権限

フォルダとリソースの権限は、どのユーザがリポジトリ内でそれを⾒ることができ、どのように扱うことができるかを決定する ものです。以下の表では、ある⾏の権限に与えられるアクションには、それより上の⾏にあるすべての権限のアクション（「ア クセスなし」は除く）が含まれ、それより下の⾏にある権限のアクションはすべて含みません。

Permissions on folders and resources determine what users see in the repository and what actions they are allowed to perform. In the following table, the actions granted for each permission include all of the actions granted for permissions above it, except for the No Access permission. The actions granted for each permission strictly exclude all of the actions granted for permissions below it.

権限 リポジトリのフォルダとリソースに対して⾏えるアクション アクセスなし

No Access

ユーザは、それが直接的なリポジトリへのアクセスであっても、間接的なレポートや OLAP ビューの実⾏であっても、フォルダやリソースを⾒たりアクセスしたりすることはできません。

Users can never see or access the folder or resource either directly in the repository or indirectly when running a report or OLAP view.

実⾏のみ Execute Only

リポジトリ内のフォルダやリソースは⾒ることができませんが、それらにアクセスするレポー トや OLAPビューを実⾏することは可能です。

Users can never see the folder or resource in the repository, but the reports or OLAP views that they run can access them.

読み取り専用 Read Only

任意の JasperReports Serverダイアログで、フォルダやリソースを⾒ることができます。

フォルダやリソースのプロパティを⾒ることができます。

フォルダのコピーと、フォルダ内のすべてのコンテンツを読み出せます。

リソースを、個別または一括してコピーできます。

レポートや OLAPビューを、閲覧（実⾏）することができます。

バックグラウンドでレポートを実⾏できます。

レポートの実⾏をスケジューリングできます。

See the folder or resource in any JasperReports Server dialog See the properties of a folder or a resource

Copy a folder and all of its readable contents Copy resources individually or in bulk View (run) a report or OLAP view Run a report in the background Schedule a report to run later 読み取り＋削除

Read + Delete

フォルダとそのすべてのコンテンツを切り取る（削除する）ことができます。

フォルダとそのすべてのコンテンツを削除することができます。

リソースを、個別または⼀括して切り取る（移動する）ことができます。

リソースを、個別または一括して削除することができます。

Cut (move) a folder and all of its contents Delete a folder and all of its contents Cut (move) resources individually or in bulk Delete resources individually or in bulk 読み取り＋書き込み＋削除

Read + Write + Delete

サブフォルダを追加することができます。

フォルダを貼り付ける（コピーまたは切り取り）ことができます。

フォルダにスケジュール済みレポートの出⼒を保存することができます。

フォルダやリソースの名前を変更し、説明分を変更することができます。

JasperReport リソースをリポジトリに追加する（JRXML をアップロードする）ことがで きます。

リポジトリ内の JasperReport リソースの定義情報を編集する（JRXML を置き換える）

ことができます。

Add a subfolder

Paste into a folder (copy or cut)

Save the output of a scheduled report in a folder

Rename a folder or resource and change its description string Add a JasperReport resource to the repository (upload a JRXML)

Edit the definition of a JasperReport resource in the repository (replace the JRXML) 管理

Administer

フォルダやリソースに（役割やユーザによる）権限を設定することができます。この権限 により、⼀定のリポジトリ管理作業を効果的に代⾏することができます。

Set the permissions (by role and by user) on a folder or resource. This effectively delegates certain repository administration tasks.

管理と フォルダにリソースと追加（作成）することができます。

ROLE_ADMINISTRATOR Administer and

ROLE_ADMINISTRATOR

リソース、例えばレポートユニットの構成要素を編集することができます。

Add (create) a resource in a folder

Edit a resource, for example the components of a report unit

権限は、レポートをフォルダに保存するときにリポジトリにアクセスするダイアログを使った場合と同じように、リポジトリを 閲覧したり検索した時にも適⽤されます。注意事項は以下の通りです。

Permissions apply when browsing or searching the repository, as well as when using any dialog that accesses the repository, such as when browsing folders to save a report. Note that:

コピー操作では、オブジェクトに設定された権限は保持されません。「読み取り専用」オブジェクトをコピーし、「読み取 り＋書き込み」可能なフォルダにそれを貼り付けた後には、それを編集することができます。

Copying does not preserve the permissions on an object. Users may copy a read-only object, paste it into a read-write folder, then edit the object.

コピー操作と切り取り（移動）操作は、ユーザが「読み取り＋書き込み＋削除」権限を持つフォルダに貼り付けた場合に のみ成功します。詳細については、「1.5 フォルダを移動する」（p.14）を参照してください。

Copying and cutting (moving) actions can only be completed if the user has Read + Write + Delete access to the folder in which the object is pasted. For more details, see section 1.5, “Moving Folders,” on page 13.

切り取り操作、削除操作、フォルダの権限の設定操作は、ユーザがすべてのフォルダコンテンツに同じ権限を持っている 場合にのみ可能です。リソースの⼀括切り取りと一括削除は、一括選択されたすべてのリソースに対して少なくとも「読 み取り＋削除」権限を持っている場合にのみ可能です。

Cutting, deleting, and setting permissions on folders is allowed only if the user has the same permission on all folder contents. Cutting and deleting resources in bulk is allowed only if the user has at least Read + Delete permission on all selected resources.

リソースまたはフォルダのコンテンツの削除は、他のリソースがそれに依存していない場合にのみ可能です。

Deleting a resource or the contents of a folder is allowed only if no other resources rely on them.

4.4.3.1 権限の継承

権限仕様に従い、リポジトリ内のそれぞれのフォルダとリソースに、それぞれのユーザと役割の権限が設定されます。権限の定 義を簡単にするために、JasperReports Server では、フォルダやリソースの親フォルダから権限を継承する機能をサポートし ています。あるフォルダまたはリソースについてユーザや役割に対する権限が明示的に設定されていない場合、権限は、その親 フォルダと同一のものになります。フォルダやリソースに明示的に権限が設定されている場合は、その親フォルダから継承され た権限が上書きされます。

According to the permission architecture, there is a permission setting for every user and role on every folder and resource in the repository. To simplify the definition of permissions, JasperReports Server supports the inheritance of permissions from the parent folder of a folder or resource. If permissions on a given folder or resource are not explicitly set for a user or role, the user or role has the same access permission on that folder or resource as they have on the parent folder. When a permission is explicitly set on a folder or resource, that permission overrides inherited permissions on the parent folder.

この仕組みにより、管理者は、⼤きなコンテンツ階層を安全に管理することができます。管理者がユーザや役割に対してフォル ダの権限を明示的に設定したとき、そのフォルダのコンテンツとそのサブフォルダは、明示的に個別の権限が設定されていない 限り、再帰的にその権限を継承します。

Using this mechanism, administrators can manage large hierarchies of content and keep them secure. When the administrator explicitly sets a permissions on a folder for a user or role, the folder’s contents and its subfolders recursively inherit the permissions, unless the subfolders or contents have an explicit setting of their own.

4.4.3.2 権限の累積

権限はユーザと役割の両方に割り当てることができるため、１つまたは複数の役割が割り当てられたユーザは、明示的に設定ま たはフォルダやリソースから継承した複数の権限を持つことがあります。実際、すべての権限は、その規定値が「アクセスなし」

であったとしてもroot で定義されなければならず、そのためすべての役割とユーザのすべてのフォルダとリソースに対する権 限は、継承を通じて設定されています。そのため、すべてのユーザは、すべてのフォルダとリソースに対して、彼ら自身のユー ザベース権限と、ROLE_USER に割り当てられた権限を持ちます。

Because permissions can be assigned to both users and roles, a user belonging to one or more roles may have multiple permissions explicitly set or inherited on any given folder or resource. In fact, every permission must be defined on the

root, even if it has the default value of No Access, and therefore every role- and user-based permission on every folder and resource has a setting through inheritance. Therefore, for every folder or resource, every user has their own user-based permission and the permission assigned to the ROLE_USER.

多数の権限が適⽤されたとき、サーバはどのようにして実際の権限を決定するのでしょうか？サーバ内では、権限は厳密に累積 され、すべての権限の中で最も制限の少ない権限が適⽤されます。より限定的な権限、例えば「アクセスなし」が明示的に設定 されている場合でも、例えば「読み取り専用」のようなより制限の少ない権限が、継承されているか明示的に競って入れている かに関わらず適用されます。

How does the server determine the effective permission from the many that apply? Permissions in the server are strictly cumulative, meaning that the least restrictive among the set of all permission applies. Even if a more restrictive permission, such as No Access, is set explicitly, the less restrictive permission, such as Read-Only applies, regardless of whether it is inherited or set explicitly.

4.4.3.3 「実⾏のみ」権限

JasperReports Server の今回のバージョンでは、リポジトリに対する「実⾏のみ」権限が導入されました。ファイルシステム と同様に、「実⾏のみ」権限はレポートを実⾏したりOLAP ビューを使った際にはリソースにアクセスすることはできますが、

そのリソースをリポジトリで⾒ることはできません。

This release of JasperReports Server introduces execute-only permission to the repository. As in file systems, execute-only permission allows running reports and OLAP views to access a resource, but keeps the resource from appearing in the repository.

「実⾏のみ」権限はフォルダに対しても同様に適用され、ユーザがリポジトリを閲覧しても、それらのフォルダはフォルダツリー には表示されません。これは、それらのフォルダに含まれるリソースが「実⾏のみ」権限を継承しているためです。この機能は、

管理者やデータ分析者（役割）だけがアクセスするべきリポジトリのデータソースなど、フォルダやリソースを隠蔽することに 役⽴ちます。しかしながら、「実⾏のみ」権限があるフォルダの中に「読み取り専用」権限のあるリソースがある場合は、それ らをフォルダから⾒ることはできませんが、偶然に、または検索などで故意に⾒つけることは可能です。

Execute-only permission applies to folders as well, keeping them from appearing in folder tree when users browse the repository, yet still allowing the resources they contain to inherit the execute-only permission. This is useful for hiding folders and resources such as data sources that only administrators and data analyst roles need to access in the repository. However, if your execute-only folder contains read-only resources, those resource are hidden when you browse folders, but can be found, either accidentally or intentionally, when you search the repository.

他の権限と同様に、「実⾏のみ」権限には役割ベースのものとユーザベースのものがあります。従って、一部のユーザがレポー トの実⾏時にリソースへアクセスすることができ、他のユーザはできない場合もあります。

Like other permissions, execute-only permission is either role-based or user-based; consequently, certain users may access a resource from a running report, but other users cannot..

もしリソースの中にあなたの機密コンテンツがあり、それへのアクセスを拒否したい場合には、ユーザまたは役割 に対して「アクセスなし」権限を割り当てて下さい。

If you have data or sensitive content in a resource, set the permissions for users or roles that you want to deny access to No Access.

「実⾏のみ」権限でリソースを隠しても、アクセスに対する保護にはなりません。そのリソース ID を発⾒した悪 意のあるユーザは、その機密コンテンツを展開するレポートや OLAP ビューを作成するかも知れません。

Hiding a resource with execute-only permission doesn’t protect it against access, because malicious users who find the resource ID may be able to create a report or OLAP view that extracts the sensitive content.

4.4.3.4 規定のユーザ権限

管理者ではないユーザの場合、root に対する規定の権限は「アクセスなし」であり、いかなる権限も明示的に割り当てられま せん。実務上、規定のインストールにおけるリポジトリ内のサンプルデータの権限は、「アクセスなし」、「実⾏のみ」、「読み取 り専用」、「読み取り＋書き込み」権限を合わせたものであり、サンプルユーザはフォルダやリソースにアクセスすることができ ます。このサンプルの権限は、権限に対する一般的なアプローチについて説明するものであり、ユーザがアクセスできるリソー スを⾒ることはできても、管理者がフルアクセス権限を持つ限りはそれを隠すことはできないことを説明するものです。

For non-administrator users, the default permission at the root is No Access and any permissions must be explicitly defined. In practice, the default installation of the repository contains sample data with a mix of No Access, Execute-only, Read-only, and Read-write permissions that allow the sample users to access folders and resources. The sample permissions demonstrate a common approach to permissions, allowing users to see the resources they can