シナリオ 1: 共用クエリー フォルダへの制限付きアクセス権限

このシナリオでは、共用フォルダ管理者の権限を持つさまざまなグループが、共用クエリー フォルダのさまざまな側面をどのように管理するかを示します。

このシナリオでは、組織内のさまざまなグループが、共通の Rational® ClearQuest® ユーザー データベースにアクセスします。 すべてのグループがデータにアクセスできますが、個々のグループは固有のクエリーとグラフを有しています。各グループはこれらのワークスペース項目を、他のグループが変更できないように保護しつつ、自身のメンバー間で共有したいと考えています。同時に、個々のグループは、他のグループのフォルダ内のワークスペース項目の表示を希望しています。

セキュリティ管理者は次の手順を実行します。

  1. 組織グループに対応する ClearQuest グループを作成し、ユーザーを適宜割り当てます。
  2. 「すべてのユーザー」グループに、共用クエリー フォルダに対する読み取り専用権限を認可します。
  3. 共用クエリー フォルダの下に、各グループのフォルダを作成します。
  4. 個々のグループに対して、対応する各グループのフォルダへの読み書き可能権限を認可します。

結果: 個々のグループのメンバーは、グループ フォルダを共有フォルダとして使用できるようになります。グループ フォルダでは、個々のグループ メンバーに、その内容を変更する権限があります。 他のすべてのグループ フォルダに対しては、 すべてのユーザーに読み取り専用アクセス権があります。

シナリオ 1a: 制限付きグループ間可視性

この代替のワークフローでは、グループが、他のグループには表示できないワークスペース項目を、プライベート フォルダに保管することを希望しています。

セキュリティ管理者は次の追加手順を実行します。

  1. グループ フォルダ内に Private などのサブフォルダを作成します。
  2. 「すべてのユーザー」グループに、Private フォルダに対するアクセスなし権限を付与します。
  3. 所有グループに、Private フォルダに対する読み書き可能権限を認可します。

結果: セキュリティ管理者または所有グループのすべてのメンバーは、ステップ 1 で Private フォルダを作成できますが、このフォルダにワークスペース フォルダ権限を設定できるのはセキュリティ管理者のみです。

シナリオ 1b: 制限付き可視性

この代替のワークフローでは、 共用クエリー フォルダの一部の内容へのアクセスのみが、グループに 認められます。この方法は、機密データへのアクセスを制御する場合や、ユーザーの可視性を制限することでインターフェースを単純化する場合に必要となります。

このシナリオには、シナリオ 1a で説明した、グループ間可視性を制限する代替のワークフローが組み込まれる可能性があります。 さらに、セキュリティ管理者は、以下の手順を追加して実行することにより、共用クエリー フォルダ内のグループ外フォルダへのアクセスを制限します。

  1. 適切なグループ外フォルダで、「すべてのユーザー」グループにアクセスなし権限を付与します。
  2. 適切なグループ外フォルダで、選択されたグループに読み取り専用権限を 認可します。

このシナリオでは、グループ外フォルダの可視性を管理するために、追加のClearQuest グループが作成される可能性があります。これは、該当のポリシーがグループの境界を超えて影響する可能性があるためです。例えば、特定のフォルダについて、すべてのグループ管理者には、 管理者以外は持たない読み書き可能アクセス権があります。

シナリオ 1c: 他のグループ フォルダの可視性を非表示に設定する

この代替のワークフローでは、セキュリティ管理者が共用クエリー フォルダ内の他のグループ フォルダの存在を非表示にして、ユーザーには自身がメンバーとなっているグループに対応するフォルダのみが表示されるようにします。

セキュリティ管理者は次の追加手順を実行します。

結果: 各グループには自身のグループ フォルダへの読み書き可能権限が認可されるため、メンバーには、共用クエリー フォルダ内にある、自身の属するグループ フォルダのみが表示されます。この手順では、すべてのユーザーに対して共用クエリー フォルダ内のルートにあるワークスペース項目も表示されなくなります。


フィードバック