Null 以外のラベル値とそれによって承認される参加者
セキュリティラベルは Null 以外の複数のラベル値を持つことができます。標準セキュリティラベルでは、Null 以外の各ラベル値を、そのセキュリティラベル値によってアクセスを制限しない参加者に関連付けることができます。各セキュリティラベル値には、承認された参加者を 1 つだけ割り当てることができます。標準セキュリティラベルとカスタムセキュリティラベルのどちらでも、承認された参加者を複数の方法によって指定できます。
• 承認された参加者を UFID で識別された参加者 (参加者がユーザーの場合) または参加者とそのメンバー (参加者がユーザー定義のグループまたは組織の場合) のみに制限する Unique Federation Identifier (UFID) を使用する。
• ユーザーが承認された参加者かどうかを決定する方法をカスタマイズできるカスタムエバリュエータクラスを使用する。
• UFID とカスタムエバリュエータクラスを組み合わせて使用する。
カスタムエバリュエータクラス、承認された参加者のタイプの違い、カスタムセキュリティラベルの設定については、
カスタムセキュリティラベルを参照してください。
最も柔軟性が高いのは、ユーザー定義のグループを承認参加者として指定する方法です。この方法であれば、「参加者管理」ユーティリティ、 > ページ、または LDAP ディレクトリサービス内のグループを管理するサードパーティ製 LDAP ツールを使用して、グループ内のメンバーを必要に応じて修正できます。セキュリティラベル値の承認された参加者としてグループを指定した場合、グループのメンバーシップにその他のグループを含めることができます。セキュリティラベル値には明示的な階層関係はありませんが、別のグループ内にグループをネストすることで階層化できます。
たとえば、Private、Internal、および Company Most Private という 3 つの値を持つ Corporate Proprietary 標準セキュリティラベルを作成したとします。Corporate Proprietary セキュリティラベルには 3 つの承認された参加者グループがあり、それぞれに次のセキュリティラベルのアクセス権が付与されます。
• Employees グループには Private セキュリティラベル値のアクセス権が付与されます。
• Internal Personnel グループには Internal セキュリティラベル値のアクセス権が付与され、Internal Personnel グループは Employees グループのメンバーなので、Private セキュリティラベル値のアクセス権も付与されます。
• Highly Trusted Employees グループには Company Most Private セキュリティラベル値のアクセス権が付与され、Highly Trusted Employees グループは Internal Personnel グループのメンバーなので、Private および Internal セキュリティラベル値のアクセス権も付与されます。
標準セキュリティラベル値またはカスタムセキュリティラベルのそれぞれに、オプションで承諾タイプを関連付けることもできます。その標準セキュリティラベル値またはカスタムセキュリティラベルのいずれかの値の承認参加者ではないユーザーは、免除承諾の承認参加者グループのメンバーシップによってそのオブジェクトへの一時的なアクセス権が別に付与されている場合を除き、そのラベル値が適用されているオブジェクトへのアクセスが拒否されます。
たとえば、No License Required、License Required - State、Do Not Export の各値を持つ Export Control 標準セキュリティラベルをサイトに設定できます。
• No License Required は Null 値であり、このセキュリティラベル値が適用されているオブジェクトへのアクセスは制限されません。
• License Required - State は US Persons グループのメンバーのみにアクセスを許可します。
License Required - State 値に State Export Agreement という承諾タイプが関連付けられている場合、US Persons グループのメンバー以外のユーザーが必要なライセンス要件を満たす場合、State Export Agreement によって、License Required - State 値が適用されているオブジェクトへの一時的なアクセス権が付与されます。免除承諾を作成する際に US Persons グループのメンバーでないユーザーをこの免除承諾の承認された参加者リストに追加することで、そのユーザーには関連するすべてのオブジェクトに適用されている License Required - State 値のアクセス権が一時的に付与されます。
• Do Not Export は US Persons グループのメンバーのみにアクセスを制限します。この値には免除承諾タイプが関連付けられていないので、US Persons グループのメンバーでないユーザーに一時的なアクセス権を付与する手段はありません。
別のラベル値と承認された参加者を持つ Corporate Proprietary セキュリティラベルもサイトで設定されている場合、オブジェクトにアクセスするためには、ユーザーは両方のセキュリティラベルによって承認されなければなりません。たとえば、あるユーザーが US Persons グループにのみ属している場合、US Persons グループは License Required - State ラベル値の承認された参加者グループなので、そのユーザーは Internal ラベル値も適用されているオブジェクトにはアクセスできません。同様に、あるユーザーが Internal Personnel グループにのみ属している場合、Internal Personnel グループは Internal ラベル値の承認された参加者グループなので、そのユーザーは License Required - State 値も適用されているオブジェクトにはアクセスできません。すべての承認された参加者グループのメンバーシップまたは免除承諾によってすべてのラベル値のアクセス権を付与されたユーザーだけが、そのオブジェクトにアクセスできます。
1 つのセキュリティラベルで承認されても、別のセキュリティラベルで自動的に承認されることはありません。ユーザーがあるオブジェクトにアクセスするためには、そのオブジェクトに設定されているすべてのセキュリティラベルのアクセス権が付与されていなければなりません。
> ページ、または LDAP ディレクトリサービス内のグループを管理するサードパーティ製 LDAP ツールを使用して、グループ内のメンバーを必要に応じて修正できます。セキュリティラベル値の承認された参加者としてグループを指定した場合、グループのメンバーシップにその他のグループを含めることができます。セキュリティラベル値には明示的な階層関係はありませんが、別のグループ内にグループをネストすることで階層化できます。
