3.1.3 共有ACL

サンプルWebアプリケーションで扱う共有ACLは,複数の文書またはフォルダに対して,同じアクセス権を設定する機能を持っています。

共有ACLは,プロパティとしてACLを持っています。

<この項の構成>
(1) 共有ACLを操作できるユーザ
(2) 共有ACLを使用したアクセス制御
(3) 共有ACLを使用した運用例

(1) 共有ACLを操作できるユーザ

共有ACLの作成,更新,削除などの操作は,セキュリティ管理者だけが実行できます。

(2) 共有ACLを使用したアクセス制御

共有ACLは,ユーザまたは組織などが,文書やフォルダに対してどのような操作ができるかという情報を保持しているオブジェクトです。アクセス権を与えられる対象になるユーザやグループのことを,サブジェクトといいます。また,許可される操作の範囲のことを,パーミッションといいます。

共有ACLは,同じアクセス権を設定したい複数の文書やフォルダに設定できます。また,複数のサブジェクトとパーミッションの組み合わせを,リストにまとめて設定できます。このリストを,アクセス制御リストACL)といいます。リストの要素であるサブジェクトとパーミッションの組み合わせを,アクセス制御エレメントACE)といいます。

(3) 共有ACLを使用した運用例

共有ACLを使用したアクセス制御の運用方法について,DocumentBrokerに登録されている文書の編集から公開までの作業過程で,共有ACLを使用する運用を例に説明します。この例では,次のことが前提となっています。

なお,この例の中で,共有ACLが作成できるのはセキュリティ管理者だけです。また,文書に対して共有ACLを設定したり,共有ACLを解除したりできるのは,文書の所有者またはセキュリティ管理者だけです。

  1. 共有ACLを作成します。作成する共有ACLとそれに設定するアクセス制御エレメントは,次のとおりです。
    • 「編集用の共有ACL」
      編集を担当するある二人のユーザに「更新」のパーミッションを設定して,更新する権利を与えます。
    • 「公開用の共有ACL」
      公開時に文書を参照する複数の組織に「参照」のパーミッションを設定して,更新する権利を与えます。
  2. 文書を更新する前に「編集用の共有ACL」を文書に設定します。
    これによって,編集を担当する二人のユーザ以外は,文書へのアクセスを制限されます。
  3. 文書の編集が終了したら,文書に設定されている「編集用の共有ACL」の設定を解除します。
  4. 文書を公開する前に,「公開用の共有ACL」を文書に設定します。
    これによって,公開時に文書を参照する組織に所属するユーザ以外は,文書へのアクセスを制限されます。