Campaign
如何评估许可权
当用户执行任务或尝试访问对象时,
Campaign
会执行下列步骤:
1.
标识全局安全策略中此用户所属的所有组和角色。用户可以属于一个角色、许多角色或不属于任何角色。如果用户拥有一个对象,那么他们属于“所有者”角色;如果用户拥有对象所在的文件夹,那么他们属于“文件夹所有者”角色。仅当已特地向用户分配其他角色(直接分配或因为他们属于分配给该角色的组)时,用户才属于这些角色。
2.
标识是否已将要访问的对象分配给定制定义的策略(如果存在此类策略)。如果已分配,那么系统会标识此定制策略中用户所属的所有组和角色。
3.
根据步骤 1 和步骤 2 的结果,聚集用户所属的所有角色的许可权。使用此组合角色,系统评估操作的许可权,如下所示:
a.
如果任何角色具有此操作的
已拒绝
许可权,那么不允许用户执行该操作。
b.
如果没有角色具有此操作的
已拒绝
许可权,那么系统会检查以确定是否有任何角色具有此操作的
已授予
许可权。如果有,那么允许该用户执行该操作。
c.
如果 a 和 b 都不成立,那么会拒绝该用户的许可权。
Copyright IBM Corporation 2012. All Rights Reserved.