请求的安全性

权限和数据访问权限

下表介绍了请求工作流操作所需的权限和数据访问权限。

表 28-3 请求操作和权限

要执行此请求工作流操作: 您需要此权限:
分配请求

您必须至少具有以下一种角色或权限:

  • 当前请求接受者
  • 对视图具有所有者权限
  • 服务管理员角色
接受请求分配

对请求的每个视点中的至少一个数据链对象具有参与者(写入)访问权限,如下所示:

  • 对于“添加”、“删除”或“更新属性”操作,用户必须对节点类型具有参与者(写入)权限。
  • 对于“插入”、“移动”、“重新排序”或“移除”操作,用户必须对层次集具有参与者(写入)权限。
添加为请求的协作者 对请求的至少一个视点中的至少一个数据链对象具有参与者(写入)权限。

请求中的请求项的请求操作和属性访问权限由请求接受者和协作者的数据访问权限确定,如下所示:

  • 对于允许的操作,接受者和协作者都必须能够执行请求操作,以使该操作可用。例如,为了将节点插入到层次中,允许接受者和协作者对层次集执行的操作必须有“插入”操作。如果任一用户没有“插入”权限,则插入节点的选项不可用。
  • 同样,仅当接受者和协作者都对属性具有“编辑”访问权限时,才能编辑该属性。
使用请求加载文件对请求进行更改
  • 上传请求文件的用户必须对层次集或节点类型具有参与者(写入)访问权限(直接或通过权限级联)才能加载请求文件。
  • 如果加载文件包含用户数据访问权限不支持的操作或属性更新(例如,加载文件包含“删除”操作,而用户的数据访问权限只支持“添加”操作),请求操作将加载为请求项,但在验证请求时将标识为验证错误。
  • 如果加载文件包含对用户隐藏的属性更新,则该请求项不会加载到请求中,但会包含在附加文件中。
创建订阅

您必须具有以下所有权限:

  • 对源视点中的层次集或节点类型具有参与者(读取)访问权限(直接或通过权限级联)。
  • 对目标视点中的维具有数据管理员权限
  • 对目标视图具有所有者权限
有资格成为订阅的默认或备用接受者
  • 对目标视点中的层次集或节点类型具有参与者(写入)访问权限(直接或通过权限级联)。

    注:

    如果您要分配组,则该组中必须至少有一个成员对目标视点中的层次集或节点类型具有参与者(写入)权限,这样该组才可供选择。
  • 如果订阅源请求包含用户数据访问权限不支持的操作或属性更新(例如,源请求包含“删除”操作,而用户的数据访问权限只支持“添加”操作),请求操作将加载为目标订阅请求中的请求项,但在验证请求时将标识为验证错误。
  • 如果订阅源请求包含对用户隐藏的属性更新,则该请求项不会加载到目标订阅请求中,但会包含在附加文件中。
批准请求 最初无权限。

您向数据对象的策略添加用户或组时,会授予该用户或组对该数据对象的隐式参与者(读取)权限。请参阅“配置策略
在审批阶段扩充请求 因为扩充者是批准者,所以会自动授予他们对审批策略中数据对象的隐式参与者(读取)权限。为了在扩充过程中进行更改,扩充者还必须对要更改的请求中的数据链对象具有参与者(写入)权限。扩充者可以根据他们的数据访问权限和权限编辑请求项。

用户

本部分介绍了用户和服务管理员可以对已完成的请求和草稿请求执行的操作。

草稿请求

  • 当前接受者
    • 根据其权限和数据访问权限执行请求操作
    • 加载请求项
    • 删除请求项
    • 提交请求
    • 将请求项下载到文件
    • 添加、编辑或删除注释和附件
  • 先前参与者
    • 查看请求项、注释和附件
    • 添加请求注释和附件
    • 检查请求
    • 验证请求
    • 检查、验证和比较请求中的视点
    • 将请求项下载到文件

请求处于草稿状态时,请求注释或附件的创建者可以编辑注释或附件。

已完成请求

如果用户对请求所针对的视图具有参与者(读取)权限,则可以查看其中的已完成请求。

注:

已完成请求无法修改,它们只用来提供历史审核跟踪。

服务管理员

服务管理员可查看所有请求。

如果服务管理员是当前接受者,则可以修改或删除草稿请求。

注:

如果服务管理员对请求所针对的数据具有参与者(写入)权限,则他们可以被指定为该请求的接受者。

服务管理员不能修改或提交未分配给他们的请求,也不能批准、拒绝或退回他们不是批准者的请求。