Beschriftungswerte ungleich null und ihre autorisierten Teilnehmer
Eine Sicherheitsbeschriftung kann über mehrere Beschriftungswerte ungleich null verfügen. Bei Standard-Sicherheitsbeschriftungen kann jeder Beschriftungswert ungleich null einem Teilnehmer zugeordnet werden, der durch den Sicherheitsbeschriftungswert unbeschränkten Zugriff hat. Jedem Sicherheitsbeschriftungswert kann nur jeweils ein autorisierter Teilnehmer zugewiesen werden. Sowohl bei standardmäßigen als auch bei angepassten Sicherheitsbeschriftungen gibt es mehrere Methoden, um die autorisierten Teilnehmer anzugeben:
• Sie können eine UFID (Unique Federation Identifier) verwenden, die die autorisierten Teilnehmer auf den in der UFID erkannten Teilnehmer (wenn der Teilnehmer ein Benutzer ist) oder auf den Teilnehmer und seine Mitglieder (wenn der Teilnehmer eine benutzerdefinierte Gruppe oder Organisation ist) beschränkt.
• Sie können eine angepasste Bewerterklasse verwenden, mit der Sie anpassen können, auf welche Weise festgestellt wird, ob ein Benutzer ein autorisierter Teilnehmer ist.
• Außerdem kann eine Kombination aus der UFID und einer angepassten Bewerterklasse verwendet werden.
Weitere Informationen zu der angepassten Bewerterklasse, den Unterschieden zwischen den autorisierten Teilnehmertypen oder dem Einrichten angepasster Sicherheitsbeschriftungen finden Sie unter
Angepasste Sicherheitsbeschriftungen.
Eine benutzerdefinierte Gruppe als autorisierten Teilnehmer festzulegen bietet die größte Flexibilität, da die Mitgliedschaft in der Gruppe bei Bedarf mit dem Dienstprogramm Teilnehmerverwaltung, auf der Seite > oder mit einem LDAP-Tool eines Fremdanbieters zum Verwalten von Gruppen innerhalb eines LDAP-Verzeichnisdienstes geändert werden kann. Wenn eine Gruppe als autorisierter Teilnehmer für einen Sicherheitsbeschriftungswert dient, kann die Mitgliedschaft der Gruppe weitere Gruppen einschließen. Es gibt zwar keine explizite Hierarchie der Sicherheitsbeschriftungswerte, eine Hierarchie kann jedoch durch Verschachtelung von Gruppen innerhalb anderer Gruppen erzielt werden.
Die Standard-Sicherheitsbeschriftung "Unternehmenseigentum" wird beispielsweise mit drei Werten erstellt: "Privat", "Intern" und "Streng vertraulich". Für die Sicherheitsbeschriftung "Unternehmenseigentum" sind drei autorisierte Teilnehmergruppen verfügbar. Jede Gruppe ist für einen Sicherheitsbeschriftungswert zugelassen:
• Die Gruppe "Mitarbeiter" ist für den Sicherheitsbeschriftungswert "Privat" zugelassen.
• Die Gruppe "Interne Mitarbeiter" hat eine Zulassung für den Sicherheitsbeschriftungswert "Intern" und ist Mitglied der Gruppe "Mitarbeiter". Demzufolge ist sie auch für den Sicherheitsbeschriftungswert "Privat" zugelassen.
• Die Gruppe "Zuverlässigste Mitarbeiter" ist für den Sicherheitsbeschriftungswert "Streng vertraulich" zugelassen. Sie ist außerdem Teil der Gruppe "Interne Mitarbeiter" und daher ebenfalls für die Sicherheitsbeschriftungswerte "Privat" und "Intern" zugelassen.
Jeder Standard-Sicherheitsbeschriftungswert und jede angepasste Sicherheitsbeschriftung kann optional auch einen zugeordneten Vereinbarungstyp aufweisen. Benutzern, die keine autorisierten Teilnehmer für den entsprechenden Standard-Sicherheitsbeschriftungswert oder einen beliebigen Wert der angepassten Sicherheitsbeschriftung sind, wird der Zugriff auf Objekte mit diesem Beschriftungswert verweigert, es sei denn, sie erhalten vorübergehend eine ausdrückliche Berechtigung für das Objekt durch eine Mitgliedschaft in einer autorisierten Teilnehmerliste für eine aktive Vereinbarung.
Eine Anwenderumgebung konfiguriert beispielsweise eine Standard-Sicherheitsbeschriftung "Exportkontrolle" mit den Werten "Keine Lizenz erforderlich", "Lizenz erforderlich – Staatlich" und "Nicht exportieren".
• "Keine Lizenz erforderlich" ist der Null-Wert. Dieser schränkt den Zugriff auf Objekte mit diesem Sicherheitsbeschriftungswert grundsätzlich nicht ein.
• Der Wert "Lizenz erforderlich – staatlich" gewährt nur Mitgliedern der Gruppe "US-Bürger" Zugriff.
Wenn dem Wert "Lizenz erforderlich – staatlich" der Vereinbarungstyp "Staatliche Exportvereinbarung" zugeordnet ist, können Benutzer, die nicht der Gruppe "US-Bürger" angehören, jedoch die notwendigen Lizenzanforderungen erfüllen, durch eine aktive staatliche Exportvereinbarung vorübergehend eine Berechtigung für Objekte erhalten, die mit dem Wert "Lizenz erforderlich – staatlich" markiert sind. Beim Erstellen der Vereinbarung können Benutzer, die nicht der Gruppe "US-Bürger" angehören, der Liste "Autorisierte Teilnehmer" der Vereinbarung hinzugefügt werden, um vorübergehend für den Wert "Lizenz erforderlich – Staatlich" für entsprechend zugeordnete Objekte zugelassen zu werden.
• Der Wert "Nicht exportieren" beschränkt den Zugriff nur auf Mitglieder der Gruppe "US-Bürger". Da diesem Wert kein Vereinbarungstyp zugeordnet ist, besteht keine Möglichkeit, Benutzern eine vorübergehende Zugriffsberechtigung zu gewähren, die nicht der Gruppe "US-Bürger" angehören.
Wenn in der Anwenderumgebung auch eine Sicherheitsbeschriftung "Unternehmenseigentum" mit eigenen Sicherheitsbeschriftungswerten und autorisierten Teilnehmern konfiguriert ist, muss ein Benutzer für beide Sicherheitsbeschriftungen autorisiert sein, um auf das Objekt zuzugreifen. Ist ein Benutzer beispielsweise nur Mitglied der Gruppe "US-Bürger", die die autorisierte Teilnehmergruppe für den Sicherheitsbeschriftungswert "Lizenz erforderlich – Staatlich" darstellt, kann er nicht auf ein Objekt zugreifen, auf das auch der Sicherheitsbeschriftungswert "Intern" angewendet wird. Entsprechend kann ein Benutzer, der nur Mitglied der Gruppe "Interne Mitarbeiter" ist, die die autorisierte Teilnehmergruppe für den Sicherheitsbeschriftungswert "Intern" darstellt, nicht auf das Objekt zugreifen, auf das auch der Wert "Lizenz erforderlich – Staatlich" angewendet wird. Nur ein Benutzer, der durch Mitgliedschaft in allen autorisierten Teilnehmergruppen oder durch eine Vereinbarung für alle Sicherheitsbeschriftungswerte zugelassen ist, hat Zugriff auf das Objekt.
Durch die Autorisierung für eine Sicherheitsbeschriftung ist ein Benutzer nicht automatisch für alle anderen Sicherheitsbeschriftungen autorisiert. Benutzer müssen für alle Sicherheitsbeschriftungen, die für ein Objekt eingestellt sind, zugelassen sein, um auf das Objekt zugreifen zu können.
> oder mit einem LDAP-Tool eines Fremdanbieters zum Verwalten von Gruppen innerhalb eines LDAP-Verzeichnisdienstes geändert werden kann. Wenn eine Gruppe als autorisierter Teilnehmer für einen Sicherheitsbeschriftungswert dient, kann die Mitgliedschaft der Gruppe weitere Gruppen einschließen. Es gibt zwar keine explizite Hierarchie der Sicherheitsbeschriftungswerte, eine Hierarchie kann jedoch durch Verschachtelung von Gruppen innerhalb anderer Gruppen erzielt werden.
