要求のセキュリティ

権限およびデータ・アクセス

次の表に、要求ワークフロー・アクションに必要な権限およびデータ・アクセスを示します。

表24-3 要求アクションと権限

この要求ワークフロー・アクションを実行するには: 必要な権限:
要求の割当て

次のロールまたは権限の少なくとも1つが必要です:

  • 現在の要求担当者
  • ビューに対する所有者権限
  • サービス管理者ロール
要求が割り当てられる

次のような、要求のすべてのビューポイントの少なくとも1つのデータ・チェーン・オブジェクトに対する参加者(書込み)アクセス権:

  • プロパティの追加、削除または更新アクションの場合、ユーザーにはノード・タイプに対する参加者(書込み)が必要です。
  • 挿入、移動、並替えまたは除去アクションの場合、ユーザーには階層セットに対する参加者(書込み)が必要です。
要求の協力者として追加 要求の少なくとも1つのビューポイントの少なくとも1つのデータ・チェーン・オブジェクトに対する参加者(書込み)

次のように、要求の要求アイテムの要求アクションおよびプロパティ・アクセスは、要求担当者と協力者の両方に対するデータ・アクセス権限によって決まります:

  • 許可されたアクションの場合、担当者と協力者は両方とも、そのアクションを使用可能にするために要求アクションを実行できる必要があります。たとえば、ノードを階層に挿入するには、担当者と協力者は両方とも、階層セットの許可されたアクションとして「挿入」が必要です。いずれかのユーザーに挿入権限がない場合、ノードを挿入するオプションは使用できません。
  • 同様に、担当者と協力者の両方にプロパティへの編集アクセス権がある場合のみ、そのプロパティを編集できます。
要求ロード・ファイルを使用した要求の変更
  • 要求ファイルをアップロードするユーザーは、要求ファイルをロードするために、階層セットまたはノード・タイプへの参加者(書込み)アクセス権(直接、または権限のカスケードを介して)が必要です。
  • ロード・ファイルに、実行するためのデータ・アクセスがユーザーにないアクションまたはプロパティ更新が含まれる場合(たとえば、ロード・ファイルに削除アクションが含まれ、ユーザーに追加アクションに対するデータ・アクセスのみがある場合)、要求アクションは要求アイテムとしてロードされますが、要求が検証されると検証エラーとして識別されます。
  • ロード・ファイルに、ユーザーには非表示のプロパティに対する更新が含まれる場合、その要求アイテムは要求にロードされませんが、添付ファイルには含まれます。
サブスクリプションの作成

次のすべての権限が必要です:

  • ソース・ビューポイントの階層セットまたはノード・タイプへの参加者(読取り)アクセス権(直接、または権限のカスケードを介して)。
  • ターゲット・ビューポイントのディメンションに対するデータ・マネージャ権限
  • ターゲット・ビューに対する所有者権限
サブスクリプションのデフォルトまたは代替担当者として割り当てられるのに適格
  • ターゲット・ビューポイントの階層セットまたはノード・タイプへの参加者(書込み)アクセス権(直接、または権限のカスケードを介して)。

    注:

    グループを割り当てる場合、そのグループを選択肢として使用可能にするには、グループの少なくとも1つのメンバーにターゲット・ビューポイントの階層セットまたはノード・タイプへの参加者(書込み)権限が必要です。
  • サブスクリプション・ソース要求に、実行するためのデータ・アクセスがユーザーにないアクションまたはプロパティ更新が含まれる場合(たとえば、ソース要求に削除アクションが含まれ、ユーザーに追加アクションに対するデータ・アクセスのみがある場合)、要求アクションは要求アイテムとしてターゲット・サブスクリプション要求にロードされますが、要求が検証されると検証エラーとして識別されます。
  • サブスクリプション・ソース要求に、ユーザーには非表示のプロパティに対する更新が含まれる場合、その要求アイテムはターゲット・サブスクリプション要求にロードされませんが、添付ファイルには含まれます。
要求の承認 当初はなし。

データ・オブジェクトのポリシーにユーザーまたはグループを追加すると、そのデータ・オブジェクトに対する暗黙的な参加者(読取り)権限がそのユーザーまたはグループに付与されます。ポリシーの構成を参照してください
承認ステージでの要求のエンリッチ エンリッチ者は承認者であるため、承認ポリシーのデータ・オブジェクトに対する暗黙的な参加者(読取り)権限が自動的に付与されます。エンリッチメント時に変更を加えるには、エンリッチ者には、変更する要求のデータ・チェーン・オブジェクトに対する参加者(書込み)も必要です。エンリッチ者は、データ・アクセスおよび権限に従って要求アイテムを編集できます。

ユーザー

この項では、ユーザーとサービス管理者が完了した要求とドラフト要求に対して実行できるアクションについて説明します。

ドラフト要求

  • 現在の担当者:
    • 権限およびデータ・アクセスに従った要求アクションの実行
    • 要求アイテムのロード
    • 要求アイテムの削除
    • 要求の送信
    • 要求アイテムのファイルへのダウンロード
    • コメントおよび添付の追加、編集または削除
  • 以前の参加者:
    • 要求アイテム、コメントおよび添付の表示
    • 要求コメントおよび添付の追加
    • 要求の検査
    • 要求の検証
    • 要求内のビューポイントの検査、検証および比較
    • 要求アイテムのファイルへのダウンロード

要求のコメントまたは添付の作成者は、要求がドラフト・ステータスの間、コメントまたは添付を編集できます。

完了した要求

要求が行われたビューに対する参加者(読取り)アクセス権があるユーザーは、完了した要求を参照できます。

注:

完了した要求は、履歴監査証跡を提供するため変更できません。

サービス管理者

サービス管理者は、すべての要求を表示できます。

サービス管理者が現在の担当者である場合、ドラフト要求を変更または削除できます。

注:

要求が行われたデータに対する参加者(書込み)権限を持つサービス管理者は、要求の担当者として指定できます。

サービス管理者は、割り当てられていない要求を変更および送信することはできず、自分が承認者ではない要求を承認、却下またはプッシュバックすることもできません。