3.10.1 アクセス権の判定に使用される情報

ここでは,アクセス権の判定に使用される情報について説明します。

DocumentBrokerでは,ユーザのアクセス権の判定に次の情報を使用します。

<この項の構成>
(1) ユーザ情報
(2) 文書空間オブジェクトごとのアクセス制御情報

(1) ユーザ情報

DocumentBrokerでは,アクセス権の判定に,ユーザ情報を使用します。ユーザ情報は,文書空間にログインしたときにJava クラスライブラリのセッションオブジェクトに関連づけられて保持されます。ユーザ情報は,次の情報で構成されます。

それぞれについて説明します。

(a) ユーザ識別子

ユーザが文書空間にログインした時に使用したユーザ管理システムから取得される,ログインユーザを識別する情報です。設定される値は,使用したユーザ管理システムによって異なります。ユーザ管理システムがLDAP対応のディレクトリサービスの場合は,DocumentBrokerサーバのDocumentSpace構成定義ファイルに定義した属性の値が設定されます。UNIXのパスワードファイルの場合は,UNIXのユーザIDが設定されます。

DocumentBrokerサーバのDocumentSpace構成定義ファイルについては,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。また,LDAP対応のディレクトリサービスについては,ご使用になるLDAP対応のディレクトリサービスのマニュアルを参照してください。

(b) 所属グループ

ユーザが文書空間にログインした時に使用したユーザ管理システムから取得される,ログインユーザが所属するグループの数と,各グループを識別するためのグループ識別子の一覧情報です。設定される値は,使用したユーザ管理システムによって異なります。ユーザ管理システムがLDAP対応のディレクトリサービスの場合は,DocumentBrokerサーバのDocumentSpace構成定義ファイルに定義した属性の値が設定されます。UNIXのパスワードファイルの場合は,UNIXのグループIDが設定されます。

DocumentBrokerサーバのDocumentSpace構成定義ファイルについては,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。また,LDAP対応のディレクトリサービスについては,ご使用になるLDAP対応のディレクトリサービスのマニュアルを参照してください。

(c) 特権

アクセス権の判定を受けないですべての文書空間オブジェクトに対して自由にアクセスできる権限のことを特権といいます。DocumentBrokerでは,すべての文書空間オブジェクトや,各文書空間オブジェクトに設定されたアクセス制御情報の保守を担当する,特権を持つユーザを設定できます。このユーザをセキュリティ管理者といいます。セキュリティ管理者は,DocumentBrokerサーバのセキュリティ定義ファイルに定義しておきます。ログイン時にセキュリティ定義ファイルが参照され,ログインするユーザがセキュリティ管理者の場合,ユーザ情報に「特権のあるセキュリティ管理者」を示す値が設定されます。ログインユーザがセキュリティ管理者でない場合は「特権なし」を示す値が設定されます。

セキュリティ管理者の定義方法については,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。

(d) ユーザ権限

ユーザ権限とは,DocumentBrokerサーバのユーザ権限定義ファイルに定義した情報を基に,ユーザ,グループまたはすべてのユーザに対して設定できる権限です。ユーザ権限定義ファイルには,すべての文書空間オブジェクトに対するアクセス権を定義します。

ユーザ権限には次の2種類があります。

オブジェクト作成権限
オブジェクト作成権限とは,文書空間にオブジェクトを作成する権利を任意のユーザまたはグループに対して許可するアクセス制御情報です。ログイン時にユーザ権限定義ファイルが参照されて,ログインユーザにオブジェクト作成権が設定されている場合,ユーザ情報に「オブジェクトを作成する権利」を示すパーミッションが設定されます。
オブジェクト作成権限の定義方法については,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。
オブジェクト操作権限
オブジェクト操作権限とは,文書空間内のすべてのオブジェクトに対してどの範囲の操作を許可するかを定義するアクセス制御情報です。オブジェクト操作権限は,任意のユーザまたはグループごとに設定できます。例えば,「ユーザAにプロパティを参照する権利を与える」と定義しておくと,「ユーザA」は文書空間内のすべてのオブジェクトのプロパティを参照できます。ログイン時にユーザ権限定義ファイルが参照されて,ログインするユーザにオブジェクト操作権限としてプロパティ参照権が定義されていた場合,ユーザ情報に「プロパティを参照する権利」を示すパーミッションが設定されます。
オブジェクト操作権限の設定については,マニュアル「DocumentBroker Version 3 システム導入・運用ガイド」を参照してください。

(2) 文書空間オブジェクトごとのアクセス制御情報

文書空間オブジェクトに対するアクセスを制御するための情報です。文書空間オブジェクトごとに「どのユーザまたはグループに」,「どのような操作を許可するか」を表すアクセス制御情報を設定しておくことで,各ユーザまたはグループに対して文書空間オブジェクトごとのアクセス権を設定できます。文書空間オブジェクトのアクセス制御情報の種類については,「3.10.3 文書空間オブジェクトごとのアクセス制御情報の種類」を参照してください。

アクセス制御情報を設定できる文書空間オブジェクトのオブジェクト種別は,次のとおりです。