IBM Enterprise Records, バージョン 5.1.+            

オブジェクト・セキュリティー

オブジェクト・ストア内の各オブジェクトには、セキュリティー設定が関連付けられています。IBM® Enterprise Records オブジェクトを作成するときに、さまざまな方法でセキュリティー設定が定義されます。

セキュリティー設定は、次の項目によって定義されます。

また、オブジェクトはセキュリティー・マーキングを継承することが可能で、ユーザーがマーキングを直接オブジェクトに割り当てることもできます。オブジェクト・セキュリティーの適用について詳しくは、オブジェクト・セキュリティーの設定と変更を参照してください。

レコードのセキュリティー

ポスト・インポート・スクリプト FPOS_PostImport_datamodel.vbs (オブジェクト・ストアにデータ・モデルをインポートする際に実行される) では、「レコード」クラスおよびサブクラス (「電子」、「E メール」、「マーカー」) の「デフォルト・インスタンス・オーナー」プロパティーは「NULL」に設定されています。「レコード」クラスまたはサブクラスで宣言したレコードは、「NULL」に設定されたクラスの「デフォルト・インスタンス・オーナー」プロパティーを継承します。PRO インストールの場合、「オーナー」プロパティーは「管理者」を表します。オーナーが「NULL」の場合、IBM Enterprise Records はどのユーザーにも特別なアクセス権を付与せず、レコードの作成者は、レコードのセキュリティーの変更などレコードに対する管理者権限を持ちません。

Enterprise Manager (EM) を使用して、「レコード」クラスまたはサブクラスの「デフォルト・インスタンス・オーナー」を変更して、オーナーを指定のユーザーまたはグループに変更できます。ただし、IBM Enterprise Records は変更内容を既存のレコードには適用せず、変更後に作成されたレコードにのみ適用します。

宣言プロセスでレコードをコンテナーにファイリングすると、レコードは親コンテナーのセキュリティー (親セキュリティー) を継承します。Application Engine または Workplace XT を使用して複数のコンテナーにレコードを宣言した場合、最初に選択したレコード・コンテナーが親セキュリティーになります。

IBM Enterprise Records のインストール時に、「レコード」クラスの「デフォルト・インスタンス・セキュリティー」により、「RM ユーザー」グループに「マイナー/メジャー・バージョン管理」の権限が付与されます。ユーザーは、レコードとして宣言されたドキュメントの新しいバージョンを作成することができます。コンテナー・セキュリティーで一部のユーザーに対してすべての権限を特別に拒否した場合、この拒否設定はレコードに伝搬されます。ただし、この場合に伝搬される拒否設定よりも、クラスの「デフォルト・インスタンス・セキュリティー」で設定されたユーザー・グループの方が優先されます。拒否設定されたユーザーは、カテゴリーを参照できませんが、検索やレポートでレコードにアクセスすることはできます。

検索やレポートで幅広くレコードにアクセスするのを禁止する場合、「デフォルト・インスタンス・セキュリティー」インストール・ステップを完了しないでください。「デフォルト・インスタンス・セキュリティー」インストール・ステップを完了しなければ、IBM Enterprise Records により、レコード・レベルおよびフォルダー・レベルのセキュリティー・アクセスがコントロールされます。例えば、次の設定を行うことができます。

セキュリティーの継承

複数のフォルダーにレコードをファイリングした場合、レコードは引き続き最初のフォルダー (親セキュリティー・フォルダー) のセキュリティーを継承します。複数のフォルダーにレコードをファイリングし、親セキュリティー・フォルダーから新規フォルダーにレコードを移動した場合、 レコードは、新規フォルダーのセキュリティーを継承します。また、レコードの親セキュリティー・フォルダーを削除した場合にも、セキュリティーの継承は変更されます。

複数のフォルダーにファイリングされたレコードの親セキュリティー・フォルダーを表示/変更するには、次のようにします。

  1. そのレコードを参照します。
  2. 情報の取得」をクリックします。
  3. 「レコード情報」の下で「ファイリングされる」を選択します。
  4. 親セキュリティー・フォルダーを選択します。
  5. 適用」をクリックして変更を適用します。

この場合、スイープは、その親セキュリティーも使用して、このレコードの現在実行中のスケジュールの選択を行います。

重要: IBM Enterprise Records では、セキュリティーの継承の無効化はサポートされていません。

ドキュメントのセキュリティー

ドキュメントをレコードとして宣言するには、ユーザーは、「Records User」ロールが割り当てられ、ドキュメントの「プロパティーの変更」権限を持つ必要があります。ユーザーがドキュメントのオーサーである場合、ドキュメントに対するフルアクセスがありますが、ドキュメントがレコードとして宣言されると、IBM Enterprise Records により、ドキュメントのセキュリティーはレコードのセキュリティーで上書きされます。ドキュメントに割り当てられたアクセス権はドキュメントのレコードによって制御され、オーサーは宣言後のドキュメントのセキュリティーを変更できなくなります。権限のあるユーザーがレコードのアクセス権を更新すると、レコードが宣言されたドキュメントに対するアクセス権も更新されます。

レコードとして宣言されたドキュメントのチェックアウトとチェックインを Records User に許可するには、デフォルトのインストール手順ですべてのレコードに対して追加の権限を Records User に付与します。IBM Enterprise Records の実装によっては、アクセス・レベルの高いユーザーがレコードおよびフォルダーのセキュリティーの変更が可能で、ドキュメントのオーサーがドキュメントのチェックインおよびチェックアウトを実行できる場合があります。ドキュメントの新しいバージョンを作成するには、レコードに対する「コンテンツの変更」権限が必要です。また、ドキュメントのコンテンツを表示するには、レコードに対する「コンテンツの表示」権限が必要です。

宣言したドキュメントは、関連付けられたレコードを削除しないと削除できません。ドキュメント削除に関する制約は、レコードを参照して「削除の防止」アクションを使用するドキュメントのプロパティーによって課されます。「フルコントロール」アクセス権を持つユーザーでも、宣言済みのドキュメントを削除することはできません。ドキュメントは、ドキュメントに関連付けられたレコードが削除されると、システムにより自動的に削除されます。削除アクションは、レコードのオブジェクト値プロパティーがドキュメントを参照し、「段階的に削除する」アクションを使用することにより実行されます。



フィードバック

最終更新日: 2011 年 8 月


© Copyright IBM Corp. 2011.
このインフォメーション・センターでは Eclipse テクノロジーが採用されています。(http://www/eclipse.org)