Héritage des droits d'accès

Cette rubrique décrit des concepts essentiels pour la compréhension de la façon dont les droits d'accès sont hérités dans ClearQuest

Comprendre l'héritage des droits d'accès dans IBM Rational ClearQuest est primordial pour développer une règle robuste de contrôle d'accès aux dossiers de l'espace de travail.

Droits de base : groupe Tous les utilisateurs

En plus des groupes d'utilisateurs définis par projet ou par site, la fonction de droits d'accès aux dossiers de l'espace de travail utilise un groupe "universel" prédéfini appelé Tous les utilisateurs, qui contient tous les utilisateurs Rational ClearQuest. Ce groupe est utilisé pour définir un droit d'accès de base à partir duquel les modifications peuvent ensuite être appliquées. Par exemple, le droit d'accès par défaut défini par ClearQuest pour le dossier des requêtes publiques est Lecture seule pour tous les utilisateurs. Utilisez le groupe Tous les utilisateurs pour modifier le comportement par défaut sans devoir créer et gérer un groupe spécifique.

Héritage par groupe et sous-groupe

Tout comme les droits d'accès sont définis pour des groupes plutôt que pour des individus, le modèle d'héritage des droits d'accès dépend de l'appartenance de l'utilisateur à un groupe ou à un sous-groupe.

Il est important de noter qu'un administrateur de dossier peut affecter des droits d'accès à un dossier différents à un groupe et à ses sous-groupes. Si un utilisateur est membre à la fois d'un groupe et d'un de ses sous-groupes et que le groupe et le sous-groupe disposent de droits d'accès différents (Lecture-écriture et Lecture seule par exemple), le droit d'accès de l'utilisateur est toujours déterminé par le droit d'accès au sous-groupe.

En revanche, si un utilisateur est un membre direct de plusieurs groupes qui ne sont pas des sous-groupes les uns des autres et que les groupes ont des niveaux d'accès différents, le droit d'accès de l'utilisateur est déterminé par le groupe disposant du droit d'accès le plus élevé.

Héritage par dossier et sous-dossier

Par défaut, un sous-dossier hérite des droits d'accès de son dossier parent. L'administrateur de dossiers publics d'un groupe peut modifier les droits d'accès hérités pour son ou ses propres groupes en affectant spécifiquement des droits d'accès différents au sous-dossier. Si les droits d'accès à un sous-dossier sont remplacées et que le sous-dossier contient lui-même des sous-dossiers, ceux-ci héritent par défaut des droits d'accès définis en remplacement des droits d'accès hérités. L'administrateur de la sécurité et l'administrateur de dossiers publics peuvent accéder à tous les dossiers et sous-dossiers, quel que soit le droit d'accès affecté au dossier.

Droits d'accès effectifs

Droit d'accès effectif peut être interprété de deux façons : accès d'un groupe à un dossier spécifique ou droit d'accès d'un utilisateur spécifique.

Le droit d'accès effectif pour un groupe sur un dossier spécifique est :
  1. Le droit d'accès appliqué explicite pour ce groupe sur ce dossier, le cas échéant.
  2. S'il n'existe aucun droit d'accès appliqué explicite, recherchez un droit d'accès appliqué du niveau parent. Le niveau parent le plus proche ayant un droit d'accès appliqué détermine le droit d'accès effectif. S'il existe plusieurs droits appliqués à ce niveau parent du groupe, le droit d'accès effectif est le droit d'accès appliqué ayant la plus haute priorité. Pour déterminer le niveau parent, le groupe Tous les utilisateurs est considéré comme étant le niveau parent le plus éloigné.
  3. Sinon, le droit d'accès effectif est le même que le droit d'accès effectif du groupe sur le dossier parent. S'il n'existe pas de dossier parent (dans le cas du dossier de premier niveau des requêtes publiques par exemple), le droit d'accès effectif est le droit d'accès par défaut (généralement, Lecture seule).
Le droit d'accès effectif pour un utilisateur sur un dossier spécifique est :
  1. Le droit d'accès appliqué ayant la plus haute priorité sur ce dossier parmi les groupes dont l'utilisateur est membre, le cas échéant.
  2. S'il n'existe aucun droit d'accès appliqué explicite, recherchez un droit d'accès appliqué dans tous les niveaux parents des groupes de l'utilisateur. Le niveau parent le plus proche ayant un droit d'accès appliqué détermine le droit d'accès effectif. S'il existe plusieurs droits appliqués à ce niveau parent du groupe, le droit d'accès effectif est le droit d'accès appliqué ayant la plus haute priorité. Pour déterminer le niveau parent, le groupe Tous les utilisateurs est considéré comme étant le niveau parent le plus éloigné.
  3. Sinon, le droit d'accès effectif est le même que le droit d'accès effectif de l'utilisateur sur le dossier parent. S'il n'existe pas de dossier parent (dans le cas du dossier de premier niveau des requêtes publiques par exemple), le droit d'accès effectif est le droit d'accès par défaut (généralement, Lecture seule).

Considérations relatives à la planification

Les mises à jour effectuées sur les droits d'accès aux dossier d'un groupe ou sous-groupe d'utilisateurs prennent effet au cours de la session Rational ClearQuest en cours, dès que l'administrateur du dossier effectue la mise à jour, avant même que la modification soient chargée dans la base de données utilisateur centrale. Sur le serveur secondaire de la session en cours, les mises à jour prennent effet sur toutes les sessions démarrées après validation de la modification dans la base de données. Sur les autres serveurs secondaires, elles prennent effet sur les sessions démarrées une fois la synchronisation des serveurs secondaires avec le serveur secondaire contenant la session en cours terminée.

En raison du délai de prise d'effet des modifications des droits d'accès, des utilisateurs peuvent accéder à la base de données avec des droits d'accès moins restreints que ceux définis pour eux par l'administrateur, pendant un certain temps après la modification des droits d'accès dans la session en cours.



Commentaires en retour