ルールを作成していくと、最終的には重複するルールが存在するようになります。つまり、2 つ以上のルールに規定されている条件が同じユーザー (複数可) を対象にすることがあります。ルールが重複する場合はアクセス権を提供するルールが優先されます。
2 つのルールが重複する場合、通常は以下のタイプの重複が起こります:
- 同一
双方のルールがユーザーに読み取りアクセス権を提供します。この場合は読み取りアクセス権が提供されます。
- 補足
1 つのルールで読み取りを提供し、もう片方のルールでは更新を提供します。この場合、ユーザーには読み取りと更新の双方のアクセス権が提供されます。
QMC の監査ページでは、リソースに適用されるーザー セキュリティ ルールを確認できます。
ルールの効果もプレビューできます。
例1:
例えば、「 条件のうちひとつのプロパティ値ペア:」では、Active Directory グループ「Finance」に属するユーザーが四半期業績ストリームを読み取れるようにするルール (ルール 1) を作成しました。別のルール (ルール 2) でも、Active Directory (AD) グループ「経営陣」に属するユーザーが四半期業績ストリームに読み取りアクセス権を付与すると想定します。
最後に、Active Directory グループ「営業」と「経営陣」の双方に営業部長が属していると想定します。
| 結果 | ルール 1 | ルール 2 |
|---|---|---|
| ユーザーは以下が可能 | 読み取り | 読み取り |
| 対象リソース | 四半期報告書ストリーム | 四半期報告書ストリーム |
| 前提 | group=Finance | group=Management |
| 評価結果 | FALSE | TRUE |
| 結果的に営業部長が得たアクセス権 | 読み取りアクセス権の提供 | 読み取りアクセス権の提供 |
例2:
英国の財務オフィスが、英国四半期見通しと呼ばれるアプリを四半期報告書ストリームに公開しました。このアプリで読み取りアクセス権のあるユーザーは英国オフィスの財務ユーザーのみにしたいと考えています。この目的で、英国の管理者はルール 3 を作成し、AD グループ「財務」と英国オフィスに属するユーザーのみに読み取りアクセス権があると明示的に規定します。また、例 1 のルール 2 や、すぐに利用できるストリーム ルールもあると想定します。
この場合、英国の財務は、営業部長が英国四半期報告書アプリを読み取れないものと想定している可能性があります。ただし、ルール 2 では経営陣が四半期報告書ストリームを読み取ることができ、ストリーム ルールではこのストリームに読み取りアクセスのあるユーザー全員がこのストリームのあらゆるアプリを読み取れるため、これは「True」ではありません。
| 結果 | ルール 3 | ルール 2 | ストリーム ルール |
|---|---|---|---|
| ユーザーは以下が可能 | 読み取り | 読み取り | 読み取り |
| 対象リソース | 四半期報告書ストリームで公開された英国の四半期報告書 | 四半期報告書ストリーム | ストリームのすべてのアプリとシート |
| 前提 | group=Finance AND office=UK | group=Management | ユーザーはストリームの読み取りアクセスがあります |
| 評価結果 | FALSE | TRUE | TRUE |
| 結果的に営業部長が得たアクセス権 | 読み取りアクセス権の提供 | 読み取りアクセス権の提供 | 読み取りアクセス権の提供 |