システム管理者のチケット参照を制限したい

[bonbarus]

Ｒedmineのシステム管理者であっても、メンバー登録されていないプロジェクトのチケット参照を
制限することは可能でしょうか？

新規トラッカーやワークフローの作成を許可するため、一部利用者にシステム管理者の権限を与えています。
上記のユーザは、全プロジェクトのチケットを参照可能ですが、プロジェクトごとにチケット参照を制限したいと
考えています。

[mschibata]

もし 「システム管理者」かつ「非プロジェクトメンバー」という条件で、プロジェクトのチケットを表示できないようにしたとして...

 

「システム管理者」の権限を与える → 「管理」メニューの「プロジェクト」や「ユーザ」メニューが使えてしまう... ということを意味していませんか？

 

そこから「非プロジェクトメンバー」 → 「プロジェクトメンバー」に変更できてしまいますよね？

 

改造するにしても方向性が違うような気がします。

＃もちろん、そんな機能は用意されていないと思いますが...

 

「トラッカー」や「ワークフロー」を「管理」メニュー経由ではなく、直接 URL で呼び出したとき、「システム管理者」権限のチェックをスルーするような改造なら、コードを追っていけば何とかなりそうな (該当部分をコメントアウトするくらいで済みそうな) 気はしますが...

 

私の知る範囲では、とりあえずすぐ思いつくのはこのあたりかと...

 

ほかの方からのコメントを待ちましょう。

[bonbarus]

ご返答、ありがとうございます。

ご提案のように、管理者限定の機能を一般利用者に公開する方法はありだと思います。
ただ、「システム管理者は一般社員に任せたまま、管理職だけがアクセス可能なプロジェクトを作りたい」といった場合、
この要望に対する解決策が思いつきません。（条件追加でスミマセン）
やはり非メンバーにチケットを見せない仕組みが要ると思うのですが、いかがでしょう？
メンバー登録されたときにプロジェクトの管理者にメールが届く仕組みにすれば、不正なメンバー登録行為は抑止
できると思います。

[mschibata]

今回のシステム設計レベルのお話とは違った切り口にはなってしまいますが...

 

データベースパスワードを知っている or サーバー機に対し、Redmine の起動停止、コードの変更ができるレベルのシステム管理者が管理職でなければ、管理職以外の者による情報への到達は防ぎようはありません。

＃データベース上に平文でデータが書いてあるし...

 

システム管理者なのだから、プロジェクトの管理者にメールが届く仕組みが管理画面でオンオフできるなら切ってからメンバー登録できてしまいますし、オフできない作りにしたとしても、何でしたら config/email.yml をいじくってから登録してもできてしまうわけで...

 

それを承知の上でなら提案されるのは別に構わないと思いますが、とにかく今はそういう機能はないのではないかと思います。

 

私はアプリレベルのセキュリティ設計をやっていたことがあって、同じような要求を何度も聞いたことがありますが、結構難しいですし、手間がかかることもあってあまり一般的でもありません。

＃いくら手間がかかってもよい、「セキュリティ命」のシステムを設定するのでなければ、あるレベル以上は契約だったり教育だったりで押さえる方が一般的でしょう。