非空标签值及其已授权的参与者
安全标签可以有多个非空标签值。对于标准安全标签,可将各个非空标签值与不受安全标签值限制的参与者进行关联。只能为每个安全标签值分配一个已授权的参与者。对于标准和自定义安全标签,可通过多种方法指定授权参与者:
• 使用唯一联合标识符 (UFID),此方法限制授权参与者只能是 UFID 中标识的参与者 (如果该参与者为用户) 或参与者及其成员 (如果该参与者为用户定义的组或组织)。
• 使用自定义评估器类,此方法允许您对如何确定用户是否为已授权参与者进行自定义。
• 组合使用 UFID 和自定义评估器类。
有关自定义评估器类和授权参与者类型间差异的详细信息,或有关设置自定义安全标签的信息,请参阅
自定义安全标签。
将用户定义的组指定为已授权的参与者可以提供最大的灵活性,因为可以根据需要修改组中的成员资格,方法是使用“参与者管理”实用程序、 > 页面,或者用于管理 LDAP 目录服务中各组的第三方 LDAP 工具。如果组用作安全标签值的已授权参与者,则组的成员资格可包括其他组。尽管安全标签值中无显式分级,但可通过在其他组中再嵌入组来实现分级。
例如,“公司专有”标准安全标签通过三个值创建:“专用”、“内部”和“公司最高机密”。三个已授权的参与者组在“公司专有”安全标签中可用,每组都具有对一个安全标签值的许可:
• “员工”组具有“专用”安全标签值的许可。
• “内部人员”组具有“内部”安全标签值的许可,并且是“员工”组的成员,因此具有“专有”安全标签值的许可。
• “深得信任的员工”组具有“公司最高机密”安全标签值的许可并且是“内部人员”组的成员,因此也具有“专用”和“内部”安全标签值的许可。
各标准安全标签值或自定义安全标签值还可以选择性地具有相关联的协议类型。如果用户不是标准安全标签值或任何自定义安全标签者的授权参与者,则无权访问应用了标签值的对象,除非他们使用活动协议中授权参与者列表中的成员资格获得该对象的临时访问特许。
例如,一个站点可使用“无需许可症”、“需要许可证 - 政府”和“不出口”三个值来配置“出口管制”标准安全标签。
• “无需许可证”是空值,因此不会限制任何用户访问具有此安全标签值的对象。
• “需要许可证 - 政府”仅允许“美国人员”组的成员访问。
如果“需要许可证 - 政府”值具有相关联的“政府出口协议”协议类型,则不属于“美国成员”组的用户可在满足必要许可要求的情况下,使用活动“政府控制协议”获得标有“需要许可证 - 政府”值的对象的临时访问权限。创建协议后,可将不属于“美国成员”组的用户添加到该协议的授权参与者列表中,为其授予任意关联对象的“需要许可证 - 政府”值的临时访问权限。
• “不出口”将访问权限仅限制在“美国人员”组的成员。由于该值没有相关协议类型,因此无法向不属于“美国人员”组的用户授予临时许可。
如果站点还配置了“公司专有”安全标签,并且具有自己的标签值和已授权的参与者组,此时用户必须被授予这两个安全标签的权限才能够访问对象。例如,如果用户仅是“美国人员”组 (该组是“需要许可证 - 政府”标签值的已授权参与者组) 的成员,则其将无法访问还应用了“内部”标签值的对象。同样,如果用户仅是“内部人员”组 (“内部”标签值的已授权的参与者组) 成员的用户,同样无法访问还应用了“需要许可证 - 政府”值的对象。只有具有所有标签值许可的用户,才能通过所有已授权的参与者组中的成员资格或者通过协议来访问对象。
如果授予了一个安全标签的权限,则不会自动授予用户任何其他安全标签的访问权限。用户必须获得在对象中设置的所有安全标签的许可,才能够访问对象。
> 页面,或者用于管理 LDAP 目录服务中各组的第三方 LDAP 工具。如果组用作安全标签值的已授权参与者,则组的成员资格可包括其他组。尽管安全标签值中无显式分级,但可通过在其他组中再嵌入组来实现分级。
