Campaign 评估许可权的方式
当用户执行某一任务或尝试访问某一对象时,Campaign 将执行下列步骤:
1.
标识此用户在全局安全策略中属于的所有组和角色。一个用户可以属于一个或多个角色,也可以不属于任何角色。用户拥有某个对象,那么此用户属于“所有者”角色;如果用户拥有某一对象所在的文件夹,那么用户属于“文件夹所有者”角色。仅当已专门将用户分配到某角色时(直接分配或者由于用户属于被分配以该角色的组),用户才会属于其他角色。
2.
标识正在访问的对象是否已被分配到自定义的策略(如果存在)。如果存在,那么系统标识用户在此定制策略中属于的所有组和角色。
3.
根据步骤 1 和 2 中的结果,聚集用户属于的所有角色的许可权。使用此组合角色,系统按如下所示来评估操作的许可权:
a.
如果任何角色具有此操作的已拒绝许可权,那么不允许用户执行此操作。
b.
如果没有角色具有此操作的已拒绝许可权。那么它将进行检查以确定是否有任何角色具有此操作的已授予许可权。如果有,那么将允许用户执行操作。
c.
如果上述两种情况均不成立,那么将对用户拒绝许可权。
Copyright IBM Corporation 2015. All Rights Reserved.