Valeurs d'étiquette non nulles et participants autorisés
Une étiquette de sécurité peut posséder plusieurs valeurs non nulles. Chaque valeur non nulle des étiquettes de sécurité standard peut être associée à un participant, non restreint par la valeur en question. Un seul participant autorisé peut être affecté à chaque valeur d'étiquette de sécurité. Il existe plusieurs manières permettant de spécifier les participants autorisés à accéder à des étiquettes de sécurité standard et personnalisées :
• à l'aide d'un identifiant unique de fédération (UFID), lequel limite les participants autorisés au seul participant identifié dans l'UFID (si le participant est un utilisateur) ou au participant et à ses membres (si le participant correspond à une organisation ou un groupe défini par l'utilisateur) ;
• à l'aide d'une une classe d'estimateurs personnalisée, laquelle vous permet de personnaliser le moyen de déterminer si un utilisateur est un participant autorisé ;
• à l'aide d'une combinaison de l'UFID et d'une classe d'estimateurs personnalisée.
Pour plus d'informations sur la classe d'estimateurs personnalisée, les différences entre les types de participants autorisés ou à propos de la définition d'étiquettes de sécurité personnalisées, consultez la section
Étiquettes de sécurité personnalisées.
Si vous définissez un groupe défini par l'utilisateur comme étant le participant autorisé, vous gagnerez en souplesse. Ainsi, les appartenances au groupe peuvent être modifiées au besoin à l'aide de l'utilitaire Administration des participants, de la page > ou d'un outil LDAP tiers pour gérer les groupes au sein d'un service d'annuaire LDAP. Si vous retenez cette option, les membres qui constituent le groupe peuvent être d'autres groupes. Bien qu'il n'existe aucune hiérarchie explicite dans les valeurs d'étiquette de sécurité, il est possible d'en établir une en imbriquant les groupes.
Par exemple, l'étiquette de sécurité standard Propriété de l'entreprise possède trois valeurs : Privée, Interne et Confidentialité d'entreprise la plus stricte. Trois groupes de participants autorisés sont disponibles pour cette étiquette de sécurité, bénéficiant chacun d'une habilitation pour une valeur distincte :
• Le groupe Employés dispose d'une habilitation pour la valeur Privée.
• Le groupe Personnel interne dispose d'une habilitation pour la valeur Interne et, en tant que membre du groupe Employés, il dispose également d'une habilitation pour la valeur Privée.
• Le groupe Employés de confiance dispose d'une habilitation pour la valeur Confidentialité d'entreprise la plus stricte et, en tant que membre du groupe Personnel interne, il dispose également d'une habilitation pour les valeurs Privée et Interne.
Chaque valeur d'étiquette de sécurité standard ou personnalisée peut également être éventuellement associée à un type d'accord. Les utilisateurs n'étant pas des participants autorisés à accéder à cette valeur d'étiquette de sécurité standard ou à toute valeur de l'étiquette de sécurité personnalisée n'ont pas accès aux objets auxquels cette valeur d'étiquette est appliquée, sauf s'ils bénéficient d'un accès temporaire spécifique aux objets par leur appartenance à la liste des participants autorisés d'un accord en vigueur.
Par exemple, un site configure une étiquette de sécurité standard Contrôle de l'exportation possédant les valeurs Aucune licence requise, Licence requise - Etat et Ne pas exporter.
• Aucune licence requise est la valeur nulle et n'empêche aucun utilisateur d'accéder aux objets auxquels elle est appliquée.
• Licence requise - Etat autorise l'accès uniquement aux membres du groupe Américains.
Si la valeur Licence requise - Etat est associée au type d'accord Accord d'exportation d'Etat, les utilisateurs non membres du groupe Américains, mais réunissant les conditions d'obtention de licence nécessaires, peuvent bénéficier d'un accès temporaire aux objets associés à la valeur Licence requise - Etat grâce à un Accord d'exportation d'Etat en vigueur. Lors de la création de l'accord, il est possible d'ajouter des utilisateurs non membres du groupe Américains à la liste des participants autorisés de l'accord pour leur octroyer une habilitation temporaire pour la valeur Licence requise - Etat appliquée aux objets associés.
• Ne pas exporter restreint l'accès aux seuls membres du groupe Américains. Aucun type d'accord n'étant associé à cette valeur, il n'existe aucun moyen d'accorder un accès temporaire aux utilisateurs non membres du groupe Américains.
Si une étiquette de sécurité Propriété de l'entreprise, avec son propre jeu de valeurs d'étiquette et de participants autorisés, est également configurée dans le site, l'utilisateur doit disposer d'une autorisation pour les deux étiquettes de sécurité pour avoir accès à l'objet. Par exemple, si un utilisateur est uniquement membre du groupe Américains, qui est le groupe des participants autorisés de la valeur d'étiquette Licence requise - Etat, il ne peut pas accéder à un objet auquel la valeur Internal est également appliquée. De même, un utilisateur uniquement membre du groupe Personnel interne, qui est le groupe des participants autorisés de la valeur d'étiquette Internal, ne peut pas accéder à un objet auquel la valeur Licence requise - Etat est également appliquée. Seul un utilisateur bénéficiant d'une habilitation pour toutes les valeurs d'étiquette, par son appartenance à tous les groupes de participants autorisés ou grâce à un accord, peut accéder à l'objet.
Une autorisation accordée pour une étiquette de sécurité n'est pas automatiquement valable pour une autre étiquette de sécurité. Les utilisateurs doivent disposer d'une habilitation pour toutes les étiquettes de sécurité appliquées à un objet pour pouvoir accéder à cet objet.
> ou d'un outil LDAP tiers pour gérer les groupes au sein d'un service d'annuaire LDAP. Si vous retenez cette option, les membres qui constituent le groupe peuvent être d'autres groupes. Bien qu'il n'existe aucune hiérarchie explicite dans les valeurs d'étiquette de sécurité, il est possible d'en établir une en imbriquant les groupes.
