intra-mart Accel Platform 2013 Summer(Damask) / リリースノート

«  メニュー   ::   コンテンツ   ::   カレンダー  »

認可

認可設定画面のポリシー設定は即時反映されます。

  • 認可設定画面でのポリシーの設定(許可・不許可)は、即時反映されます。

認可サブジェクトの追加/更新/削除について注意があります。

  • 認可サブジェクトは各機能で共通化されています。
    認可サブジェクトの追加/更新/削除は各設定画面に影響する点に注意ください。

    • 認可設定画面

    • 会社に対する認可設定画面

    • メニューグループに対する認可設定画面

    • ポートレットのアクセス権設定画面
      ※ポートレットのみ、サブジェクトの絞込みが行われています
      • 表示→認証、ユーザ、ロール
      • 非表示→組織、役職、パブリックグループ
    更新/削除は、他の機能で使用されていないことをご確認ください。
    特にサブジェクトの削除については注意が必要です。
    サブジェクトを削除すると、関連してポリシー設定も削除されます。
    このためサブジェクトを削除すると、他の機能で設定していたポリシーも消えます。

Google Chrome の場合、一部画面でスクロールバーが黒っぽい色で表示されます。

  • 認可の権限設定画面やサブジェクト編集画面のスクロールバーが、マウスオーバーしていないときに黒く表示されます。
    マウスオーバーさせることで通常の色に変わります。

router のパスに対する認可の整合性チェックは動的なルーティングでは行いません。

  • router は単体試験環境の場合、初期化時パスに対して異なる認可設定がされていないかのチェックを行います。
    このチェックは動的なルーティングに対しては行いません。
    動的なルーティングとは以下のようなルーティングを指します。
    • PathVariablesを使用するルーティング
    • jssp-routing の folder-mapping によるルーティング
    • service-routing の application-mapping によるルーティング

「/home」の認可設定は別々のリソースとして定義されているため、権限変更時に注意が必要です。

  • 現状 /home は特定のアプリケーションを表していません。
    初期設定状態で /home にアクセスするとポータル(/imart/portal/desktop)を表示する設定となっています。
    これはルーティングテーブルで両方のパスが同じページを指すことで実現していますが、
    認可上では別々のリソースとして定義されていますので権限変更時には注意が必要です。
    ポータルのリソース
    画面・処理
    ポータル
    ポータル表示
    ポータル
    /home のリソース
    画面・処理
    テナント
    デフォルトホーム
    上記のデフォルトの状態の例でいえば、ポータルのリソースのみ認可を禁止したとしても
    デフォルトホームの認可を禁止していなければ /home にアクセスすることでポータルを見ることができてしまいます。

最新の認可設定が反映されない可能性があります。

  • 分散環境でクラスタ間のネットワークに障害が発生した場合、
    障害が発生したノードのキャッシュ情報がクリアされずに古い認可設定でiAPが動作する可能性があります。
    この事象を回避するには以下の選択があります。
    • 運用フェーズでは認可設定の変更を行わない(=キャッシュクリアが発生しない運用を行なう)
    • 障害が発生したノードを特定し、再起動等を行う。
    • 認可設定のキャッシュを行わない
    • 認可設定のキャッシュの生存時間を短くする
    なお、ネットワーク障害等により、あるノードがクラスタから離脱している状態で認可設定変更が実行されると、
    離脱しているノードのキャッシュはクリアされません。
    また、そのノードが再度クラスタに復帰した場合は、
    ノードが離脱する前にキャッシュされていた認可設定でアクセス制御が行われます。

認可設定でメニューグループカテゴリの参照・管理権限を付与・剥奪してもメニュー設定画面の表示には影響しません。

  • 認可設定画面を開き、リソースの種類から「メニュー設定」を選択すると、メニューグループカテゴリとメニューグループのリソース一覧が表示されます。
    初期状態では、メニューグループカテゴリ (例:「グローバルナビ (PC用)」) の参照・管理権限ともに何も設定されていない状態となっています。
    この画面で、メニューグループカテゴリに対して参照・管理権限を設定しても、メニュー設定画面のカテゴリ選択に表示される内容は変化しません (権限設定に関わらず、常に全てのメニューグループカテゴリが表示されます)。

    これは、認可設定画面で表示されるメニューグループカテゴリは、メニューグループをまとめるだけのグループとして登録されており、メニューグループカテゴリ自身を示すものではないからです。
    そのため、メニューグループカテゴリに対して権限を設定しても、配下に登録されているメニューグループに設定が継承されるのみで、メニューグループカテゴリには各権限が設定されません。

メニューに登録されているページの認可リソースを削除した場合、画面アクセス時にシステムエラーが発生します

  • メニューを削除せずに、該当メニューの認可リソースを削除した場合、
    グローバルナビ等のメニューを表示する際に、認可リソースが見つからないため以下のエラーが発生します。

    jp.co.intra_mart.foundation.authz.services.ResourceNotFoundException: [E.IWP.AUTHZ.DECISION.10007] リソースグループが登録されていません。 URI = service://test/test
    メニューの表示される画面全てでシステムエラーとなるため、ほとんどの画面が表示できなくなります。

    メニューを削除せずに、該当メニューの認可リソースの削除を行わないでください。
    (運用時に利用している認可リソースの削除は行わないでください。)

    もし削除してしまった場合は、以下の手順で認可リソースの再登録を行なってください。
    1. 以下のルーティング設定から該当の画面URLを検索し、削除あるいはコメントアウトしてサーバを再起動します。

      <CONTEXT_PATH>/WEB-INF/conf/routing-xxx-config/***.xml

    2. メニュー設定画面で該当のメニューアイテムを削除します。

    3. ルーティング設定を元に戻して、サーバを再起動します。

    4. 認可設定画面で該当の認可リソースを登録します。

    なお intra-mart Accel Platform 2013 Summerより、認可リソース削除時のバックアップ機能が追加されました。
    認可リソースを削除したことで想定外の動作を引き起こしてしまった場合、
    バックアップされたファイルをジョブネット経由で復元することで、認可リソースを削除前の状態に戻すことができます。
    詳細については、「認可仕様書 」の「 リソース削除時のバックアップ 」章を参照してください。

intra-mart Accel Platform で提供している認可リソースは削除しないでください。

  • intra-mart Accel Platform で提供している認可リソースを削除した場合、テナント環境セットアップが正常に動作しない場合があります。
    例えば、プロダクトバージョンが「8.0.0」もしくは「8.0.1」で提供されていた認可リソースを削除したとします。
    その状態で、「8.0.2」以降のプロダクトバージョンを選択したWARファイルでデプロイし、テナント環境セットアップを行なうと、
    テナント環境セットアップが失敗します。

«  メニュー   ::   コンテンツ   ::   カレンダー  »

Copyright © 2013 NTT DATA INTRAMART CORPORATION