権限の継承および従属ロール
Pega Platform™の他のルールタイプと同様、親クラスで設定された権限は子クラスに継承されます。 たとえば、Work- クラスで設定された権限は、Work-Claim、Work-Claim-Boat、および Work-Claim-Boat-Serviceのインスタンスに適用されます。 ただし、いくつかの権限についてはユーザーロールごとに異なる場合があります。 たとえば、一部のユーザーで特定のケースタイプでレポートを実行するものの、他のケースタイプではレポートを実行しない、という場合があります。 Pega Platformでは、デベロッパーは親クラスのアクセス制御設定を継承して権限管理を簡素化できます。これにより、他のすべての権限設定をデフォルト設定のままにして、カスタマイズが必要な権限のみをオーバーライドできます。
デフォルトアクセスロール
Pega Platformでは、新しいアプリケーションを作成する際に管理者、作成者、マネージャー、ユーザーのアクセスロールが作成されます。 各アプリケーション固有のロールは、Pega Platformのコア機能の一部として提供される標準のアクセスロールからパーミッションが継承されます。 パーミッションが継承される標準のアクセスロールは、従属ロールと呼ばれます。
従属ロールを使用すると、特定のパーミッションが必要なユースケース向けにアクセス制御をカスタマイズできますが、それ以外の場合は、標準のアクセスロールから継承されたパーミッションを保持できます。 従属ロールを使用すると、アプリケーション間でパーミッションを標準化し、アクセス制御モデルの保守性を向上できます。
標準アクセスロール
デフォルトでは、Access Role Nameレコードは、少なくとも1つの標準アクセスロールを従属ロールとして参照します。 たとえば、アプリケーション用に作成された:Authorロールは、標準のPegaRULES:SysAdm4ロールに基づいており、アプリケーションデベロッパー用のデフォルトのアクセス制御設定を一覧表示します。
Pega Platformで提供される標準のアクセスロールの例は以下のとおりです。
| アクセスロール名 | 目的 |
|---|---|
| PegaRULES:SysAdm4 | デベロッパーに全部の機能を付与する |
| PegaRULES:User1 | アプリケーションユーザーの機能を制限し、自分のワークリスト以外ではアサインメントを実行できないようにする |
| PegaRULES:User4 | ユーザーにより広範な権限を付与し、アプリケーションの任意の作業オブジェクトを開けるようにするものの、自分のワークリスト以外ではアサインメントを実行できないようにする |
| PegaRULES:WorkMgr4 | ワークマネージャーにすべての機能を割り当て、委任された規則を表示して更新できるようにする |
| PegaRULES:SysArch4 | プロセス、クラス、およびプロパティを定義するビジネスアナリストまたはシステムアーキテクトが、アクティビティを開発できるようにする |
補足: その他のアクセスロール名の詳細については、「Standard access roles」を参照してください。
アクセスロール名レコードに設定されたパーミッションは、すべての従属ロールに設定されたパーミッションをオーバーライドします。 アクセスロールに適用されている従属ロールを表示するには、アクセスロール名レコードで「Manage dependent roles」をクリックします。
補足: クラスのパーミッションが従属ロール間で異なる場合、順序が関係します。 関係するAccess of Role to Objectインスタンスが、従属ロールリストのアクセスを明示的に拒否または許可すると、アクセスチェックが停止されます。
アクセスロールの従属ロールでのカスタマイズ
再利用性と変更を考慮して開発を行うには、アクセスロールのデフォルト権限でスタートし、必要な権限のみカスタマイズします。 Pega Platformでは、アクセスロールの1つ以上の従属ロールをカスタマイズできます。
アクセスロールの少数のクラスをカスタマイズするには、アプリケーション階層の適切なクラスレベルでAccess Role to Object(ARO)レコードをカスタマイズします。
注: アプリケーションレベルでAROを設定すると、従属ロールの対応するAROがオーバーライドされ、従属ロールのAROに対する変更はすべて無視されます。
アクセスロールを設定する場合は、まず権限をカスタマイズするアクションとクラスについて検討します。 次に、標準のアクセスロールで設定されているデフォルトのパーミッションを使用できるかどうかを検討します。 これが使用できる場合、それ以上カスタマイズする必要はありません。 ただし、をカパーミッションスタマイズする必要がある場合は、適切なクラスレベルでAROレコードをカスタマイズするようにします。
たとえば、監査人に対して「Work-Claims-Auto」クラスと「Work-Claims-Boat」クラスのケースタイプとその子ケースに対する表示限定アクセスを付与するという要件がある場合、「Work-Claims」クラスでAROを設定します。
次の画像で、「+」アイコンをクリックすると、アクセスロールのカスタマイズの詳細が表示されます。
以下のインタラクションで理解度をチェックしてください。
このトピックは、下記のモジュールにも含まれています。
- アクセス制御 v3
If you are having problems with your training, please review the Pega Academy Support FAQs.