-1

SharePoint のセキュリティについて質問があります。次のシナリオがあります

カスタム リスト (部門、スコアカード、スコアカード データ入力) ユーザー グループ/役割 (エグゼクティブ、データ入力オペレーター、承認者) カスタム ページ/Web パーツ (スコアカード データ入力、保留中の承認、承認フォーム) カスタム ワークフロー (1 ステップの承認ワークフロー)

セキュリティに対する私の要件は次のとおりです

  • すべての部門には、データ入力オペレーターと承認者という 2 つの役割を持つ独自のユーザーがいます。

  • エグゼクティブ ロールのユーザーは、すべての部門のスコアカード データ エントリ、保留中の承認、および承認フォームを表示できます。

  • データ入力オペレーターは、スコアカードのデータ入力ページを表示する権利がありますが、それぞれの部門のデータしか入力できません。たとえば、ユーザー A が部門 A のデータ入力オペレーターであり、ユーザー B が部門 B のデータ入力オペレーターである場合、ユーザー A は部門 A のデータのみを入力でき、ユーザー B は部門 B のデータのみを入力できますが、両方とも ScoreCard データを表示する権限を持っています。エントリーページ。

  • 承認者には、保留中の承認と承認フォームを表示する権限があります。ビューの承認者は、保留中の承認ページがその部門の保留中の承認のみを表示できるようになります。たとえば、ユーザー C が部門 A の承認者であり、ユーザー D が部門 B の承認者である場合、ユーザー C は部門 A の承認待ちリストのみを表示し、ユーザー D は部門 B の承認待ちリストのみを表示します。

- エグゼクティブ ロールのユーザーは、すべてのページを表示でき、部門に基づく制限はありません。

できるだけ早くこれを手伝ってください。

よろしく

4

1 に答える 1

0

ユーザー A が AA 部門のデータ入力オペレーターである場合、AA 部門のデータのみを入力できます。

これは、私が関係ベースのアクセス制御と呼んでいるものの好例です。これを実現するには、関係ベースのアクセス制御を可能にする承認フレームワークを検討する必要があります。そのようなフレームワークの 1 つが XACML ( wikipedia |標準ページ) です。

SharePoint は承認を定義するために XACML を受け入れませんが、XACML を SharePoint にフィードできるクレームに変換することは可能です。私が勤務しているベンダーAxiomaticsは、このようなアプローチを提供しています。

属性ベースのアクセス制御も確認してください。NISTには、そのトピックに関する優れたページがあります。

于 2013-11-06T13:13:51.923 に答える