54 REST認可
REST認可は、アプリケーションのリソース(WebCenter Sites内のオブジェクトにマップされる)に対してRESTの各操作を実行するための権限を付与します。REST認可は、「デフォルトではすべてを拒否」するモデルを使用します。権限が特定のグループに対して明確に付与されていない場合、その権限は拒否されます。一般管理者は、アプリケーションがデプロイされ、WEMフレームワークに登録された後で、ユーザーを認可します。
次の各トピックでは、REST認可に関する情報を提供します。
-
権限解決アルゴリズム
権限解決アルゴリズム
セキュリティ権限を構成する際に、特定のタイプのすべてのオブジェクトまたは特定のタイプの単一のオブジェクトに権限が適用されるように指定できます。たとえば、UPDATE
(POST)
への権限を任意のサイトに付与すると、グループ内のユーザーはすべてのサイトの詳細をWEMフレームワークで変更できます。avisportsサイトのUPDATE
(POST)
権限を付与すると、グループ内のユーザーはavisportsサイトの詳細をWEMで変更できます。
Asset
オブジェクト・タイプでは、セキュリティ設定の適用先サイトを指定する必要があります。アセットは、常に特定のサイトからアクセスされるからです。サブタイプを指定することで、AssetType
オブジェクト・タイプを調整できます。たとえば、アセット・タイプContent_C
に対するDELETE
権限を設定する場合、RESTリソース/types/Content_C
上でDELETE
リクエストを実行します(つまり、Content_C
アセット・タイプをシステムから削除します)。
権限はグループにのみ付与できるため、ユーザーの総合的な権限は、ユーザーが属するすべてのグループにわたり計算されるまで明らかになりません。WEMフレームワークには、権限解決アルゴリズムが用意されています。その基本的なステップを次に示します。
-
RESTによって、ユーザーがメンバーシップを持つグループが検索されます。
-
RESTによって、各グループが実行できるREST操作およびその対象となるRESTリソースが判別されます。サイトまたはサブタイプが指定されている場合は、個々に考慮されます。
-
RESTによって、ステップ1および2の結果が比較されます。ステップ1で得られたグループの少なくとも1つがステップ2で得られたグループのリストに存在する場合、アクセスは許可されます。そうでない場合は、アクセスが拒否されます。