容は即座に適用されます。プライマリー・ビューまたはアクションに割り当てられたアクセス・ロールを変更する場合、変更内容は、ログインしているユーザーに対して即座に有効になります。ただし、ユーザーに対するアクセス・ロールの追加や削除を行う場合、そのユーザーが現在ログインしているときは、変更内容は、そのユーザーが次回ログインしたときに有効になります。
アクセス・ロールを作成するユーザーは、ユーザー名がロールから削除された場合でも、常にアクセス・ロールにアクセスできます。ユーザーはオブジェクト・ストアでアクセス・ロールを表現するカスタム・オブジェクトへのオーナー・アクセスを保持します。アクセス・ロールからユーザー・アカウントを完全に削除するには、オブジェクト・ストアの管理者は、Enterprise Manager を使用して、アクセス・ロールを表すカスタム・オブジェクトのオーナーを変更する必要があります。
アクセス・ロールにメンバーを追加するには:
- 目的のアクセス・ロール名の下にある「新規メンバーの追加」をクリックします。「ユーザー/グループの選択」ページが開きます。
- 「ユーザー」または「グループ」を選択して、適切なリストを表示します。
- 検索するユーザー名またはグループ名の最初の 1 文字以上を入力します。例えば、ProjectLeads および ProgramManagers という名前のグループを検索するには、「p」と入力します。「p」で始まるグループ名がすべて返されます。さらに多くの文字を入力することで、検索対象を絞ることができます。例えば、「proj」と入力すると、ProjectLeads は返されますが ProgramManagers は返されません。
- 「検索」をクリックします。検索テキストと一致する名前が表示されます。
- 一致する名前の数がデフォルトの表示数よりも多いと、画面には検索結果が一部しか表示されません。この場合には、検索条件を変更して、再度「検索」をクリックする必要があります。
- 該当するユーザーまたはグループが検索されたら、リストから目的のグループ名を選択します。Ctrl キーを押したままクリック、あるいは Shift キーを押したままクリックすることで、リストから複数の名前を選択できます。
- 「承認」をクリックします。サイト設定ページが再度開きます。このとき、新しいユーザー名またはグループ名は「許可されたアクセス」下のアクセス・ロールにリストされます。
- 必要に応じて、ユーザー名またはグループ名の横にある「アクセス拒否」をクリックして、特定のユーザーまたはグループに対するアクセスを拒否します。
- 変更を保存します。
アクセス・ロールからユーザーまたはグループを削除するには:
削除するアクセス・ロールのユーザー名またはグループ名の横にある「削除」をクリックし、変更内容を保存します。
アクセスを許可から拒否に変更するには:
変更するユーザー名またはグループ名 (アクセス・ロールのユーザー名またはグループ名) の横にある「アクセス拒否」をクリックし、変更内容を保存します。
新しいアクセス・ロールを追加するには:
- 「ロールの追加」をクリックして、「アクセス・ロールの追加」ページを開きます。
- アクセス・ロールの名前を入力します。
- 必要に応じて、「アクセス・ロールの説明」に説明を入力します。
- 「承認」をクリックします。「サイト設定」ページが開きます。
- 新しいアクセス・ロールにメンバーを追加して、変更内容を保存します。
ユーザー定義のアクセス・ロールを削除するには:
削除するアクセス・ロール名の下にある「ロールの削除」をクリックして、変更内容を保存します。
アクセス・ロールの名前を変更するには:
- 目的のアクセス・ロールの下にある「ロールの名前変更」をクリックします。
- アクセス・ロールの名前を編集します。
- 該当する場合、説明を編集します。
- 「適用」をクリックして、変更内容を保存します。