Campaign による権限の評価方法

Campaign による権限の評価方法

ユーザーがタスクを実行する際、またはオブジェクトへのアクセスを試行する際、Campaign は以下のステップを実行します。

1.

グローバル・セキュリティー・ポリシー内でユーザーが所属するすべてのグループおよび役割を識別します。ユーザーは、1 つの役割に属することも、多数の役割に属することも、あるいはどの役割にも属さないこともできます。ユーザーはオブジェクトを所有している場合には所有者役割に属します。オブジェクトが置かれているフォルダーを所有している場合にはフォルダー所有者役割に属します。ユーザーは、(直接的に、またはその役割に割り当てられているグループに属しているために) その他の特定の役割に明確に割り当てられている場合のみ、その役割に属します。

2.

アクセスされているオブジェクトがカスタム定義ポリシー (存在する場合) に割り当てられているかどうかを識別します。割り当てられている場合、そのカスタム・ポリシー内でユーザーが所属するすべてのグループおよび役割がシステムで識別されます。

3.

ステップ 1 とステップ 2 の結果に基づいて、ユーザーの所属先の役割すべての権限を集約します。この複合役割を使用して、アクションの権限がシステムで次のように評価されます。

a.

対象のアクションに関していずれかの役割が「拒否 (Denied)」権限を持つ場合、ユーザーはそれを実行できません。

b.

対象のアクションに関して「拒否 (Denied)」権限を持つ役割がない場合、そのアクションに関して「許可 (Granted)」権限を持つ役割があるかどうかを判別するために検査されます。その役割がある場合、ユーザーはそのアクションを実行できます。

c.

a と b のどちらも当てはまらない場合、ユーザーは権限を拒否されます。

Copyright IBM Corporation 2015. All Rights Reserved.