安全性系统由认证域、授权域、角色和团队组成,级别从高到低。认证域会验证正在尝试登录 IBM UrbanCode Release 的用户或系统的身份。授权域会管理用户组。角色会管理许可权。团队将用户与角色连接在一起并保护产品区域。
了解许可权是了解基于团队的安全性系统的一个良好起点。IBM UrbanCode Release 以大多数读者熟悉的方式使用术语“许可权”:每种许可权都控制对一个产品区域或产品功能的访问。大多数许可权涉及典型活动(例如创建、读取、更新和删除)。许可权定义可执行哪些操作,而不定义哪些用户可执行操作。
可具有为其定义的许可权的产品区域称为安全性类型。每种安全性类型都具有一组许可权,这些许可权影响用户与该类型进行交互的方式。顾名思义,发布安全性类型具有一组许可权,这些许可权影响用户与发布进行交互的能力。请参阅安全性类型。
角色是一组已授予的许可权。定义角色的过程包括授予对受该角色影响的所有安全性类型的许可权。开发者类型角色可能具有一些许可权,这些许可权使该角色能够创建发布,但是不能为其他角色配置安全性。您自行决定要创建多少个角色,这些角色具有什么功能。交付时,IBM UrbanCode Release 提供了若干角色(例如 Admin),如果您认为合适,那么可对这些角色进行修改。
重要的是,角色不会单独地将已授予它的许可权授予任何实际用户。与许可权类似,角色定义可执行哪些操作,而不定义哪些用户可执行这些操作。角色及其关联许可权由团队应用于用户。
团队是使用户或组与角色关联的构造。在用户添加至团队时,会对该人员分配角色;在没有进行角色分配的情况下,用户无法添加至团队。系统会自动将所有为该角色定义的许可权授予角色成员。组也可添加至角色,在这种情况下,系统会自动将为该角色定义的许可权授予所有组成员。
创建团队时,所有用户和组都可供分配,并且所有角色都可供使用。可为用户分配多个角色。如果为用户分配了一个会授予特定许可权的角色以及另一个不会授予该许可权的角色,那么系统会将该用户视为具有该许可权。
团队会保护资源。例如,为了保护发布,会使团队与该发布关联。在保护该发布之后,仅那些分配了具有相应许可权的角色的团队成员才能影响该发布。
在创建发布时,必须为其分配团队。创建发布之后,只有团队成员才能影响该发布,并且只能采用其许可权允许的方式。例如,如果某团队成员没有授予编辑分段许可权的角色,那么该团队成员无法修改或更改该发布的分段。
编辑发布许可权具有重要特征。因为只有在创建发布之后,才能将团队分配给发布,所以具有此许可权的用户可以创建发布以及修改其团队分配至的任何发布。只要用户具有任何编辑类型许可权,他们就能够创建项以及对这些项进行修改,而不是仅当用户具有编辑发布许可权时,他们才能执行这些操作。例如,具有编辑分段许可权的用户可创建分段以及修改现有分段。