権限、ロール、およびグループ
ユーザーがコンテナや文書にアクセスし、iManage Workのアクションを実行する能力は、権限、ロール、グループ、およびセキュリティアクセスレベルを使用して制御されます。
権限とセキュリティアクセスレベルの関係は、しばしば誤解されている。この2つは関連していますが、同じではありません。
権限 | セキュリティアクセスレベル |
|---|---|
権限は、ユーザーがアクセス権を持つコンテナや文書に対して、どのアクションの実行が許可されるかを定義します。 | セキュリティアクセスレベルは、ユーザーがどのコンテナや文書にアクセスでき、どの程度までそれらの項目を変更できるかを定義します。 |
以下のトピックでは、これらの概念について詳しく説明します:
役割
役割は、一連の権限をグループ化することができます。役割を作成すると、1人または複数のユーザーを役割に割り当てます。
詳細については、ロールを参照してください。
役割は必要に応じて作成、削除、変更することができますが、デフォルトの役割は例外です。デフォルトの役割。役割の権限セットはNRTADMINによって後で変更することができます。
デフォルトの役割: iManage Workは自動的にデフォルトの役割を作成します。この役割は削除することができず、iManageシステム管理者はいつでも権限のセットを編集することができます。すべてのユーザーは自動的にこのグループに割り当てられ、このグループから削除することはできません。その結果、各ユーザーは権限のデフォルトセットを持ちますが、通常はセキュリティ上の理由で最小です。
権限
権限は、ユーザーがコンテナ、文書、またはiManage Workシステムに対して実行できる個々のアクションです。iManage Workシステムによって定義された権限の数は決まっています。権限は作成または削除できません。権限は付与、または拒否されることしかできません。権限は役割にのみ含まれます。役割はp権限の名前付きセットです。そして役割はユーザーに割り当てられます。カテゴリには、コンテンツをファイルとして作成/インポート、コンテンツをファイルとして削除、公開ワークスペースを作成など、個々のコンテナや文書に対する権限を含むものがあります。権限により、ティア1(基本的なヘルプデスク機能を提供)またはティア2(ティア1機能の提供に加え、メタデータ、受託者、テンプレートを管理する機能を提供)レベルでのコントロールセンターへのアクセスが可能になります。
iManage Workシステムに実装されている権限またはアクションには、ユーザーがウェブ検索を実行できるようにするための使用しているウェブを検索と、全文を使用して検索するための全文検索を許可があります。
権限は、実行される操作に基づいて以下のカテゴリーに分けられます:
Workアプリケーションの権限
- 文書:文書を扱う権限。
- ワークスペース:ワークスペースを操作し、カスタムメタデータを管理する権限。
- フォルダ:パブリックフォルダを操作する権限。
コントロールセンターの権限
- コントロールセンターアクセス:ティア1またはティア2のコントロールセンター機能へのアクセス権限。
レガシーアプリケーションの権限
- Workクライアント権限:全文検索およびウェブ検索を実行する権限。
- 管理者権限:iManage Work
ユーザーに割り当てられる権限の詳細なリストについては、ロールを参照してください。
ティア付きの権限
ティアは、iManage Workシステム管理者、製品サポート、またはヘルプデスクのチームメンバーがコントロールセンターでアクティビティを実行する際の事前定義された権限セットであり、iManage Workライブラリごとに割り当てられます。
詳しくはティアの理解を参照してください。
グループ
グループは複数のユーザーの集合です。グループは特定のアクセス権限とともに、ワークスペース、フォルダ、タブ、および文書に割り当てることができます。これにより、正確な複数のユーザーをすべて同じアクセス権限とともに同じアイテムに割り当てることができます。個々のユーザーおよびそのアクセス権限を個別に変更することなく、複数のユーザーを追加・削除したり、アクセス権限を変更したりすることで、グループを管理できます。ユーザーは複数のグループに所属できます。
グループにはアクセス権限が割り当てられていません。各ユーザには役割(これは関連する権限を持ちます)が割り当てられ、この役割はグループへの割り当てとは独立していることに注意してください。
グループはNRTADMINグループを除いて、必要に応じて作成、変更することができます。詳細はNRTADMINグループを参照してください。グループは削除できません。
ユーザーリストが管理されているディレクトリサーバーがすでにグループを含んでいる場合、それらのグループとメンバーをiManage Workにインポートすることができます。これは一方向の同期のみで、iManage Workからディレクトリサービスに戻ってグループとメンバーを更新することはできません。
個々のユーザーではなく、セキュリティアクセス許可にグループを使用することは、検索のための暗黙のパフォーマンス向上もあります。グループを使用してセキュリティを管理する場合、オブジェクトのセキュリティは、グループが割り当てられたときにインデクサで一度だけインデックスを作成する必要があります。基礎となるグループに加えられた変更は、再インデックスのトリガーにはなりません。一方、オブジェクトのユーザー・セキュリティを個別に管理した場合、変更のたびにオブジェクトの再インデックスが必要になります。
NRTADMINグループ
NRTADMINグループはiManage Workシステムから自動的に利用できるため、作成する必要はありません。NRTADMINグループに割り当てられたユーザーは、現在の役割に関係なく、定義によりNRTADMINになります。NRTADMINグループから削除されたユーザーは、以前に持っていたライブラリの役割を保持します。このグループからユーザーを追加または削除できるのは、別のNRTADMINだけです。ティア付きの権限も参照してください。
暫定管理者は、追加の権限を持つ NRTADMIN です。これらは、iManage Workのインストール時に定義され、カスタムサービスマネージャ(CSM)または指定されたサービスプロバイダによって提供されます。
文書、ワークスペース、フォルダーの属性
以下は、文書、ワークスペース、およびフォルダに関連する属性を表しています:
- 所有者:所有者は、新しいワークスペースまたはフォルダを作成したユーザーに自動的に割り当てられるロールです。そのユーザーは、そのワークスペース/フォルダへのフルアクセス権を持ちます。ワークスペース/フォルダの所有者は1人のみで、現在の所有者は別のユーザーにロールを割り当てることができます。
- オペレーター: オペレーターは、新しい文書を作成したユーザーや最初に文書をアップロードしたユーザーに自動的に割り当てられる役割です。そのユーザーは、そのドキュメントへのフルアクセス権を持ちます。各ドキュメントにオペレーターは1人しか設定できず、現在のオペレーターは他のユーザーにロールを割り当てることができます。
作成者:文書の作成者は、新しい文書を作成したユーザーや最初に文書をアップロードしたユーザーに自動的に割り当てられる役割です。作成者は、ドキュメントのオペレーターまたはドキュメントへのフルアクセスを持つ他のユーザーが変更できます。作成者役割は文書への所有権を付与しませんが(オペレーター参照)、暗黙的なフルアクセスを付与します。
セキュリティアクセスレベル
セキュリティアクセスレベルは、デフォルトのセキュリティとアクセス権を総称する用語です。セキュリティアクセスレベルは、ユーザがコンテナのコンテンツや文書に対して持つアクセス権を定義します。
詳細については、コンテナおよびドキュメントのセキュリティを参照してください。
アクセス衝突モデル
An access conflict is when a user has conflicting or contradicting access to an object, such as a container or document.
iManage Work環境に応じて、以下のモデルのいずれかがアクセス衝突の解決に使用されます:
- 楽観的モデルは、衝突するレベルの中から最も許容的なアクセスレベルを適用して衝突を解決します。
- 悲観的モデルは、衝突するレベルの中から最も制限的なアクセスレベルを適用することで 衝突を解決します。
- ハイブリッドモデルは、衝突するアクセスレベルのいずれかがNo Accessでない限り、楽観的モデルを使用します。オブジェクトのセキュリティアクセスレベルの衝突の いずれかがNo Accessの場合、そのユーザはオブジェクトのアクセス権を剥奪されます。
これらの異なるモデルの詳細については、以下の例を参照してください。
iManage Work in Cloudについては、cloudsupport@imanage.comに問い合わせて、お使いの環境でどのセキュリティモデルが適用されているかを確認してください。
オンプレミス環境のiManage Workについては、iManage Work Serverの以下のレジストリキー設定を参照してください:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Interwoven\WorkSite\imDmsSvc\
名前:セキュリティモデル
値:
0 - 楽観的セキュリティ(デフォルト)
1 - 悲観的セキュリティ
2 - ハイブリッドセキュリティ
例1
特定の文書について、ユーザーAnthonyはグループ1とグループ2の両方に属しているため、文書に対して次のようなアクセス権を持つ可能性があります:
ユーザー | 読み取り |
グループ1 | 読み取り/書き込み |
グループ2 | アクセス無し |
少なくとも2つのアクセスレベルが矛盾しているため、衝突が発生しています。これはアクセス衝突モデルによって自動的に解決されます。
アクセス衝突モデル | 解決方法 | 理由 |
|---|---|---|
楽観的 | 読み取り/書き込み | 3つの可能性の中で最もアクセス可能なレベルは、グループ1の読み取り/書き込みです。 |
悲観的 | アクセス無し | 3つの可能性の中で最も制限的なレベルはグループ2のNo Accessです。 |
ハイブリッド | アクセス無し | 3つの可能性の中で最も制限的なレベルは、グループ2のNo Accessです。 ハイブリッドアクセスは、すべての選択肢の中から拒否(No Access)がなければ、楽観的な結果を与えるからです。拒否オプションがある場合、ハイブリッドはその拒否を許可します。 |
例2
特定の文書について、ユーザHannaはグループ1とグループ2の両方に属しているため、文書に対して次のようなアクセス権を持つ可能性があります:
ユーザー | 読み取り |
グループ1 | 読み取り/書き込み |
グループ2 | 完全アクセス |
少なくとも2つのアクセスレベルが矛盾しているため、衝突が発生しています。これはアクセス衝突モデルによって自動的に解決されます。
アクセス衝突モデル | 解決方法 | 理由 |
|---|---|---|
楽観的 | 完全アクセス | 3つの可能性の中で最もアクセス可能なレベルは、グループ2の完全アクセスです。 |
悲観的 | 読み取り | 3つの可能性の中で最も制限的なレベルは、ユーザーの直接権限の読み取りです。 |
ハイブリッド | 完全アクセス | 3つの可能性の中で最もアクセス可能なレベルは、グループ2の完全アクセスです。 ハイブリッドアクセスは、すべての選択肢の中から拒否(No Access)がなければ、楽観的な結果を与えるからです。 |