Share Pointのアクセス権周りの概念モデルまとめ

Share Pointのアクセス権周りの概念モデルまとめ。たぶんあってるレベルなのでご注意。

概念モデル

スコープ
- 同じACLを持つリソースの集合。
  - 親フォルダとその配下ファイルがあって、配下ファイルが「親のアクセス権を継承」する場合、親と子は同じスコープになる。
  - 逆に、「親のアクセス権を継承しない」場合、親と子はそれぞれ別のスコープに属することになる。
- 1つ以上のファイルorフォルダがスコープに属する。
- スコープは1つのACLを持つ。
ACL
- アクセスコントロールリスト。スコープに対するACEの集合。
ACE
- プリンシパルとロールのペア。
プリンシパル
- 権限を持つオブジェクト。ユーザーやグループなどが該当する。
ロール
- 権限の集合。「フルコントロール」や「閲覧」とか。
- 「ファイルの参照」や「一覧の表示」「文書の更新」なと個別の権限の集合として定義される。
権限
- 権限。参照権とか更新権など。

特徴

ロールを介したユーザーと権限の間接参照
- プリンシパルと権限を直接結びつけず、ロールという単位を挟んでいる。
- これにより、運用途中でユーザーに与える権限が変わったとき、ロールの定義の変更だけで対応できる。
  - 「デザイナ」さんたちには「参照権」だけしか与えていなかったけど、やっぱ更新権もいるよね、となった場合に「デザイナ」ロールを修正すればOK(のはず)
グループを介したユーザーとスコープの間接参照
- ユーザーとスコープをグループを介して結びつけることができる。(直接結びつけることも可)
- これにより、運用途中でリソースに対するユーザーの権限が変わったとき、グループに対する権限の変更だけで対応できる。
  - 「フォルダX」は「営業部」の人全員が更新できるようにしたい、となった場合に「フォルダX」に「営業部」グループの更新権を付与すればOK。(のはず。)
親フォルダの権限の継承はできない
- ACLの継承はなく、子は「親と同じACLを持つ」か「個別のACLを持つ」のどちらかになる。
  - フォルダにファイルを追加すると、デフォルトでは「親と同じアクセス権」となるが、
  - 設定により「個別のアクセス権を持つ」状態に変更でき、独自のACLを設定できるようになる。(別のスコープを持つようになる)
  - ここで、親のACLを変更した場合も、「個別のACLを持つ」ファイルのACLは変更されたりはしない。あくまで親とは別のACLを持つとして扱われる。
- なので、一度スコープを分離すると、スコープ間のACLの同期は手作業でしないといけない(はず。)
- でも、この割り切りのおかげで実装はかなりシンプル&&高速になっている(と思う。)