QA #946
未完了
PJ間共用カスタムクエリをadmin以外が作成/編集したい。
0%
説明
本記事は、Qiitaにも公開してみました。(画面コピー他、大分修正)
https://qiita.com/y503Unavailable/items/2721608ef372f422b5d0
■現象/要望¶
Redmineでは、PJ間で共用するカスタムクエリの作成及び編集操作は、adminのみ可能に設計されている。(Redmine3.4, 4.0時点)
この事は、結果的に下記問題を招く場合がある(特に大規模環境)
・adminへの作業負荷集中
・admin権限割当者の増加
・PJ間共用カスタムクエリの作成/編集機能は、ユーザで作業完結しないため、積極的に利用されない。
(adminにいちいち頼まなければならないため心理的障壁になる)
これにより、同一カスタムクエリを各PJで個別に作成→作業負荷増加、作業ミス増加
この問題の解決策として、PJ間共用カスタムクエリをadmin以外が作成/編集可能としたい。
本家チケット起票済
Allowing non-admin to create/edit custom queries shared among projects
http://www.redmine.org/issues/31349
なお、カスタムクエリのPJ間共用自体については、 #250 参照(PJのRole指定利用)
■解決策¶
操作者=カスタムクエリ作成者の場合、admin同様に無条件にカスタムクエリを編集可能とする処理を追加する。
カスタムクエリの表示制御は、各PJのロール割当により行う。(現行機能)
#本解決策は、現行Redmineに対して最小の変更で対処することを意識して作成した。
#システム単位のロール割当、DB設計変更を実施すれば、より一貫性を持って実装できる。
■Redmine本体のコード変更¶
下記3ファイル-4行の変更で可能
app/models/query.rb
app/controllers/queries_controller.rb
app/views/queries/_form.html.erb
3.4用修正は下記参照
https://github.com/y503unavailable/redmine/issues/28
app/models/query.rb¶
操作者=クエリ作成者の場合、無条件にカスタムクエリを編集可能とする処理を追加
(self.user_id == user.id))
def editable_by?(user)
return false unless user
# Admin can edit them all and regular users can edit their private queries
> return true if user.admin? || (self.user_id == user.id)
< return true if user.admin? || (is_private? && self.user_id == user.id)
return true if user.admin? || (is_private? && self.user_id == user.id)
# Members can not edit public queries that are for all project (only admin is allowed to)
is_public? && !is_global? && user.allowed_to?(:manage_public_queries, project)
end
app/controllers/queries_controller.rb¶
adminまたはPJ内クエリ以外の場合、強制的に個人単位クエリに再設定している処理を回避した。
def update_query_from_params
< if User.current.allowed_to?(:manage_public_queries, @query.project) || User.current.admin?
> if User.current.allowed_to?(:manage_public_queries, @query.project) || User.current.admin? || @query.user == User.current
app/views/queries/_form.html.erb¶
カスタムクエリ編集画面の表示権限設定部分、adminのみ/クエリ作成時のみ表示している箇所を、クエリ作成者にも表示するように変更した。
< <% if User.current.admin? || User.current.allowed_to?(:manage_public_queries, @query.project) %>
---
> <% if User.current.admin? || User.current.allowed_to?(:manage_public_queries, @query.project) || @query.user == User.current %>
< <%= check_box_tag 'query_is_for_all', 1, @query.project.nil?, :class => (User.current.admin? ? '' : 'disable-unless-private') %></p>
---
> <%= check_box_tag 'query_is_for_all', 1, @query.project.nil?, :class => (true ? '' : 'disable-unless-private') %></p>
■ カスタムクエリ作成-PJ共用化手順¶
事前準備¶
(admin)
・カスタムクエリ表示制御に用いるロールを作成する。
(PJ-admin)
・カスタムクエリの作成者に、PJ内のクエリ作成/保存権限を割り当てる。
・カスタムクエリの利用者に、PJ内のクエリ表示用ロールを割り当てる。
PJ間共有カスタムクエリ作成¶
クエリ作成者:(PJのクエリ作成、クエリ保存の権限が必要)
・PJ内でカスタムクエリを作成する。
・「全プロジェクト向け」をチェックする。
・「表示」-「次のロールのみ」、クエリ利用許可するロールを選択する。
・カスタムクエリを保存する。
PJ間共有カスタムクエリ編集¶
カスタムクエリを編集し保存する。
表示権限変更も可能(ロール制御/作成者本人のみ/制限無)
本操作は、カスタムクエリ作成者またはadminが可能。
(PJ間共用のカスタムクエリは、PJに所属しないため、PJ内のクエリ編集/保存ロールによりアクセス制限できない。代用としてカスタムクエリ作成者のIDを利用している)
■対応状況¶
Redmineソース変更+運用により対処可能
■補足¶
運用効率化¶
各カスタムクエリを表示制御するロールの権限は、PJ単位に設定する必要がある。
多数のPJで共用する場合、PJ間のメンバー継承、ユーザグループ単位のロール割当の利用が必要と思われる。
多数のPJへのロール一括設定は下記参照
多数のPJ(階層/名称)に、メンバー登録+ロール設定を一括設定したい
https://redmine.tokyo/issues/723
機能改善¶
クエリ編集画面にて、クエリ作成者の表示/編集機能を追加する事が望ましいと思われる。
クエリ作成者の変更は、adminまたはクエリ作成者本人
(カスタムクエリ作成者IDは、queriesテーブルのuser_id に格納されている。)
admin以外の、すべてのユーザー/全プロジェクト向けカスタムクエリ作成は、不可とした方が良いかもしれない。(意図せずに作成/公開しSEC問題を招く事も考えられる)
SEC面考察¶
本変更は、PJ間共用クエリ作成権限を性善説でadminのみから変更している。
adminのみ設定可能とすることで抑制している問題が、顕在化する事も考えられる。
・他PJと同一ロールで表示制御するカスタムクエリを作成すれば、他PJにも見える
・他PJと同じロールをPJ内で割り当てれば、無関係なPJで作成したカスタムクエリを利用できる。
(PJ共用カスタムクエリの編集権限は、adminとカスタムクエリ作成者のみなので、変更はされない)
ロールはシステムレベルで設定され、それ自体を表示制御する機能が無い。
各PJ管理者は、PJメンバー追加時のRole割当画面などで、システム上に定義されたRoleを取得可能である。
この事はユーザ数が数千人になれば問題になるかもしれない。
その他¶
クエリ利用のロールを設定しているプロジェクトの一覧、ロール割り当てられた人の一覧、クエリ実行回数推移
この辺をモチベーションとする人もいるだろうか。
トータルの生産性向上がadminの判断基準なら、生産性向上に寄与するcontributionを推進する仕組みも必要かなと。
DB/ログから出力可能だが。ユーザからは見えないし。
制約事項:
・フィルタに、PJ指定の対象バージョン/カテゴリ欄が設定できない。
設定していると編集時にクリアされる。
(共有=すべてのプロジェクトを指定していれば利用可能)
この制約は本チケットの変更によるものではない。
