アクセス権の割り当て

Current version: 10.1

Sitecore では、セキュリティ アカウントにアクセス権を割り当てて、Sitecore のアイテムと機能に対するユーザーのアクセス権を決定できます。たとえば、セキュリティ アカウントのアクセス権により、アイテムを作成する権限、アイテムを削除する権限、またはワークフローを通じてアイテムをプッシュする権限をユーザーまたはロールが持つかどうかを決定できます。

各アクセス権は、次の 3 つの可能な設定のいずれかになっています。

  • 許可 – 選択したアカウントに対して関連するアクセス権を付与します。

  • 拒否 – 選択したアカウントに対して関連するアクセス権を拒否します。

  • 継承 – アクセス権の付与も拒否も行いません。代わりに、この設定を使用して、親アイテムに割り当てられているアクセス権を継承する権限をアイテムに対して許可または拒否できます。

Sitecore では、アイテムにアクセス権を割り当てると、コンテンツ ツリー内の親アイテムに割り当てられているアクセス権がアイテムによって常に継承されます。ただし、必要に応じて、アイテムにアクセス権を明示的に割り当てるか、アイテムに対して継承の権限を拒否することで、アイテムの継承された権限を無効にすることができます。

ユーザーではなくロールへのアクセス権の割り当て

ユーザーとロールの両方にアクセス権を割り当てることができます。ただし、ユーザーをロールのメンバーにし、ユーザーではなくロールにアクセス権を割り当てると、メンテナンスが簡素化されます。このように、個々のユーザー アカウントではなく、ロールにメンバーシップを割り当てたり削除したりすることで、複数のユーザーにアクセス権を割り当てたり取り消したりできます。

たとえば、従業員が会社を辞めるか、別の部門に異動した場合は、特定のロールからそれらの従業員を削除し、他のロールのメンバーにするだけです。同様に、新しい従業員を雇うときは、関連するアクセス権を持つロールのメンバーにするだけです。

ロールにアクセス権を割り当てるだけで、必要に応じてユーザーの個々のアクセス権を簡単に制御することもできます。たとえば、限られた期間内に特定のアイテムにユーザーがアクセスできるようにする場合、ユーザーが属するすべてのロールを調べる必要はありません。ユーザーのセキュリティ アカウントに、関連するアクセス権を付与するだけで済みます。この設定は、ユーザーがメンバーになっているロールに指定されたアクセス権よりも優先されます。標準設定に戻すには、ユーザーのセキュリティ アカウントから、指定されたアクセス権を削除するだけです。

競合するアクセス権

ユーザーはさまざまなロールのメンバーになることができ、ロールは他のロールのメンバーになることもできます。ロールが別のロールのメンバーである場合、両方のロールのアクセス権が組み合わされて、これらのロールのメンバーであるユーザーに、両方のロールの累積したアクセス権が付与されます。

ユーザー アカウントとロールの間に競合するアクセス権がある場合は、次の一般的なルールが適用されます。

  • アクセス権拒否許可を上書きします。

  • セキュリティ アカウント – ユーザー アカウントに割り当てられているアクセス権は、ロールに割り当てられているアクセス権を上書きします。

  • アイテム – アイテムに明示的に割り当てられているアクセス権は、親アイテムの子孫に指定されたアクセス権を上書きします。

    アイテム、またはアイテムの子孫に明示的に割り当てられているアクセス権は、継承アクセス権を上書きします。

    ルール

    アクセス権が指定されていない場合は、拒否されます。

    アクセス権のデフォルト値は拒否です。したがって、アイテムにアクセス権が指定されていない場合、セキュリティ アカウントはそのアイテムにアクセスできません。

    継承アクセス権に何も指定されていない場合、継承は許可されます。

    継承アクセス権のデフォルト値は許可です。したがって、継承が拒否されない場合、アイテムはその祖先からアクセス権を継承します。

    拒否許可よりも優先されます。

    ユーザーが 2 つのロール (アイテムへのアクセス権を明示的に付与するロールと、アイテムへの同じアクセス権を明示的に拒否するロール) のメンバーである場合、ユーザーはアクセス権を拒否されます。

    これは、継承アクセス権にも適用されます。

    ユーザー アカウントに割り当てられているアクセス権は、ロールに割り当てられているアクセス権よりも優先されます。

    アイテムへのアクセス権がユーザー アカウントに付与されているが、ユーザー アカウントがメンバーであるロールに対して拒否されている場合、ユーザーはアクセス権を付与されます。

    ユーザー アカウントのアイテムに明示的に割り当てられているアクセス権は、ユーザーがメンバーになっているロールのアイテムに割り当てられているアクセス権よりも優先されます。

    ユーザーが複数のロールのメンバーであり、これらのロールの 1 つがアイテムへのアクセス権を明示的に拒否されている場合、ユーザーはアクセス権を拒否されます。ただし、ユーザーのセキュリティ アカウントに同じアイテムへの同じアクセス権が明示的に付与されている場合、ユーザーはアクセス権を付与されます。

    ユーザー アカウントに明示的に割り当てられているアクセス権は、ユーザーがメンバーになっているロールに明示的に割り当てられているアクセス権よりも優先されます。

    ユーザー アカウントにアイテムの子孫へのアクセス権が明示的に付与されており、ユーザーがメンバーになっているロールの 1 つが、アイテムの子孫への同じアクセス権を明示的に拒否されている場合、子孫アイテムへのアクセス権は付与されます。

    アイテムについてユーザーまたはロールに明示的に付与されたアクセス権は、親アイテムの子孫に割り当てられている継承アクセス権およびすべての権限よりも優先されます。

    ユーザーが 2 つのロール (アイテムへのアクセス権を継承することをユーザーに許可しないロールと、同じアクセス権を明示的に付与するロール) のメンバーである場合、ユーザーはアクセス権を付与されます。

Do you have some feedback for us?

If you have suggestions for improving this article,