Eredità autorizzazioni

Questo argomento descrive i concetti critici per comprendere in che modo le autorizzazioni cartella vengono ereditate

La comprensione dell'eredità delle autorizzazioni di Rational ClearQuest è fondamentale per sviluppare una politica solida dell'accesso alle cartelle dello spazio di lavoro.

Autorizzazioni baseline: gruppo Everyone

Oltre ai gruppi di utenti, le autorizzazioni cartella dello spazio di lavoro utilizzano un gruppo predefinito denominato Everyone, che contiene ciascun utente Rational ClearQuest. L'appartenenza utente è automatica ed implicita. Non è possibile modificare l'appartenenza del gruppo Everyone.

Il gruppo Everyone viene utilizzato per stabilire un'autorizzazione baseline da cui le modifiche possono essere applicate. Ad esempio, l'autorizzazione predefinita per la cartella Public Queries per tutti gli utenti è di sola lettura. Utilizzare il gruppo Everyone per modificare l'autorizzazione predefinita senza creare e gestire un gruppo esplicito.

Eredità per gruppo e gruppo secondario

Esattamente come le autorizzazioni sono definite per gruppi e non per individui, il modello di eredità delle autorizzazioni dipende dall'appartenenza al gruppo e al gruppo secondario dell'utente.

Un amministratore di una cartella può assegnare autorizzazioni diverse ad una cartella per un gruppo e per il relativo gruppo secondario. Se un utente è indirettamente un membro di un gruppo poiché è direttamente membro di un gruppo secondario, e il gruppo e il gruppo secondario dispongono di un accesso differente ad una cartella (ad esempio, Lettura-Scrittura e Sola lettura), l'accesso utente è sempre determinato dall'accesso del gruppo secondario.

Diversamente, se un utente è un membro diretto di gruppi multipli, a prescindere dal fatto che i gruppi siano gruppi secondari l'uno dell'altro, e i gruppi dispongono di diversi livelli di accesso, l'accesso dell'utente viene determinato dal gruppo con il livello più elevato di precedenza di autorizzazione. L'appartenenza diretta in un gruppo ha la precedenza sull'appartenenza indiretta quando si determina l'eredità delle autorizzazioni.

Eredità per cartella e cartella secondaria

Gli utenti che possono modificare le autorizzazioni su una cartella includono qualsiasi utente con privilegio di amministratore cartella pubblica o amministratore della sicurezza, o qualsiasi utente membro di un gruppo a cui è stata concessa l'autorizzazione Autorizzazione di modifica su una cartella.

Per impostazione predefinita, una cartella secondaria eredita le autorizzazioni dalla cartella padre. Un utente che può modificare le autorizzazioni può sovrascrivere le autorizzazioni cartella ereditate per i relativi gruppi assegnando autorizzazioni differenti ad una cartella secondaria. Se le autorizzazioni su una cartella secondaria vengono sovrascritte e la tale cartella dispone di cartelle secondarie, queste cartelle ereditano le autorizzazioni della sovrascrittura. L'amministratore della sicurezza e l'amministratore cartella pubblica possono accedere a qualsiasi cartella o cartella secondaria indipendentemente dalle autorizzazioni assegnate alla cartella.

Autorizzazioni valide

Il termine autorizzazione valida è relativo sia ad un accesso del gruppo ad una cartella particolare che ad un accesso del singolo utente.

L'autorizzazione valida per un gruppo su una cartella è:
  1. L'autorizzazione applicata esplicita per il gruppo a tale cartella, se presente.
  2. Se non vi è alcuna autorizzazione applicata esplicita, valutare ciascun livello di parentela del gruppo per un'autorizzazione applicata. Il livello di parentela del gruppo più vicino di cui un'autorizzazione applicata dispone determina l'autorizzazione valida. Se vi è più di un'autorizzazione applicata in tale livello di parentela del gruppo, l'autorizzazione valida è l'autorizzazione applicata di precedenza più alta. Allo scopo di determinare il livello di parentela, il gruppo Everyone viene considerato il livello di parentela più lontano.
  3. Altrimenti, l'autorizzazione valida è la stessa dell'autorizzazione valida per il gruppo sulla cartella padre. Se non vi è alcuna cartella padre (ad esempio, la cartella Public Queries), l'autorizzazione valida è l'impostazione predefinita (Sola lettura per la cartella Public Queries).
L'autorizzazione valida per un utente su una cartella è:
  1. L'autorizzazione applicata di precedenza più alta su tale cartella tra i gruppi di cui gli utenti sono membri, se presente.
  2. Se non vi è alcuna autorizzazione applicata esplicita, valutare ciascun livello di parentela del gruppo dell'utente per un'autorizzazione applicata. Il livello di parentela del gruppo più vicino di cui un'autorizzazione applicata dispone determina l'autorizzazione valida. Se vi è più di un'autorizzazione applicata in tale livello di parentela del gruppo, l'autorizzazione valida è l'autorizzazione applicata di precedenza più alta. Allo scopo di determinare il livello di parentela, il gruppo Everyone viene considerato il livello di parentela più lontano.
  3. Altrimenti, l'autorizzazione valida è la stessa dell'autorizzazione valida per l'utente sulla cartella padre. Se non vi è alcuna cartella padre (ad esempio, la cartella Public Queries), l'autorizzazione valida è l'impostazione predefinita (Sola lettura per la cartella Public Queries).

Considerazioni sugli intervalli

Gli aggiornamenti alle autorizzazioni cartella per un gruppo di utenti o un gruppo secondario diventano effettivi nella sessione corrente di Rational ClearQuest non appena l'amministratore della cartella esegue l'aggiornamento. Nella stessa replica della sessione corrente, gli aggiornamenti diventano effettivi su tutte le sessioni avviate una volta eseguito il commit della modifica nel database. Nelle altre repliche, gli aggiornamenti diventano effettivi sulle sessioni avviate dopo che le repliche sono state sincronizzate con la replica contenente la sessione corrente e la sincronizzazione è stata completata.

A causa del ritardo nell'applicazione delle modifiche delle autorizzazioni sulle altre sessioni, gli utenti possono accedere al database con autorizzazioni meno restrittive di quelle impostate dall'amministratore per un periodo di tempo dopo che le autorizzazioni sono state modificate nella sessione corrente.


Feedback