3.10.2 アクセス制御情報に設定できるパーミッションの種類

ここでは,アクセス制御情報に設定できるパーミッションの種類について説明します。

「どのような操作を許可するか」を表す値をパーミッションといいます。例えば,ある文書に対して,「ユーザAに,プロパティの参照だけを許可する」,「ユーザBに,プロパティの参照およびコンテンツの更新を許可する」のように設定して,許可する操作の範囲を限定できます。

<この項の構成>
(1) パーミッションの種類
(2) 基本パーミッション
(3) 組み合わせパーミッション

(1) パーミッションの種類

アクセス制御情報として設定するパーミッションの種類を次の表に示します。

表3-9 パーミッションの種類

パーミッションの用途パーミッションの種類
個々の文書空間オブジェクトに対する操作を許可する基本パーミッション
組み合わせパーミッション
アクセス制御情報に対する操作を許可するアクセス制御情報変更権
文書空間オブジェクトの作成を許可するオブジェクト作成権

各パーミッションについて説明します。

基本パーミッションと組み合わせパーミッション
個々の文書空間オブジェクトに対する操作を許可するパーミッション(ACFlagおよびACLに指定するパーミッション)です。パーミッションは複数指定できます。例えば,複数の基本パーミッションを指定したり,複数の組み合わせパーミッションを指定したり,基本パーミッションと組み合わせパーミッションを混在させて指定したりできます。この場合,パーミッションとして設定される内容は,指定したパーミッションの論理和になります。
基本パーミッションの詳細については,「(2) 基本パーミッション」を参照してください。組み合わせパーミッションの詳細については,「(3) 組み合わせパーミッション」を参照してください。また,ACFlagおよびACLについては,「3.10.3 文書空間オブジェクトごとのアクセス制御情報の種類」を参照してください。
アクセス制御情報変更権
アクセス制御情報に対する操作を許可するパーミッションです。セキュリティACLだけに指定します。アクセス制御情報変更権およびセキュリティACLについては,「3.10.4 アクセス制御情報の管理」を参照してください。
オブジェクト作成権
文書空間オブジェクトを作成する権利を与えるパーミッションです。ユーザ権限のオブジェクト作成権限を定義する時に,ユーザ権限定義ファイルに指定します。パーミッションを表す定数は「DbjDef.PERM_CREATE」です。ユーザ権限定義ファイルで定義するパーミッションについては,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。

なお,パーミッションを個々の文書空間オブジェクトに設定する方法については,「3.10.3 文書空間オブジェクトごとのアクセス制御情報の種類」を参照してください。

(2) 基本パーミッション

基本パーミッションは,文書空間オブジェクトを操作する範囲を限定するために,DocumentBrokerが提供する基本的なパーミッションです。基本パーミッションは,ユーザ権限のオブジェクト操作権限の定義およびオブジェクトごとのアクセス制御情報の定義で指定します。基本パーミッションの種類を次の表に示します。

表3-10 基本パーミッションの種類

パーミッションの種類説明
基本プロパティ参照権
(DbjDef.PERM_PRIM_READ_PROPS)
文書空間オブジェクトのプロパティを参照する権利を与える基本パーミッションです。
このパーミッションを設定されたユーザは,文書やフォルダのOIID,ユーザ定義プロパティを参照できます。プロパティを指定した属性検索を実行する場合も,このパーミッションが必要です。また,このパーミッションを設定されないユーザに対しては,その文書空間オブジェクトの存在もわからないようにできます。
このパーミッションには,フォルダに設定されたリンクオブジェクトのプロパティを参照したり,フォルダとリンク付けられている文書空間オブジェクトのプロパティを参照したりする権利も含まれます。
基本プロパティ更新権
(DbjDef.PERM_PRIM_WRITE_PROPS)
文書空間オブジェクトのプロパティを更新する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。
このパーミッションを設定されたユーザは,文書やフォルダに設定されたユーザ定義プロパティ,そのほかの読み取り専用以外のプロパティを更新できます。
基本コンテンツ参照権
(DbjDef.PERM_PRIM_READ_CONTENTS)
文書のコンテンツを参照する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。
全文検索インデクスを使用した検索を実行する場合は,このパーミッションが必要です。
基本コンテンツ更新権
(DbjDef.PERM_PRIM_WRITE_CONTENTS)
文書のコンテンツを更新する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。
全文検索インデクスを作成および削除する場合は,このパーミッションが必要です。
基本リンク権
(DbjDef.PERM_PRIM_LINK)
リンクに関する操作を実行する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。
リンクに関する操作とは,リンク(直接型リンク,参照型リンク,構成管理型リンクおよび文書間リンク)を設定および解除する権利です。このパーミッションには,リンクオブジェクトを削除する権利,リンクオブジェクトのプロパティを設定および更新する権利も含まれます。また,フォルダの場合は,構成管理モードを変更する権利も含まれます。
基本バージョン管理権
(DbjDef.PERM_PRIM_VERSION)
バージョン管理に関する操作を実行する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。
バージョン管理に関する操作とは,バージョン付きオブジェクトのバージョンを追加および削除する権利です。また,バージョン付きフォルダの場合は,構成管理モードを変更する権利も含まれます。
基本削除権
(DbjDef.PERM_PRIM_DELETE)
文書空間オブジェクトを削除する権利を与える基本パーミッションです。基本プロパティ参照権を含みます。

注 「DbjDef.PERM_」で始まる定数は,パーミッションを表す定数です。


基本パーミッションでは,それぞれのパーミッションは独立であり,包含関係はありません。ただし,基本プロパティ参照権は,すべての基本パーミッションに含まれます。

基本パーミッションは,複数組み合わせて使用できます。また,組み合わせパーミッションを使用すると,複数の基本パーミッションを指定した場合と同じパーミッションが設定できます。この場合,パーミッションとして設定される内容は,指定したパーミッションの論理和になります。組み合わせパーミッションについては,「(3) 組み合わせパーミッション」を参照してください。

基本パーミッションの設定例
基本パーミッションの設定例を示します。
プロパティの参照を可能にする場合
次のパーミッションを設定します。
  • 基本プロパティ参照権
フォルダの階層をたどったり,フォルダ名,文書名などの文書空間オブジェクトのプロパティの値を参照したりできます。
プロパティとコンテンツの参照を可能にする場合
次のパーミッションを設定します。
  • 基本コンテンツ参照権
フォルダの階層をたどったり,フォルダ名,文書名などの文書空間オブジェクトのプロパティの値を参照したり,コンテンツをダウンロードしたりできます。
プロパティとコンテンツの更新を可能にする場合
次のパーミッションを設定します。
  • 基本プロパティ更新権
  • 基本コンテンツ参照権
  • 基本コンテンツ更新権
文書またはフォルダのプロパティとコンテンツを参照可能にした場合の操作に加えて,プロパティ,コンテンツの更新が可能になります。
削除を可能にする場合
次のパーミッションを設定します。
  • 基本削除権
文書またはフォルダのプロパティの参照と削除ができます。使用されていない文書またはフォルダを削除してデータベースを保守するユーザなどに与えるパーミッションです。
リンクを可能にする場合
次のパーミッションを設定します。
  • 基本リンク権
フォルダに文書またはほかのフォルダをリンク付けたり,文書間リンクを設定したりできます。あるユーザがフォルダ体系を決定し,別のユーザには,そのフォルダ体系に従って文書をリンク付けさせたり,文書間リンクを設定させたりしたい場合,文書のリンク付けや文書間リンクの設定だけをするユーザには基本リンク権だけを設定します。
バージョンアップを可能にする場合
バージョン付きオブジェクトのバージョニングオブジェクトに次のパーミッションを設定します。
  • 基本バージョン管理権
また,バージョン付きオブジェクトのバージョンオブジェクトに次のパーミッションを設定します。
  • 基本プロパティ更新権
  • 基本コンテンツ参照権
  • 基本コンテンツ更新権
バージョン付きオブジェクトをバージョンアップし,追加したバージョンのバージョン名を設定したり,バージョン付き文書の場合はコンテンツを更新したりできます。

なお,文書空間オブジェクトごとにアクセス制御情報を設定する場合,文書空間オブジェクトのオブジェクト種別によって,アクセス制御情報に設定できるパーミッションの種類が異なります。パーミッションを設定する対象オブジェクトと基本パーミッションの対応を次の表に示します。

表3-11 パーミッションを設定する対象オブジェクトと基本パーミッションの対応

基本パーミッションの種類オブジェクト種別
DVDFVFIP
基本プロパティ参照権
基本プロパティ更新権
基本コンテンツ参照権×××
基本コンテンツ更新権×××
基本リンク権×
基本バージョン管理権×××
基本削除権

(凡例)

D:バージョンなし文書およびバージョン付き文書のバージョンオブジェクト

VD:バージョン付き文書

F:バージョンなしフォルダおよびバージョン付きフォルダのバージョンオブジェクト

VF:バージョン付きフォルダ

IP:独立データ

○:設定できることを示します。

×:設定できないことを示します。


(3) 組み合わせパーミッション

組み合わせパーミッションは,基本パーミッションを組み合わせて定義されたパーミッションです。ある文書空間オブジェクトに対するパーミッションを設定する場合に,一般的に同時に指定すると考えられる複数の基本パーミッションが,まとめて一つのパーミッションとして指定できるように定義されています。組み合わせパーミッションの種類を次の表に示します。

表3-12 組み合わせパーミッションの種類

パーミッションの種類説明
プロパティ参照権
(DbjDef.PERM_READ_PROPS)
文書空間オブジェクトのプロパティを参照する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトのプロパティを参照したり,階層をたどったりする操作を許可するユーザに対して設定します。
プロパティ更新権
(DbjDef.PERM_WRITE_PROPS)
文書空間オブジェクトのプロパティを更新する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトのプロパティを参照して,そのプロパティの値の更新を許可するユーザに対して設定します。
参照権
(DbjDef.PERM_READ)
文書空間オブジェクトを参照する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトのプロパティを参照した上で,コンテンツの参照も許可するユーザに対して設定します。
参照更新権
(DbjDef.PERM_READ_WRITE)
文書空間オブジェクトを参照および更新する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトのプロパティやコンテンツの参照および更新を許可するユーザに対して設定します。
削除権
(DbjDef.PERM_DELETE)
文書空間オブジェクトを削除する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトのプロパティを参照した上で,その文書空間オブジェクトの削除も許可するユーザに対して設定します。
使用されていない文書を削除してデータベースを保守するユーザなどに設定します。
リンク権
(DbjDef.PERM_LINK)
文書やフォルダのリンクを設定する権利を与えるパーミッションです。
このパーミッションは,文書やフォルダの名前などは変更させないで,文書やフォルダのリンクの設定を許可するユーザに対して設定します。
すでにフォルダの体系が決定されている場合に,あるユーザにその体系に従って文書を格納させたいときなどに設定します。
バージョン権
(DbjDef.PERM_VERSION)
バージョンを管理する権利を与えるパーミッションです。
バージョンの管理を許可するユーザに対して設定します。ただし,バージョン付きオブジェクトをバージョンアップする場合などには,バージョン管理の対象になる文書またはフォルダに対してこのパーミッションを与えると同時に,個々のバージョンに対応する文書またはフォルダに対して参照更新権が必要です。
フルコントロール
(DbjDef.PERM_FULL_CONTROL)
文書空間オブジェクトに対するすべての操作を実行する権利を与えるパーミッションです。
このパーミッションは,文書空間オブジェクトの参照,更新および削除などのすべての操作を許可するユーザに対して設定します。

注 「DbjDef.PERM_」で始まる定数は,パーミッションを表す定数です。


組み合わせパーミッションと基本パーミッションの対応を次の表に示します。

表3-13 組み合わせパーミッションと基本パーミッションの対応


組み合わせパーミッションの種類
対応する基本パーミッションの種類
基本プロパティ参照権基本プロパティ更新権基本コンテンツ参照権基本コンテンツ更新権基本リンク権基本バージョン管理権基本削除権
プロパティ参照権
プロパティ更新権
参照権
参照更新権
削除権
リンク権
バージョン権
フルコントロール

(凡例)

○:組み合わせパーミッションに対応する基本パーミッションです。

-:組み合わせパーミッションに対応しない基本パーミッションです。


組み合わせパーミッションを使用すると,一つの組み合わせパーミッションを指定することによって,複数の基本パーミッションを指定した場合と同じパーミッションが設定できます。

例えば,あるユーザに対して文書のコンテンツの更新を許可したい場合,運用によっては,「検索によって文書を取得し,既存のコンテンツの内容を参照した上で,修正,更新する」という操作の流れが考えられます。また,「コンテンツを更新する場合には,更新した日時を表すプロパティを更新する」という操作があるとします。この場合,基本パーミッションを使用すると,「基本プロパティ更新権」,「基本コンテンツ参照権」および「基本コンテンツ更新権」の3種類のパーミッションをそのユーザに設定する必要があります。これに対して,組み合わせパーミッションを使用すると,「参照更新権」を指定するだけで,3種類の基本パーミッションを指定した場合と同じパーミッションが設定できます。

また,組み合わせパーミッションと基本パーミッションを組み合わせて指定することもできます。例えば,「参照更新権」を与えたユーザに対して,「文書空間オブジェクトを削除する権利も与えたい」という場合は,組み合わせパーミッションの「参照更新権」と,基本パーミッションの「基本削除権」をあわせて指定できます。この場合,パーミッションとして設定される内容は,指定したパーミッションの論理和になります。