Beschriftungswerte ungleich null und ihre autorisierten Teilnehmer
Eine Standard-Sicherheitsbeschriftung kann über mehrere Beschriftungswerte ungleich null verfügen. Jeder Beschriftungswert ungleich null kann einem Teilnehmer zugeordnet werden, der durch den Sicherheitsbeschriftungswert unbeschränkten Zugriff hat. Jedem Sicherheitsbeschriftungswert kann nur jeweils ein autorisierter Teilnehmer zugewiesen werden. Es gibt mehrere Möglichkeiten, die autorisierten Teilnehmer anzugeben:
• Sie können eine UFID (Unique Federation Identifier) verwenden, die die autorisierten Teilnehmer auf den in der UFID erkannten Teilnehmer (wenn der Teilnehmer ein Benutzer ist) oder auf den Teilnehmer und seine Mitglieder (wenn der Teilnehmer eine benutzerdefinierte Gruppe oder Organisation ist) beschränkt.
• Verwenden von WTPrincipalReference, wenn die Gruppe in der Datenbank und nicht in LDAP erstellt wird. Weitere Informationen finden Sie unter Specifying a WTPrincipalReference.
Eine benutzerdefinierte Gruppe als autorisierten Teilnehmer festzulegen bietet die größte Flexibilität, da die Mitgliedschaft in der Gruppe bei Bedarf mit dem Dienstprogramm Teilnehmerverwaltung, auf der Seite Organisationen
> oder mit einem LDAP-Tool eines Fremdanbieters zum Verwalten von Gruppen innerhalb eines LDAP-Verzeichnisdienstes geändert werden kann. Wenn eine Gruppe als autorisierter Teilnehmer für einen Sicherheitsbeschriftungswert dient, kann die Mitgliedschaft der Gruppe weitere Gruppen einschließen. Es gibt zwar keine explizite Hierarchie der Sicherheitsbeschriftungswerte, eine Hierarchie kann jedoch durch Verschachtelung von Gruppen innerhalb anderer Gruppen erzielt werden.
> oder mit einem LDAP-Tool eines Fremdanbieters zum Verwalten von Gruppen innerhalb eines LDAP-Verzeichnisdienstes geändert werden kann. Wenn eine Gruppe als autorisierter Teilnehmer für einen Sicherheitsbeschriftungswert dient, kann die Mitgliedschaft der Gruppe weitere Gruppen einschließen. Es gibt zwar keine explizite Hierarchie der Sicherheitsbeschriftungswerte, eine Hierarchie kann jedoch durch Verschachtelung von Gruppen innerhalb anderer Gruppen erzielt werden.Die Standard-Sicherheitsbeschriftung "Unternehmenseigentum" wird beispielsweise mit drei Werten erstellt: "Privat", "Intern" und "Streng vertraulich". Für die Sicherheitsbeschriftung "Unternehmenseigentum" sind drei autorisierte Teilnehmergruppen verfügbar. Jede Gruppe ist für einen Sicherheitsbeschriftungswert zugelassen:
• Die Gruppe "Mitarbeiter" ist für den Sicherheitsbeschriftungswert "Privat" zugelassen.
• Die Gruppe "Interne Mitarbeiter" hat eine Zulassung für den Sicherheitsbeschriftungswert "Intern" und ist Mitglied der Gruppe "Mitarbeiter". Demzufolge ist sie auch für den Sicherheitsbeschriftungswert "Privat" zugelassen.
• Die Gruppe "Zuverlässigste Mitarbeiter" ist für den Sicherheitsbeschriftungswert "Streng vertraulich" zugelassen. Sie ist außerdem Teil der Gruppe "Interne Mitarbeiter" und daher ebenfalls für die Sicherheitsbeschriftungswerte "Privat" und "Intern" zugelassen.
Jedem Standard-Sicherheitsbeschriftungswert kann optional außerdem ein Vereinbarungstyp zugeordnet sein. Benutzern, die keine autorisierten Teilnehmer für den jeweiligen Standard-Sicherheitsbeschriftungswert sind, wird der Zugriff auf Objekte mit diesem angewendeten Beschriftungswert verweigert. Dies trifft nicht zu, wenn ihnen der Zugriff auf das Objekt vorübergehend durch eine Mitgliedschaft in einer autorisierten Teilnehmerliste für eine aktive Vereinbarung ausdrücklich gewährt wird.
Eine Anwenderumgebung konfiguriert beispielsweise eine Standard-Sicherheitsbeschriftung "Exportkontrolle" mit den Werten "Keine Lizenz erforderlich", "Lizenz erforderlich – Staatlich" und "Nicht exportieren".
• "Keine Lizenz erforderlich" ist der Null-Wert. Dieser schränkt den Zugriff auf Objekte mit diesem Sicherheitsbeschriftungswert grundsätzlich nicht ein.
• Der Wert "Lizenz erforderlich – staatlich" gewährt nur Mitgliedern der Gruppe "US-Bürger" Zugriff.
Wenn dem Wert "Lizenz erforderlich – staatlich" der Vereinbarungstyp "Staatliche Exportvereinbarung" zugeordnet ist, können Benutzer, die nicht der Gruppe "US-Bürger" angehören, jedoch die notwendigen Lizenzanforderungen erfüllen, durch eine aktive staatliche Exportvereinbarung vorübergehend eine Berechtigung für Objekte erhalten, die mit dem Wert "Lizenz erforderlich – staatlich" markiert sind. Beim Erstellen der Vereinbarung können Benutzer, die nicht der Gruppe "US-Bürger" angehören, der Liste "Autorisierte Teilnehmer" der Vereinbarung hinzugefügt werden, um vorübergehend für den Wert "Lizenz erforderlich – Staatlich" für entsprechend zugeordnete Objekte zugelassen zu werden.
• Der Wert "Nicht exportieren" beschränkt den Zugriff nur auf Mitglieder der Gruppe "US-Bürger". Da diesem Wert kein Vereinbarungstyp zugeordnet ist, besteht keine Möglichkeit, Benutzern eine vorübergehende Zugriffsberechtigung zu gewähren, die nicht der Gruppe "US-Bürger" angehören.
Wenn in der Anwenderumgebung auch eine Sicherheitsbeschriftung "Unternehmenseigentum" mit eigenen Sicherheitsbeschriftungswerten und autorisierten Teilnehmern konfiguriert ist, muss ein Benutzer für beide Sicherheitsbeschriftungen autorisiert sein, um auf das Objekt zuzugreifen. Ist ein Benutzer beispielsweise nur Mitglied der Gruppe "US-Bürger", die die autorisierte Teilnehmergruppe für den Sicherheitsbeschriftungswert "Lizenz erforderlich – Staatlich" darstellt, kann er nicht auf ein Objekt zugreifen, auf das auch der Sicherheitsbeschriftungswert "Intern" angewendet wird. Entsprechend kann ein Benutzer, der nur Mitglied der Gruppe "Interne Mitarbeiter" ist, die die autorisierte Teilnehmergruppe für den Sicherheitsbeschriftungswert "Intern" darstellt, nicht auf das Objekt zugreifen, auf das auch der Wert "Lizenz erforderlich – Staatlich" angewendet wird. Nur ein Benutzer, der durch Mitgliedschaft in allen autorisierten Teilnehmergruppen oder durch eine Vereinbarung für alle Sicherheitsbeschriftungswerte zugelassen ist, hat Zugriff auf das Objekt.
Durch die Autorisierung für eine Sicherheitsbeschriftung ist ein Benutzer nicht automatisch für alle anderen Sicherheitsbeschriftungen autorisiert. Benutzer müssen für alle Sicherheitsbeschriftungen, die für ein Objekt eingestellt sind, zugelassen sein, um auf das Objekt zugreifen zu können.