Campaign
에서 권한을 평가하는 방법
사용자가 작업을 수행하거나 개체에 액세스를 시도할 때
Campaign
은 다음 단계를 수행합니다.
1.
이 사용자가 전역 보안 정책 내에서 속하는 모든 그룹과 역할을 식별합니다. 사용자는 하나의 역할, 다수의 역할 또는 역할 없음에 속할 수 있습니다. 개체를 소유하는 경우 사용자는 소유자 역할에 속합니다. 개체가 상주하는 폴더를 소유하는 경우 사용자는 폴더 소유자 역할에 속합니다. 사용자는 해당 역할에 특별히 할당된 경우에만 기타 역할에 속할 수 있습니다(해당 역할이 할당된 그룹에 속하거나 직접 해당 역할이 할당되어).
2.
액세스 대상인 개체가 사용자 정의 정책(있는 경우)에 지정되었는지 식별합니다. 그러한 경우, 시스템은 사용자 정의 정책 내에서 사용자가 속한 모든 그룹과 역할을 식별합니다.
3.
1단계와 2단계의 결과를 기준으로 사용자가 속한 모든 역할에 대한 권한을 집계합니다. 이 복합 역할을 사용하여 시스템은 다음과 같이 작업에 대한 권한을 평가합니다.
a.
이 작업에 대해 역할에
거부됨
권한이 있는 경우, 사용자를 이를 수행할 수 없습니다.
b.
이 작업에 대해
거부됨
권한이 없으면 이 작업에 대해
승인됨
권한이 있는 역할이 있는지를 확인합니다. 승인된 권한이 있는 역할이 있다면 사용자가 이 작업을 수행할 수 있습니다.
c.
a와 b 모두 해당하지 않는다면 사용자는 권한이 거부됩니다.
Copyright IBM Corporation 2013. All Rights Reserved.