通过协议访问对象
对于带有安全标签的已授权对象的一个或多个安全标签值,活动的协议会为一组参与者 (用户、组或组织) 提供许可。这取决于安全标签的配置方式,如果启用了“选择授权安全标签值”步骤,协议可能仅给予参与者对某些自定义安全标签值或标准安全标签值的许可。通过协议获得许可的参与者不是安全标签值已授权的参与者,但选择他们作为协议已授权的参与者。用户获得安全标签值许可后,无论是通过协议的已授权参与者列表还是通过安全标签值的已授权参与者的配置,用户必须对该对象具有适当的权限以访问它。在下例中,用户是“政府出口协议”类型协议的授权参与者组中的成员,该协议是一个标准协议,它向具有“需要许可证 - 政府”安全标签值的对象授予访问权限。因为她是一位已授权的参与者,她可以在协议期间内访问对象 A。她既然可以访问对象,因此认为她具有相应的访问控制权限。
但是如果一个对象应用了多个安全标签,该用户必须是所有安全标签值的已授权参与者,无论是通过安全标签值的已授权参与者的 UFID 的配置,通过自定义评估者的配置,通过 UFID 和自定义评估者一起,还是通过活动协议的已授权参与者列表。这取决于安全标签的配置方式,如果启用了“选择授权安全标签值”步骤,一种协议类型可覆盖多个安全标签值。在下面的示例中,用户通过“政府出口协议”获得了“需要许可证 - 政府”值的访问权限。然而,她被拒绝访问,因为她不是“内部”安全标签值或另一个协议的已授权参与者。如果将该用户添加到授予其访问“内部”安全标签值权限的附加协议中,并且她对对象 A 具有适当的访问控制权限,则她可以访问该对象。
有关访问设有多个安全标签的对象的详细信息,请参阅
非空标签值及其已授权的参与者。