このトピックでは、フォルダ権限がどのように ClearQuest で継承されるかについて、
理解するうえで非常に重要な概念を説明しています。
IBM Rational® ClearQuest® において、
権限の継承について理解することは、堅牢なワークスペース フォルダ アクセス制御ポリシーを作成するうえで重要です。
ベースライン権限; すべてのユーザー グループ
プロジェクトまたはロケーションで
定義されたユーザー グループに加えて、ワークスペース フォルダ権限機能は、すべての
Rational ClearQuest ユーザーを含む「すべてのユーザー」という
定義済みの「汎用」グループを使用します。
このグループを使用して、変更の適用元となるベースライン権限を
設定します。例えば、共用クエリー フォルダ向けに ClearQuest で設定される
デフォルト権限は、すべてのユーザーで読み取り専用です。明示的なグループを
作成したり管理したりする必要のないデフォルトの動作を変更するには、
「すべてのユーザー」グループを使用します。
グループとサブグループによる継承
権限が個人用ではなく、
グループ用に定義されているように、
権限継承モデルは、ユーザーのグループおよびサブグループ メンバシップにより異なります。
フォルダ管理者は、グループとそのサブグループに対するフォルダに
別の権限を割り当てることができることに注意してください。あるユーザーがグループとそのサブグループの
両方のメンバであり、このグループとサブグループに、フォルダに対して異なるアクセス権限がある場合 (読み書き可能
権限と読み取り専用権限など)、ユーザーのアクセス権限は、常にサブグループのアクセス権限により
決まります。
一方、ユーザーが相互のサブグループではない複数のグループの直接のメンバであり、
それらのグループに異なるアクセス レベルがあると、ユーザーのアクセス権限は、
権限が最も高い優先レベルのグループにより決まります。
フォルダとサブフォルダによる継承
デフォルトでは、サブフォルダは
その親フォルダの権限を継承します。グループの共用フォルダ管理者は、サブフォルダに別の権限を明確に
割り当てることにより、管理者固有のグループに、継承された権限を
オーバーライドすることができます。サブフォルダーの権限がオーバーライドされ、
そのサブフォルダにさらにサブフォルダがある場合、そのサブフォルダは、デフォルトで
継承された権限へのオーバーライドとして設定された権限を継承
します。セキュリティ管理者と共用フォルダ管理者は、フォルダに割り当てられている
権限に関係なく、どのようなフォルダまたはサブフォルダにもアクセスできます。
有効権限
用語有効権限は、
特定のフォルダに対するグループのアクセス関連か、または個々のユーザーのアクセス
関連という 2 つの方法で認識されます。
特定のフォルダにおける
グループの有効権限は次のとおりです。
- フォルダのグループに対して、明示的に適用されている権限 (権限がある場合)
- 明示的に適用されている権限がない場合、適用されている権限に対する個々のグループの親子関係
レベルを評価します。適用されている権限のあるグループの親子関係レベルの中で、最も近い関係レベルにより
有効権限が決まります。このグループの親子関係レベルに
適用されている権限が複数ある場合、この権限の中で
最も優先順位が高いものが有効権限となります。親子関係レベルの決定では、
「すべてのユーザー」グループが、最も親子関係が薄いレベルとしてみなされます。
- これ以外の場合、有効権限は、親フォルダにおけるグループに対する
有効権限と同じです。親フォルダがない場合 (例えば、
最上位の共用クエリー フォルダを処理している場合)、有効権限は
デフォルト (通常は「読み取り専用」) となります。
特定のフォルダにおける
ユーザーの有効権限は次のとおりです。
- ユーザーが所属するグループ中で、そのフォルダに対して最も高い優先順位が適用されている権限
(ある場合)
- 明示的に適用されている権限がない場合、適用されている権限に対する個々のユーザーのグループの親子関係
レベルを評価します。適用されている権限のあるグループの親子関係レベルの中で、最も近い関係レベルにより
有効権限が決まります。このグループの親子関係レベルに
適用されている権限が複数ある場合、この権限の中で
最も優先順位が高いものが有効権限となります。親子関係レベルの決定では、
「すべてのユーザー」グループが、最も親子関係が薄いレベルとしてみなされます。
- これ以外の場合、有効権限は、親フォルダにおけるユーザーに対する
有効権限と同じです。親フォルダがない場合 (例えば、
最上位の共用クエリー フォルダを処理している場合)、有効権限は
デフォルト (通常は「読み取り専用」) となります。
タイミングに関する考慮事項
ユーザー グループまたはサブグループに
対するフォルダ権限の更新は、変更が中心的なユーザー データベースにアップロードされる前でも、フォルダ管理者がこの更新を実行するとすぐに
現在の Rational ClearQuest セッション内に反映されます。
現在のセッションと同じレプリカ内では、変更がデータベースでコミットされてから
開始したすべてのセッションに、更新が反映されます。他のレプリカでは、
現在のセッションが含まれるレプリカとの同期を取り、この同期化が完了してから開始したセッションに
更新が反映されます。
アクセス権の変更が有効になる時間が遅れるため、
現在のセッションで権限を変更した後で、管理者がユーザーに設定した権限より
制限の少ない権限で、ユーザーはデータベースにアクセスすることができます。