권한 상속

이 주제에서는 폴더 권한이 상속되는 방법을 이해하는 데 중요한 개념을 설명합니다.

Rational® ClearQuest® 권한 상속에 대한 이해는 견고한 작업공간 폴더 액세스 제어 정책을 개발하는 데 매우 중요합니다.

기본 권한: 모든 사용자 그룹

사용자 그룹 외에, 작업공간 폴더 권한에서 사전 정의된 모든 사용자 그룹을 사용합니다. 이 그룹에는 Rational ClearQuest 사용자가 모두 포함됩니다. 사용자 멤버십은 자동이며 묵시적입니다. 모든 사용자 그룹 멤버십은 변경할 수 없습니다.

모든 사용자 그룹은 수정이 적용될 수 있는 기본 권한을 설정하는 데 사용됩니다. 예를 들어, 모든 사용자의 공용 조회 폴더에 대한 기본 권한은 읽기 전용입니다. 명시 그룹을 작성하거나 관리하지 않고 기본 권한을 변경하려면 모든 사용자 그룹을 사용하십시오.

그룹 및 서브그룹에 의한 상속

권한이 개인이 아닌 그룹에 대해 정의되는 것처럼, 권한 상속 모델은 사용자 그룹 및 서브그룹 멤버십에 따라 달라집니다.

폴더 관리자가 그룹 및 서브그룹 폴더에 다른 권한을 지정할 수 있습니다. 사용자가 서브그룹의 직접 구성원이므로 그룹의 간접 구성원이며 그룹 및 서브그룹의 폴더 액세스가 다른 경우(예: 읽기/쓰기 대 읽기 전용), 사용자의 액세스는 항상 서브그룹 액세스에 따라 결정됩니다.

반대로, 그룹이 서로의 서브그룹인지 여부에 관계없이 사용자가 여러 그룹의 직접 구성원이며 그룹의 액세스 레벨이 서로 다른 경우 사용자의 액세스는 권한 우선순위가 가장 높은 그룹에 따라 결정됩니다. 권한 상속을 결정하는 경우 그룹의 직접 멤버십이 간접 멤버십보다 우선합니다.

폴더 및 서브폴더에 의한 상속

폴더에 대한 권한을 변경할 수 있는 사용자로는 공용 폴더 관리자나 보안 관리자 권한을 가진 사용자, 폴더에 대한 권한 변경의 권한이 부여된 그룹의 구성원인 사용자 등이 있습니다.

기본적으로, 서브폴더는 상위 폴더의 권한을 상속합니다. 권한을 변경할 수 있는 사용자는 서브폴더에 다른 권한을 지정하여 그룹에 상속된 폴더 권한을 대체할 수 있습니다. 서브폴더에 대한 권한이 대체되고 해당 서브폴더에도 서브폴더가 있는 경우 이러한 서브폴더의 서브폴더는 대체 권한을 상속합니다. 보안 관리자 및 공용 폴더 관리자는 폴더에 지정된 권한에 관계없이 모든 폴더 또는 서브폴더에 액세스할 수 있습니다.

유효 권한

유효 권한이라는 용어는 특정 폴더에 대한 그룹 액세스 및 개별 사용자 액세스 둘 다와 관계가 있습니다.

폴더에 대한 그룹의 유효 권한

폴더에 대한 그룹의 유효 권한은 다음과 같습니다.
  1. 유효 권한이 있는 경우, 해당 폴더에 대해 명시적으로 적용된 그룹의 권한입니다.
  2. 명시적으로 적용된 권한이 없는 경우 적용된 권한에 대한 각 그룹의 계층 레벨을 평가합니다. 적용된 권한을 가진 가장 가까운 그룹 계층 레벨에 따라 유효 권한이 판별됩니다. 이 그룹 계층 레벨에 적용된 권한이 두 개 이상 있으면 가장 높은 우선순위로 적용된 권한이 유효 권한이 됩니다. 계층 레벨 판별 시 모든 사용자 그룹은 가장 먼 계층 레벨로 간주됩니다.
  3. 그렇지 않으면 유효 권한은 상위 폴더에 대한 그룹의 유효 권한과 같아집니다. 상위 폴더(예: 공용 조회 폴더)가 없는 경우 유효 권한은 기본값(공용 조회 폴더의 경우 읽기 전용)입니다.

사용자의 유효 권한

폴더에 대한 사용자의 유효 권한은 다음과 같습니다.
  1. 유효 권한이 있는 경우, 사용자가 구성원으로 속해 있는 그룹의 권한 중에서 해당 폴더에 대해 가장 높은 우선순위로 적용된 권한입니다.
  2. 명시적으로 적용된 권한이 없는 경우 적용된 권한에 대한 사용자의 그룹 계층 레벨을 평가합니다. 적용된 권한을 가진 가장 가까운 그룹 계층 레벨에 따라 유효 권한이 판별됩니다. 이 그룹 계층 레벨에 적용된 권한이 두 개 이상 있으면 가장 높은 우선순위로 적용된 권한이 유효 권한이 됩니다. 계층 레벨 판별 시 모든 사용자 그룹은 가장 먼 계층 레벨로 간주됩니다.
  3. 그렇지 않으면 유효 권한은 상위 폴더에 대한 사용자의 유효 권한과 같아집니다. 상위 폴더(예: 공용 조회 폴더)가 없는 경우 유효 권한은 기본값(공용 조회 폴더의 경우 읽기 전용)입니다.

적용 시점 고려사항

사용자 그룹 또는 서브그룹의 폴더 권한 업데이트는 폴더 관리자가 업데이트를 수행하면 현재 Rational ClearQuest 세션에 바로 적용됩니다. 현재 세션과 동일한 복제본에서는 변경이 데이터베이스에 확약된 후 시작된 모든 세션에 업데이트가 적용됩니다. 다른 복제본의 경우 복제본과 현재 세션이 포함된 복제본이 동기화되고 동기화가 완료된 후 시작된 세션에 업데이트가 적용됩니다.

권한 변경사항이 시간 차이를 두고 다른 세션에 적용되기 때문에, 권한이 현재 세션에서 변경된 후 일정 기간 동안 사용자는 관리자가 설정한 권한보다 덜 제한적인 권한으로 데이터베이스에 액세스할 수 있습니다.


피드백