権限の継承

このトピックでは、フォルダ権限がどのように継承されるかを 理解するうえで重要な概念を説明します。

Rational® ClearQuest® の権限の継承について理解することは、堅牢なワークスペース フォルダ アクセス制御ポリシーを作成するうえで重要です。

ベースライン権限: 「すべてのユーザー」グループ

ユーザー グループに加えて、ワークスペース フォルダ権限は、すべての Rational ClearQuest ユーザーを含む「すべてのユーザー」という 定義済みのグループを使用します。 ユーザー メンバーシップは自動的で暗黙的です。「すべてのユーザー」グループのメンバーシップを変更することはできません。

「すべてのユーザー」グループを使用して、変更の適用元となるベースライン権限を 設定します。例えば、すべてのユーザーの共用クエリー フォルダに対するデフォルト権限は、読み取り専用です。明示的なグループを 作成したり管理しないでデフォルトの権限を変更するには、 「すべてのユーザー」グループを使用します。

グループとサブグループによる継承

権限が個人用ではなく、 グループ用に定義されているように、 権限継承モデルは、ユーザーのグループおよびサブグループ メンバーシップにより異なります。

フォルダ管理者は、グループとそのサブグループに、ある 1 つのフォルダに対して 異なる権限を割り当てることができます。あるユーザーがサブグループの直接的なメンバーであり、このグループとサブグループに、フォルダに対して異なるアクセス権限 (読み書き可能権限と読み取り専用権限など) があるために、そのユーザーが間接的に グループのメンバーである場合、ユーザーのアクセス権限は、常にサブグループのアクセス権限により 決まります。

これに対し、グループ同士が互いに相手のサブグループとなっているかどうかに関係なく、ユーザーが複数のグループの直接 のメンバーであり、かつ、それらのグループに異なるアクセス レベルが認可されている場合は、ユーザーのアクセス権は、権限の優先順位が最も高いレベルのグループによって決まります。 権限継承を決定する際は、グループの直接メンバーシップが間接メンバーシップに優先します。

フォルダとサブフォルダによる継承

フォルダの権限を変更できるユーザーには、共用フォルダ管理者またはセキュリティ管理者の権限を持つユーザー、またはフォルダに対する権限の変更権限が認可されているグループのメンバーであるユーザーが含まれます。

デフォルトでは、サブフォルダは その親フォルダの権限を継承します。権限を変更できるユーザーは、サブフォルダに別の権限を割り当てることによって、そのグループに継承されたフォルダ権限をオーバーライドできます。 あるサブフォルダの権限がオーバーライドされ、その中にさらにサブフォルダが含まれている場合、そのサブフォルダはオーバーライド権限を継承します。セキュリティ管理者と共用フォルダ管理者は、フォルダに割り当てられている 権限に関係なく、どのようなフォルダまたはサブフォルダにもアクセスできます。

有効権限

有効権限」という用語は、特定のフォルダに対するグループのアクセスと個々のユーザーのアクセスの、両方に関連しています。

フォルダにおけるグループの有効権限は次のとおりです。
  1. そのフォルダに対して明示的に適用される、当該グループの権限 (権限がある場合)。
  2. 明示的に適用されている権限がない場合、適用されている権限に対する個々のグループの親子関係 レベルを評価します。適用されている権限のあるグループの親子関係レベルの中で、最も近い関係レベルにより 有効権限が決まります。このグループの親子関係レベルに 適用されている権限が複数ある場合、この権限の中で 最も優先順位が高いものが有効権限となります。親子関係レベルの決定では、 「すべてのユーザー」グループが、最も親子関係が薄いレベルとしてみなされます。
  3. これ以外の場合、有効権限は、親フォルダにおけるグループに対する 有効権限と同じです。親フォルダ (例えば、共用クエリー フォルダ) がない場合、有効権限はデフォルト (共用クエリー フォルダの場合は読み取り専用) となります。
フォルダに対するユーザーの有効権限は次のとおりです。
  1. ユーザーが所属するグループ中で、そのフォルダに対して最も高い優先順位が適用されている権限 (ある場合)
  2. 明示的に適用されている権限がない場合、適用されている権限に対する個々のユーザーのグループの親子関係 レベルを評価します。適用されている権限のあるグループの親子関係レベルの中で、最も近い関係レベルにより 有効権限が決まります。このグループの親子関係レベルに 適用されている権限が複数ある場合、この権限の中で 最も優先順位が高いものが有効権限となります。親子関係レベルの決定では、 「すべてのユーザー」グループが、最も親子関係が薄いレベルとしてみなされます。
  3. これ以外の場合、有効権限は、親フォルダにおけるユーザーに対する有効権限と同じです。親フォルダ (例えば、共用クエリー フォルダ) がない場合、有効権限はデフォルト (共用クエリー フォルダの場合は読み取り専用) となります。

タイミングに関する考慮事項

ユーザー グループまたはサブグループに対するフォルダ権限の更新は、 フォルダ管理者がこの更新を実行するとすぐに、現在の Rational ClearQuest セッション内で有効になります。 現在のセッションと同じレプリカ内では、変更がデータベースでコミットされてから 開始したすべてのセッションに、更新が反映されます。他のレプリカでは、 現在のセッションが含まれるレプリカとの同期を取り、この同期化が完了してから開始したセッションに 更新が反映されます。

権限の変更が他のセッションで有効になるまでの遅れがあるため、 現在のセッションで権限が変更されてからしばらくの間、ユーザーは、管理者の設定した権限よりも 制限の少ない権限で、データベースにアクセスできます。


フィードバック