読者です 読者をやめる 読者になる 読者になる
無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

Share Pointのアクセス権周りの概念モデルまとめ

Share Pointのアクセス権周りの概念モデルまとめ。たぶんあってるレベルなのでご注意。

概念モデル


  • スコープ
    • 同じACLを持つリソースの集合。
      • 親フォルダとその配下ファイルがあって、配下ファイルが「親のアクセス権を継承」する場合、親と子は同じスコープになる。
      • 逆に、「親のアクセス権を継承しない」場合、親と子はそれぞれ別のスコープに属することになる。
    • 1つ以上のファイルorフォルダがスコープに属する。
    • スコープは1つのACLを持つ。
  • ACL
    • アクセスコントロールリスト。スコープに対するACEの集合。
  • ACE
  • プリンシパル
    • 権限を持つオブジェクト。ユーザーやグループなどが該当する。
  • ロール
    • 権限の集合。「フルコントロール」や「閲覧」とか。
    • 「ファイルの参照」や「一覧の表示」「文書の更新」なと個別の権限の集合として定義される。
  • 権限
    • 権限。参照権とか更新権など。

特徴

  • ロールを介したユーザーと権限の間接参照
    • プリンシパルと権限を直接結びつけず、ロールという単位を挟んでいる。
    • これにより、運用途中でユーザーに与える権限が変わったとき、ロールの定義の変更だけで対応できる。
      • 「デザイナ」さんたちには「参照権」だけしか与えていなかったけど、やっぱ更新権もいるよね、となった場合に「デザイナ」ロールを修正すればOK(のはず)
  • グループを介したユーザーとスコープの間接参照
    • ユーザーとスコープをグループを介して結びつけることができる。(直接結びつけることも可)
    • これにより、運用途中でリソースに対するユーザーの権限が変わったとき、グループに対する権限の変更だけで対応できる。
      • 「フォルダX」は「営業部」の人全員が更新できるようにしたい、となった場合に「フォルダX」に「営業部」グループの更新権を付与すればOK。(のはず。)
  • 親フォルダの権限の継承はできない
    • ACLの継承はなく、子は「親と同じACLを持つ」か「個別のACLを持つ」のどちらかになる。
      • フォルダにファイルを追加すると、デフォルトでは「親と同じアクセス権」となるが、
      • 設定により「個別のアクセス権を持つ」状態に変更でき、独自のACLを設定できるようになる。(別のスコープを持つようになる)
      • ここで、親のACLを変更した場合も、「個別のACLを持つ」ファイルのACLは変更されたりはしない。あくまで親とは別のACLを持つとして扱われる。
    • なので、一度スコープを分離すると、スコープ間のACLの同期は手作業でしないといけない(はず。)
    • でも、この割り切りのおかげで実装はかなりシンプル&&高速になっている(と思う。)