セキュリティー
オブジェクト・ストアの作成時に、管理者または非管理ユーザーとして指定されたユーザーおよびグループには、オブジェクト・ストアとその中のオブジェクトへのデフォルトのアクセス権限が付与されます。
オブジェクト・ストア自体のセキュリティーは、オブジェクト・ストアに格納されたオブジェクトのセキュリティーとは区別されます。オブジェクト・ストアが作成されると、オブジェクト・ストアにセキュリティーが適用されます。オブジェクト・ストアの作成時に、オブジェクト・ストア管理者にするユーザーとグループ、および非管理 (ユーザー) アクセス権限を付与するユーザーとグループを指定します。 デフォルトでは、管理者には、オブジェクト・ストアとその中のすべての保護可能なオブジェクトへのフル・コントロール・アクセス権限が付与されます。 非管理ユーザーには、ディレクトリーの参照とドキュメントの読み取りを許可するオブジェクト・ストア・アクセス権限が付与されます。作成時に指定されたアクセス権限を使用して、作成されるすべてのクラス定義のアクセス権限が設定されます。オブジェクト・ストア作成時にセキュリティーを設定するときに個々のユーザーを指定する代わりに、オブジェクト・ストア作成時に、管理者のグループ (例:「CEAdmins」) とユーザーのグループをそれぞれ 1 つ以上追加することをお勧めします。 これにより、個々のクラス定義を変更せずにグループを変更する (メンバーを追加または削除する) ことで、オブジェクト・ストアのアクセス権限の付与と除去が容易になります。
オブジェクト・ストアに含まれているオブジェクトのアクセス権限を取得および設定する操作をプログラムで実行できます。 アクセス権限のコレクション (Content Engine API では AccessPermissionList オブジェクトで表現) により、ユーザーがオブジェクトの格納や削除などの操作を実行できるかどうかが制御されます。
管理者と、オブジェクトを処理するユーザーに対して付与する標準的なアクセス権限のほかに、選択したユーザーまたはユーザー・グループに対して、以下の特殊なオブジェクト・ストアのアクセス権限を割り当てることができます。
- PRIVLEGED_WRITE: この権限を付与されたユーザーまたはグループは、Creator、DateCreated、LastModifier、DateLastModified というシステム・レベル・プロパティーを設定することができます。インポート/エクスポート・ツール、マイグレーション・ユーティリティー、統合ツールなどのシステム・レベル・ツールを使用する場合、これらのツールを実行するユーザーに対して高いレベルの権限を付与する必要があるため、これらのシステム・レベル・プロパティーの変更が必要になることがあります。 オブジェクト作成時のみ、Creator プロパティーと DateCreated プロパティーを設定することができます。その後は、これらのプロパティーを設定できるのは、PRIVLEGED_WRITE アクセス権限を持っているユーザーだけになります。
- WRITE_ANY_OWNER: この権限は、オブジェクト・ストア内のすべてのオブジェクトに対する WRITE_OWNER アクセス権限を、ユーザーまたはグループに対して暗黙的に付与します。このユーザーはすべてのオブジェクトを読み取り、所有者をユーザー自身に設定できます。こうなると、ACL の読み取りと書き込みも可能になります。
- VIEW_RECOVERABLE_OBJECTS: この権限を付与されたユーザーまたはグループは、オブジェクト・ストア内のすべてのリカバリー可能なオブジェクトにアクセスして変更することができます。リカバリー可能なオブジェクトとは、削除のマークが付けられ、リカバリー bin に格納されているオブジェクトのことです。