このセクションでは、次のトピックについて説明します。
Data Relationship Managementは、階層ノードとそのプロパティに対するユーザー・アクセスを粒度別に管理するためにノード・アクセス・グループを使用します。Data Relationship Managementのバージョン内で階層のサブセットにおける特定のノードへのアクセス権がグループに付与され、ユーザーはそのグループに割り当てることができます。ノード・アクセス・グループは継承を使用して、アクセス・レベルが明示的に割り当てられている階層ノードの子孫ノードに類似のアクセス権を付与します。このアクセス・レベルは、下位レベルで上書きできますが、上書きされないようにロックすることもできます。
通常、ノード・アクセス・グループは組織の機能上の範囲に該当し、ユーザーは複数のグループへの割当てが必要になる場合もあります。割り当てられたアクセス・レベルが競合する場合は、最も高いセキュリティ・レベルが使用されます。
ノード・アクセス・グループには2つのタイプがあります。グループ・タイプは、そのグループのユーザーに割当て可能なデータ・アクセスのタイプを制御します。各ノード・アクセス・グループは、次のいずれかのグループ・タイプになります。
対話型––ユーザーには、割り当てられたアクセスのレベルに基づいて、データを参照、検索および編集する直接アクセス権があります
ワークフロー––ユーザーには、割り当てられたアクセスのレベルに基づいて、データを参照、検索および編集する制限付きのアクセス権があります
レベル | 説明 | 使用例 |
|---|---|---|
読取り | 読取り専用アクセスが可能--変更不可 | 表示とレポート |
制限付き挿入 | ユーザーがグローバルな挿入権限(以上)を持っているノードに対して挿入が可能。 | 挿入 |
編集 | プロパティ値の編集が可能 | 編集 |
挿入 | ノードの挿入、移動、削除が可能 | 編集、挿入、コピー、移動、削除 |
非アクティブ化 | ノードの非アクティブ化と再アクティブ化が可能 | 編集、挿入、移動、削除、非アクティブ化、再アクティブ化 |
追加 | ノードの追加と削除が可能 | 編集、挿入、コピー、移動、削除、非アクティブ化、再アクティブ化、追加、削除 |
次の点に注意してください:
アクセス・レベルは累積的です。「編集」アクセス・レベルを割り当てると、「読取り専用」と「制限付き挿入」のアクセス・レベルも暗黙的に付与されます。「追加」アクセス・レベルを割り当てると、他のすべてのアクセス・レベルが暗黙的に付与されます。
ノード・アクセス・グループのセキュリティは、階層レベルでのみ適用されます。ノード・アクセス・グループは、孤立ノードなどグローバル・リストのノードへのアクセス権は制御しません。
アクセス・レベルは、リム・ノードとリーフ・ノードには別々に割り当てられるため、それぞれに異なるレベルのアクセス権を定義できます。この機能は、階層のロールアップ構造を管理する必要はあるがリーフ・ノードのプロパティを編集しない場合、あるいは既存のロールアップ構造にリーフ・ノードを挿入できるが構造自体は再編成しない場合に便利です。
ノード・アクセス・グループを定義できるのは、アクセス・マネージャ役割を持つユーザーのみです。
ノード・アクセス・グループは、関連するノードにアクセス権を割り当てるとき、ローカル継承を使用します。制御階層に割り当てられるアクセス権のレベルに基づいてグローバル継承を使用するために、ノード・アクセス・グループをグローバルとして定義できます。
グローバルなノード・アクセス・グループを作成できますが、各バージョンに制御階層を定義する必要があります。これには、制御されるノード・アクセス・グループを階層に割り当てます。詳細は、Oracle Data Relationship Managementユーザー・ガイドを参照してください。
対話型およびワークフローのノード・アクセス・グループでは、階層におけるノードの可視性の処理が異なります。対話型のアクセス・グループでは、そのグループに階層内の任意のノードへのアクセス権がある場合、ユーザーは階層全体を表示できます。一方、ワークフローのアクセス・グループでは、ユーザーが表示できるのは、ユーザーにアクセス権が割り当てられている階層のノードのみに制限されます。どちらのグループ・タイプの場合でも、グループのメンバーは、アクセス権が割り当てられていない階層を表示することはできません。