關於存取控制清單
本節將簡短說明如何從網域的存取控制原則導出 ACL,以及它們如何強制執行存取控制。
建立存取控制規則時,要指定規則前提和規則結論:
• 規則前提包含下列各部分:
◦ 網域。
◦ 物件類型將決定存取原則內的哪些規則適用於特定物件。
◦ 生命週期狀態,指出物件必須處於哪個生命週期階段時,該權限才適用。如果物件類型並非生命週期管理類型,狀態就不適用,且只有具有生命週期狀態設為 ALL 的規則才適用。
• 規則結論包含下列各部分:
◦ 參與者可以是使用者、使用者定義的群組、系統群組、角色或組織。而使用者可以是多個群組或角色的成員。
◦ 規則適用於一個參與者還是除指定參與者以外的所有參與者。
◦ 相關聯的權限。
◦ 已授與、拒絕還是絕對拒絕權限。
適用於除某參與者以外的所有參與者的規則,會將參與者視為群組,且該群組的成員是除以下參與者以外的所有參與者:
• 管理員使用者
• 所選使用者
• 所選群組、動態角色或組織中的使用者
例如,可能會寫入規則,指定已拒絕除「管理員」群組外所有參與者對「已發行」狀態下零件的「刪除」權限。在這種情況下,當零件處於指定狀態下時,非「管理員」群組成員的所有參與者都無法刪除零件。
在「原則管理」公用程式中定義的角色可分類為虛擬角色或動態角色:
• 針對 OWNER 之虛擬角色定義的規則會指定適用於可擁有物件之擁有者的權限。
• 針對 ALL 之虛擬角色定義的規則會指定適用於所有參與者的權限。計算 ACL 時,此角色處理方式與群組處理方式相似。
• 針對動態角色定義的規則會指定適用於對應系統群組的權限,而這些群組會與使用角色的前後關聯小組相關聯。當 ACL 由網域衍生而來時,動態角色會解析至與該網域之前後關聯相關聯的系統群組。如果特定前後關聯並未以動態角色所定義的規則使用某些角色,則會略過對應的規則。例如,假設規則是針對組織之 Default 網域的前後關聯小組「設計者」角色而定義的。如果「設計者」角色不是用於特定應用程式前後關聯 (亦即前後關聯從 Default 組織網域繼承規則處),則會略過針對前後關聯小組「設計者」角色定義的規則。請參閱
使用動態角色以集中管理存取控制規則。
您可以為網域裡部分或全部的物件類型建立存取控制規則。這些規則共同構成網域的存取控制原則。
ACL 是針對每個規則前提的需要所建立。ACL 衍生自網域和其上階網域的原則,並由多重 ACL 項目所組成。每個 ACL 項目都包含了一組與參與者關聯的權限。每個 ACL 項目都會授與 (+)、拒絕 (-) 或絕對拒絕 (!) 關聯參與者的權限。
為了增進效能,ACL 計算出來後會存放在快取中,以便下次使用者要存取特定物件時能快速擷取。