非空標籤值及其授權參與者
安全性標籤可具有多個非空標籤值。針對標準安全性標籤,每個非空標籤值都可與不受安全性標籤值限制的參與者相關聯。只能將一個授權參與者指派給每個安全性標籤值。針對標準與自訂安全性標籤,有多種方法可以指定授權參與者:
• 使用「具唯一性聯合識別元」(UFID),可僅將授權參與者限制於在 UFID 中識別的參與者 (如果參與者是使用者) 或參與者及其成員 (如果參與者是使用者定義群組或組織)。
• 使用自訂評估者類別,可讓您自訂如何確定使用者是否為授權參與者。
• 使用 UFID 與自訂評估者類別的組合。
如需有關自訂評估者類別、授權參與者類型之間的差異,或有關設定自訂安全性標籤的詳細資訊,請參閱〈進階自訂〉一節中的「自訂安全性標籤」主題。
將使用者定義群組指定為授權參與者可提供最大的靈活性,因為您可以視需要修改群組中的成員資格,方法是使用「參與者管理」公用程式、 > 頁,或可在 LDAP 目錄服務中管理群組的協力廠商 LDAP 工具。如果將群組作為安全性標籤值的授權參與者使用,群組的成員資格可以包含其他群組。當安全性標籤值之間沒有外在階層時,可透過將群組嵌套在其他群組中來獲得階層。
例如,「公司專利」標準安全性標籤使用三個值建立:「私密」、「內部」與「公司最私密」。三個授權參與者群組均可用於「公司專利」安全性標籤,每個安全性標籤都附帶一個安全性標籤值的許可授與:
• 針對「私密」安全性標籤值為「員工」群組授與許可。
• 針對「內部」安全性標籤值為「內部人員」群組授與許可,且「內部人員」群組為「員工」群組的成員,因此會針對「私密」安全性標籤值為其授與許可。
• 針對「公司最私密」安全性標籤值為「高度信任的員工」群組授與許可,且「高度信任的員工」群組是「內部人員」群組的一部分,因此也會針對「私密」與「內部」安全性標籤值為其授與許可。
每個標準安全性標籤值或自訂安全性標籤也可以選擇性地擁有關聯協定類型。使用者如果不是該標準安全性標籤值或自訂安全性標籤的任何值的授權參與者,會在存取已套用該標籤值的物件時遭到拒絕,除非使用中協定授權參與者清單中的成員資格特別授與他們對於物件的暫時存取權限。
例如,網站可配置「匯出控制」標準安全性標籤,包含「不需要授權」、「需要授權 - 國家」與「不可匯出」值。
• 「不需要授權」是空值,且其不會限制任何使用者存取具有此安全性標籤值的物件。
• 「需要授權 - 國家」只允許「美國人」群組成員進行存取。
如果「需要授權 - 國家」值具有「國家出口協定」的關聯協定類型,不在「美國人」群組中但卻符合所需授權需求的使用者,可利用使用中「國家出口協定」暫時被授予對於標記有「需要授權 - 國家」值的物件的存取權。建立協定後,可將非「美國人」群組成員的使用者加入到要暫時針對任何關聯物件上的「需要授權 - 國家」值對其授予許可的協定的授權參與者清單中。
• 「不可匯出」只會限制對於「美國人」群組成員的存取權限。此值沒有關聯的協定類型,因此無法將暫時許可授與非「美國人」群組的使用者。
如果網站也已配置「公司專利」安全性標籤,且具有其自己的標籤值與授權的參與者集合,則使用者必須獲得對於這兩個安全性標籤的授權才能存取物件。例如,如果使用者只是「美國人」群組的成員,且該群組為「需要授權 - 國家」標籤值的授權參與者群組,他將無法存取也已套用了「內部」標籤值的物件。同樣地,只是「內部人員」群組以及「內部」標籤值的授權參與者群組成員的使用者,也將無法存取也已套用了「需要授權 - 國家」值的物件。只有已透過所有授權參與者群組中的成員資格或透過協定針對所有標籤值為其授與許可的使用者才能存取物件。
針對一個安全性標籤進行授權不會自動授權使用者對於其他任何安全性標籤的存取權。必須針對在物件上設定的所有安全性標籤為使用者授與許可,使用者才能存取該物件。