规则定义

一旦确定了组和属性,请根据您的安全需求,制定出一组规则或访问控制表 (ACL)。ACL 是控制读写许可权的规则集合。使用 ACL,可以为一组或多组用户定义特定规则。

每个 ACL 都有三个组成部分:

作用域

每个规则都必须定义规则的作用域。换言之,此规则是适用于 CR、任务还是对象?与其他在特定对象上定义 ACL 的应用程序不同,IBM® Rational® Change 会定义一个用于所有 CR 的全局 ACL、一个用于任务的 ACL 和一个用于对象的 ACL。

但是,ACL 中的每个规则都会应用于各规则的子集。作用域通过简单的等式语句进行设置:attribute = value。 符合此条件的所有 CR、任务或对象都受此规则的管理。

缺省规则是对于与任一规则不匹配的所有 CR、任务或对象,拒绝对其进行的读/写访问。缺省规则可以按需进行修改。

许可权

每个规则都必须定义许可权类型并定义是授予还是拒绝此许可权。 如果用户同时满足授予和拒绝规则的要求,那么将强制实施拒绝规则。可用许可权如下:

用户或组

定义作用域和许可权后,每个规则都必须指定此规则应用于的一个或多个用户和/或组。

例如,下表显示了一家具有五个产品的公司的 CR ACL。其中四个产品位于两条产品线中,有一个产品跨两条产品线 (integrations)。 在此示例中,DOORS® 产品线具有最严格的安全性,IBM Rational Synergy 次之,而 integrations 的安全性最低。

表 1. CR ACL 示例
作用域属性值 访问权 许可权 用户,组
Product_Line Synergy 授权 {everyone}
Product_Line Synergy 拒绝 承包商,访客
Product_Line DOORS 授权 DOORS,CCB
产品 CM 授权 Synergy Dev,CCB
产品 Change 授权 Synergy Dev,CCB
产品 RM 授权 RM Dev Leads,CCB
产品 XT 授权 XT Dev Leads,CCB
产品 集成 授权 读/写 开发,承包商,CCB
所有不匹配的变更请求 拒绝 读/写 不适用

反馈