通过访问控制规则管理对数据的访问
在每个上下文中,可以在创建上下文时设置一组访问控制规则。可在用于创建上下文的模板中定义这些规则。此外,管理员还可以为上下文及其子上下文中的数据定义访问控制规则,从而进一步控制对数据的访问。通常,每个访问控制规则执行以下任务:
• 指定应用访问权限的、存储于特定管理区 (域) 的一类数据。
• 指定应用访问权限的对象的特定状态 (或所有状态)。
• 标识已授予、拒绝或绝对拒绝其访问权限的参与者 (如用户、用户组、角色或整个组织)。
• 指定针对特定域中的数据类型所给予参与者的访问权限 (如读、写和修改)。
访问控制策略具有基于域“分级结构”的“分级结构”。派生域从原型域继承规则。给参与者授予权限的策略规则不能覆盖拒绝和绝对拒绝同一参与者权限的继承规则。
以下各节介绍可用的域和上下文结构。