Campaign
评估许可权的方式
当用户执行某一任务或尝试访问某一对象时,
Campaign
将执行下列步骤:
1.
标识此用户在全局安全策略中属于的所有组和角色。一个用户可以属于一个或多个角色,也可以不属于任何角色。用户拥有某个对象,那么此用户属于“所有者”角色;如果用户拥有某一对象所在的文件夹,那么用户属于“文件夹所有者”角色。仅当已专门将用户分配到某角色时(直接分配或者由于用户属于被分配以该角色的组),用户才会属于其他角色。
2.
标识正在访问的对象是否已被分配到自定义的策略(如果存在)。如果存在,那么系统标识用户在此定制策略中属于的所有组和角色。
3.
根据步骤 1 和 2 中的结果,聚集用户属于的所有角色的许可权。使用此组合角色,系统按如下所示来评估操作的许可权:
a.
如果任何角色具有此操作的
已拒绝
许可权,那么不允许用户执行此操作。
b.
如果没有角色具有此操作的
已拒绝
许可权。那么它将进行检查以确定是否有任何角色具有此操作的
已授予
许可权。如果有,那么将允许用户执行操作。
c.
如果上述两种情况均不成立,那么将对用户拒绝许可权。
Copyright IBM Corporation 2015. All Rights Reserved.