Oracle Blogs 日本語のまとめ: [IRM] IRM Item Codes

多くの同僚がIRMのitem code(アイテムコード)について最近尋ねてくるようになりました。「これは何のためにあるの？」「いつ役に立つの？」「お客さまの要件にどうやってあわせるにはどうすればいいの？」これはかなり大きなトピックですがここではいくつかの回答をするにとどめます。
アイテムコードはシールされた各ドキュメントのメタデータにデフォルトで含まれるものです。アイテムコードはファイルをシールしたときに決まり、通常はタイムスタンプとファイル名の組み合わせになります。
この時間・名前の組み合わせはアイテムコードが各々の新しい文書に対してユニークになる傾向がありますが、実際にはアイテムコードはユニークである必要はありません。ほとんどのユースケースでは、アイテムコードはユーザ権限の評価に使われることはありません。コンテキスト名がメタデータ中の重要な項目なのです。ユーザは通常、アイテムコードにかかわらず、情報の区分全体に対するアクセスが許可されるロールを持っています。これがOracle IRMソリューションが簡潔にして高い管理性を持つ鍵なのです。
アイテムコードは時としてUIの中に出てきますが、ほとんどのユーザはたぶん気にすることもないでしょう。とはいいながら、どうすればアイテムコードを確認できるか、ご覧にいれたいと思います。シールされたファイル上にマウスポインタをもっていってみてください。

ご覧の通り、タイムスタンプとファイル名でアイテムコードができていることがわかります。

ではなんのためにあるの？
第一のメリットはコンテキスト用に定義したポリシーに対する例外を管理できることです。これにより、あらゆるoracle - internalファイルにアクセスできるようになります（ただし 2011_03_11 13:33:29 Board Minutes.sdocx は除く）。
この単純なメカニズムにより、Oracle IRMは必要に応じてファイルごとの制御を可能にする一方で、大多数のユーザやコンテンツを区分ベースで制御する上で拡張性と管理性を提供します。ファイルを個別に管理したくないと思ってらっしゃるでしょうが、それって絶対と言い切れますか？

アイテムコードを逆の目的で使うこともできます。通常はアクセスを拒否するロールである場合に、ユーザ権限にファイルを含める、というやり方です。つまり、特定のアイテムコードにのみアクセスを可能とするようなロールを割り当てることができるのです。例えば、が正確に一つのファイル（先ほどのファイル）だけアクセス可能とするようなロールも可能です。

では、どのようにアイテムコードをセットするの？

ほとんどの場合、アイテムコードはシールする際に自動的にセットされます。シールのためのAPIはタイムスタンプとファイル名を使いますが、ユーザが意識する必要はありません。APIは自動的に実用的な目的でユニークになるようなアイテムコードを生成します。アイテムコードは、管理UIから権限を見たり割り当てるときに参照したいと思っているユーザにとってわかりやすいものです。適切に認可されたユーザおよびアプリケーションがアイテムコードを手動もしくは必要であればプログラムから設定することも可能です。

アイテムコードをIRMデスクトップから手動で設定する

手で設定するプロセスは、シールのタスクを少々拡張します。認可されたユーザは「Advanced...」を選択してシールのオプションを選択できます。するとアイテムコードを指定できるオプションのダイアログが開きます。

このオプションを使う場合、ユーザロールにアイテムコードを設定する権利が必要です。ほとんどのユーザにアイテムコードのことを考えさせたくないので、デフォルトではこのオプションは隠されています。

アイテムコードをプログラムで設定する

より一般的なユースケースとしては、アプリケーションがアイテムコードをプログラムで管理するということです。例えば、ワークフローの一環でドキュメントをシールするドキュメント管理システムがアイテムコードをドキュメントのユニークな識別子に合わせて、リポジトリに格納する、というような場合です。IRMの権利の評価機能をドキュメント管理システムに定義されたセキュリティモデルと直接結びつけるためのオプションを提供します。再度言いますが、ドキュメントをシールするアプリケーションにはアイテムコードの設定が認可されている必要があります。

給与明細のシナリオ

アイテムコードが実際にどのように使われるかを表す完全な例として人事のワークフロー、例えば給与明細のワークフローを考えてみましょう。ゴールはHRチームが全従業員の給与明細書へアクセスできることですが、従業員は個々人の給与明細にのみアクセスできる必要があります。これを実現するために、PayslipsというIRM分類を持つことになるでしょう。HRチームは通常すべての給与明細にアクセスできますが、各従業員には特定のアイテムコードをもつファイルにのみアクセス可能というアイテム読み取りを与えます。アイテムコードは従業員番号に一致するものとすれば、従業員番号123123123の従業員はそのアイテムコードを持つファイルにアクセスすることになります。これがアイテムコードが一意である必要がない理由です。管理の簡便性のために、意図的に同じコードを複数のファイルに設定することができるのです。

従業員は給与明細のシールを外したり、印刷することができますので、このソリューションはセキュアな配信メカニズムとして機能します。　会社のe-mailで給与明細を配信しても、IT管理者がアクセスしたり、うっかり意図した受信者以外に転送されたりしても情報漏洩しないのです。

残る部分は、個々人の給与明細がシールされている場合に正しいアイテムコードが割り当てられていることを確保することですが、これは簡単なIRMシールアプリケーションで容易に管理できます。月々、従業員の給与明細は同じアイテムコードでシールされるので、ユーザがアクセスするアイテムのリストをメンテナンスし続ける必要はありません。従業員コードを使っているすべてのドキュメントにアクセスできます。

原文はこちら。
http://blogs.oracle.com/irm/entry/irm_item_codes_what_are_they_f

Oracle Blogs 日本語のまとめ

[IRM] IRM Item Codes – what are they for?

0 件のコメント:

コメントを投稿