IBM FileNet P8, バージョン 5.2.1            

セキュリティー・レベルの設定

セキュリティー・レベルは、ワークフロー・ロスター、ワーク・キュー、ユーザー・キュー、およびコンポーネント・キューに対して設定できます。設定するセキュリティー・レベルは、ロスターまたはキューに含まれるワーク・アイテムへのユーザーのアクセス権に影響します。

ワークフロー・ロスターおよびキューにアクセス権を割り当てる際に注意すべき条件を、次の表で説明します。

条件 結果 ...
ユーザーが workflow_system_admin_group グループのメンバーである。 ユーザーは、明示的にユーザー・アクセス権が割り当てられていない場合でも、自動的にそれぞれのロスターおよびキューへの全アクセス権限を持ちます。
ロスターまたはキューへの特定のアクセス権がどのユーザーにも割り当てられていない。 ワークフロー・ロスターまたはワークフロー・キューへの特定のアクセス権が全員に付与されます。例えば、1 人のユーザーにのみ照会アクセス権を割り当てた場合、そのユーザーは、ワークフロー・ロスターまたはワークフロー・キューの作成や処理用のアクセス権をそれぞれ明示的に割り当てられていない場合でも、ワークフローの作成や処理を行うことができます。
重要: すべてのユーザーに特定のアクセス権を与える場合は、アクセス権を空白にしておきます。Active Directory の Domain Users グループなどの包括的なグループを割り当てないでください。ワークフロー・ロスターまたはワークフロー・キューに大規模なグループを割り当てると、データベースおよびメモリーの使用率に悪影響を及ぼすことがあります。
ヒント: ほとんどのユーザーに対して、ワークフロー・ロスターやキューへのアクセスを制限するには、少なくとも 1 人のユーザーに対して、そのワークフロー・ロスターやキューへのアクセス権を割り当てます。例えば、ほとんどのユーザーが特定のキューにアクセスできないようにするには、workflow_system_admin_group グループのいずれかのメンバーに対して、照会アクセス権とプロセス・アクセス権を割り当てます。このメンバーは、そのキューへの暗黙的なアクセス権を持つことになります。

現在のシステムでユーザー認証に Active Directory を使用している場合は、権限のセットアップで Domain Users グループを使用しないでください。デフォルトでこのグループは、Active Directory 内のすべてのユーザーを含みます。ユーザーは、自分のデフォルトのプライマリー・グループを上書きできます。すべてのユーザーにキューへのアクセスを許可するには、キューの ACL を空のままにします。

ワークフロー・キューの ACL リストに Domain Users グループを含めた場合、このグループを展開すると、ワークフロー・システムによって Active Directory 上のすべてのユーザーに対してデータベース環境レコードが作成されます。このアクションは、かなりの量のデータベース・リソースおよびメモリー・リソースを消費します。

セキュリティー・レベルを設定するには

  1. プロパティー」ウィンドウがまだ表示されていない場合は、変更するキュー、ロスター、またはイベント・ログを選択して、ツールバーの「プロパティー」をクリックします。
  2. 「セキュリティー」タブをクリックします。
  3. デフォルトでは、ロスターまたはキューを作成するとすべてのユーザーがすべての権限 (照会とプロセスの両方) を持ちます。この内容は「選択されたユーザー」リストの下の 「すべてのユーザー」 テキストで確認できます。また「選択されたユーザー」リストからユーザーを追加または削除すると、テキストは更新され、残りの全ユーザーの権限と、選択したユーザーに割り当てられた権限が表示されます。
  4. アクセスを特定のユーザーに制限するには、「照会」または「プロセス」、あるいはその両方のチェック・ボックスを選択します。
  5. ユーザーを選択し、選択されたユーザーのリストに追加します。
    ヒント: 照会アクセス権を 1 人以上の特定のユーザーに指定して制限しない限り、すべてのユーザーが照会アクセス権を持ちます。制限した場合は、それらのユーザーのみ (および照会とプロセスの両方のアクセス権を持っているユーザー) がキューへの照会アクセス権を持ちます。
  6. アクセス権を取り消すには、「選択されたユーザー」 リストで 1 つ以上のアイテムを選択し、「削除」 をクリックします。

    既に割り当てられているアクセス権を変更するには、「選択されたユーザー」 リストで 1 つ以上のアイテムを右クリックします。リストで、変更するアクセス権をオンまたはオフにします。

  7. 最後に 「OK」 をクリックします。
  8. ツールバーで「変更のコミット」をクリックして、この変更をアイソレート・リージョンに適用します。

少数のユーザー (ここでは UserA と UserB) がキュー内のアイテムをロックおよび処理するプロセス・アクセス権を持つ一方で、他のすべてのユーザーが、アイテムの参照のみを行える (変更は行えない) 照会アクセス権を持つようにセキュリティーを設定するには、「プロセス」チェック・ボックスを選択して、UserA および UserB を選択します。これらのユーザーを「選択されたユーザー」リストに移動します。

プロセス・アクセス権は UserA と UserB に制限されます。一方 UserA と UserB を含むすべてのユーザーは、デフォルトで照会アクセス権を持つため、ワーク・アイテムのリストを表示し、開けますが、変更はできません。

照会、プロセス、またはその両方を指定すると、次のような結果になります。

表 1. 照会とプロセスのアクセス権の効果
選択されたユーザー アクセス権 肯定判断
UserA および UserB プロセス UserA と UserB を含め、すべてのユーザーが照会アクセス権を持ちます。UserA と UserB のみがワークを処理できます。
UserA および UserB 照会とプロセス UserA と UserB のみがワークを照会し、処理できます。他のすべてのユーザーはアクセス権を持ちません。
UserA および UserB

UserC

照会とプロセス

照会

UserA と UserB はワークを照会し、処理できます。

UserC は照会できます。

他のすべてのユーザーはアクセス権を持ちません。

UserA および UserB

UserC

プロセス

照会

エラー: UserC のみが照会できます。UserA と UserB は照会できず、したがって処理もできません。

この状態を修正するには、UserA および UserB を「照会とプロセス」に変更します。



最終更新日: 2015 年 10 月
bpfc019.htm

© Copyright IBM Corp. 2015.