RIGHT:[[:t/用語]] [[:t/ロール]] [[:t/グループ]] [[:t/権限]] [[☆]]
RIGHT:[[:t/用語]] [[:t/ロール]] [[:t/グループ]] [[:t/権限]] 

ロールは権限を集めたページ。グループは利用者の上位ページ。
権限を利用者に与えるように、ロールをグループに与えられる。

ロールの内容はページ/属性なので継承可能。
属性/継承を使って、新しいロールをグループに与えることで、多数の権限を多数の利用者に与えたり、剥奪したりできる。



*** %%グループに含まれる利用者についてはページ/属性に書く%% [#xeb703f9]
属性/継承できるのは属性のみ。%%グループに含まれる利用者というのはページ/属性でなければならない。どう表現するか?%%
%%→ 利用者のページ/属性にグループ名を書く。あとは参照側で対応。%%
グループは利用者の上位ページで継承元。グループと利用者に区別なし。
ロールは権限(鍵)を集めた単一ページ。このページを扱うための権限(錠)は通常のページと同様にある。
*** グループにロール名を書く [#g364a473]
利用者に権限名を与えるように、グループにロール名を与える。(そして利用者に権限名でなくグループ名を与える)
グループ×ロール名を書くためのページを用意する方法もあるけど、ロール/グループごと組み合わせを変えられたほうが運用に合いそう。

参照順序は利用者→グループ→ロール→権限、または利用者→ロール→権限。
ということはグループとロールは同じ型?グループ→ロール間は一方的。組もうと思えばグループ←→ロールの双方向関連にもできる型になる?
*** %%区別しない%% [#j266934a]
%%実装上は区別しないほうが良さそう。「グループ」%%「ロール」と言うよりは「権限セット」と呼ぶべき。それにロールっぽい名前を付けたり%%、利用者グループっぽい名前を付けたり%%するのは自由。どう呼ぶかは運用の問題。

- 利用者→権限(鍵)
- ページ→権限(錠)
- 利用者→グループ→ロール→権限(鍵)

集めた権限を照合して、鍵と錠が揃えば「権限あり」と判定。
*** 実は不要 [#h0347b50]
基本は権限を直接コピペすること。グループ/ロール/権限/継承は手間を省くためのもの。



*** 複数グループに所属するときは、利用者ページの別名を作る [#bf0194f8]
グループをネストするときはグループ自体がそういう位置付けになっているとき。所属する利用者の都合でグループに手を加えないこと。
同じ利用者が複数のグループに属するときは、利用者ページの別名を作る。別名のほうを第二のグループに所属させる。

ページ名の問題なので、別のページ名を作って解決。