権限と権限の継承について

EDBでは情報の読み，書き，作成，消去の権限レベルに

○ public (公開)

ワールドワイドに権限を開放．

読み: 学内外を問わず世界中に公開可能な情報として扱われる．

○ university (学内)

学内に権限を開放．（クライアントのIPアドレスによる）

読み: 学内からのWWWアクセスに関して公開する．また，主として学内で閲覧される文書の作成に利用される．

○ user (ユーザ)

EDB利用者(EDBにログインできる)に限定する．

読み: EDBにログイン可能な利用者にのみ閲覧可能である．

○ personnel (職員)

職員に限定する．

読み: EDBにログイン可能な利用者でかつ職員にのみ閲覧可能である．

○ teacher (教官)

教官に限定する．

読み: EDBにログイン可能な利用者でかつ教官にのみ閲覧可能である．

○ limited (制限)

情報の登録される権限委譲構造で辿れる利用者に限定する．

読み: EDBにログイン可能な利用者でかつ権限委譲構造で辿れる利用者にのみ閲覧可能である．

○ owner (所有者)

情報の所有者のみに限定する．

読み: EDBにログイン可能な利用者でかつ情報の所有者にのみ閲覧可能である．

○ staff (管理者)

管理者のみに限定する．

読み: EDBの管理者にのみ閲覧可能である．

の8段階を設定しています． また，このほかに，テーブルのカラムやデータには，

○ inherit (継承)

テーブルやカラムのデフォルトの権限レベルに従う．

読み: テーブルやカラムのデフォルトの権限レベルで決められた範囲で閲覧可能である．

が設定されることがあります．

• 利用者が教官，職員であるかどうかは，EDBに登録されている【組織】情報のなかで，本学の【組織】情報の下の【組織】情報の[構成員]に登録されており，かつ，
  • [構成員].[肩書]として教授，助教授，講師，助手のいずれか定義されているときを教官とする．
  • [構成員].[肩書]として教授，助教授，講師，助手，客員教授，教務員，技術補佐員，教務補佐員，事務補佐員，文部科学技官，文部科学事務官のいずれかが定義されているときを職員とする．
  のように判断しています．各【個人】情報に登録されている[肩書]とは違いますので注意してください．
• 【個人】.[肩書]は本人が変更することができます．そのような情報を権限の識別に利用することはできません．

各テーブルには，登録される情報(tuple)のデフォルトの権限レベルが

• 情報(tuple)の作成権限レベル
• 情報(tuple)のデフォルトの読み権限レベル(*)
• 情報(tuple)のデフォルトの書き権限レベル(*)
• 情報(tuple)のデフォルトの消去権限レベル(*)
• 項目(column)の作成権限レベル
• 項目(column)のデフォルトの読み権限レベル(*)
• 項目(column)のデフォルトの書き権限レベル(*)
• 項目(column)のデフォルトの消去権限レベル(*)

のそれぞれについて設定されています． (*)については，その情報(tuple)，項目(column)の権限設定において，INHERITが指定された場合に参照されます．

各情報(tuple)，項目(column)には

inherit	継承	テーブルのデフォルトの権限レベルを継承
university	学内	学内に権限を開放．
user	ユーザ	EDB利用者(EDBにログインできる)に限定する．
personnel	職員	職員に限定する．
teacher	教官	教官に限定する．
limited	制限	情報の登録される権限委譲構造で辿れる利用者に限定する．
owner	所有者	情報の所有者のみに限定する．
staff	管理者	管理者のみに限定する．

のいずれかが設定されます．

ある利用者が権限を持つか否かは，以下のように判定されます．

	P := 情報，項目の権限
	IF ( P=INHERIT ) THEN
		P := テーブルに登録されているデフォルトの権限
	ENDIF
	IF ( P=PUBLIC ) RETURN (権限あり)

	IF ( P=UNIVERSITY) THEN
		IF ( 学外からの接続 ) RETURN (権限なし)
		IF ( 学内からの接続 ) RETURN (権限あり)
	ENDIF

	IF ( NOT ログイン ) RETURN (権限なし)

	IF ( P=USER ) RETURN (権限あり)

	IF ( P=PERSONNEL ) GOTO LABEL_PERSONNEL:
	IF ( P=TEACHER ) GOTO LABEL_TEACHER:
	IF ( P=LIMITED ) GOTO LABEL_LIMITED:
	IF ( P=OWNER ) GOTO LABEL_OWNER:
	IF ( P=STAFF ) GOTO LABEL_STAFF:

LABEL_PERSONNEL:
	IF ( ユーザの肩書が職員 ) RETURN (権限あり)

LABEL_TEACHER:
	IF ( ユーザの肩書が教官 ) RETURN (権限あり)

LABEL_LIMITED:
	IF ( 権限委譲により利用者に到達 ) RETURN (権限あり)

LABEL_OWNER:
	IF ( 利用者=情報の所有者 ) RETURN (権限あり)

LABEL_STAFF:
	IF ( 管理者 ) RETURN (権限あり)

	RETURN (権限なし)

EDBでは項目毎に情報の読み書きを制限できるように，各項目毎に情報(tuple)の内容に関する権限レベルを

inherit	継承	テーブルのデフォルトの権限レベルを継承
university	学内	学内に権限を開放．
user	ユーザ	EDB利用者(EDBにログインできる)に限定する．
personnel	職員	職員に限定する．
teacher	教官	教官に限定する．
limited	制限	情報の登録される権限委譲構造で辿れる利用者に限定する．
owner	所有者	情報の所有者のみに限定する．
staff	管理者	管理者のみに限定する．

のように設定しています．

原則として，ワールドワイドに公開されるべき情報については，読み権限が最終的にPUBLICでなくてはいけません．

PUBLICな読み権限を持つ情報のみが公開用のデータベースに反映され，工学部WEB頁の作成に利用され，また動的な検索対象となりえます．

PUBLICでない情報は，EDBにログインした利用者もしくは限定された利用者間での相互参照にのみ利用可能です． いずれの場合にも，EDBへのログインが必要です．