Evaluation des droits d'accès par Campaign
Lorsqu'un utilisateur accomplit une tâche ou tente d'accéder à un objet, Campaign exécute les actions suivantes :
1.
Identifie tous les groupes et rôles auxquels l'utilisateur fait partie dans la stratégie de sécurité globale. Un utilisateur peut faire partir d'un, plusieurs ou aucun rôle. Un utilisateur est associé au rôle de propriétaire s'il possède un objet. Il est associé au rôle de propriétaire de dossier s'il est propriétaire du dossier dans lequel se trouve l'objet. Un utilisateur fait partie d'autres rôles s'il a été affecté spécifiquement à ces rôles (de manière directe ou parce qu'il appartient à un groupe auquel ce rôle a été affecté).
2.
Le système détermine si l'objet auquel l'utilisateur tente d'accéder a été affecté à une stratégie personnalisée, si une stratégie de ce type existe. Dans ce cas, le système identifie ensuite tous les groupes et rôles auxquels l'utilisateur appartient dans cette stratégie personnalisée.
3.
Agrège les droits d'accès de tous les rôles auxquels appartient l'utilisateur, suivant les résultats des étapes 1 et 2. A l'aide de ce rôle composite, le système évalue les droits d'accès comme suit :
a.
Si le droit d'accès d'un rôle est Refusé pour cette action, l'utilisateur ne peut pas l'exécuter.
b.
Si aucun rôle n'a le droit d'accès Refusé pour cette action, le système vérifie si l'un des rôles est doté du droit d'accès Autorisé pour cette action. Si tel est le cas, l’utilisateur est autorisé à exécuter l’action.
c.
Si aucune de ces deux propositions n’est vraie, l’utilisateur n’est pas autorisé à réaliser l’action.
Copyright IBM Corporation 2015. All Rights Reserved.