Valori di etichetta non nulli e relativi partecipanti autorizzati
Un'etichetta di sicurezza può avere più valori di etichetta non nulli. Per le etichette di sicurezza standard, ciascun valore di etichetta non nullo può essere associato a un partecipante cui il valore dell'etichetta di sicurezza non impone restrizioni. È possibile assegnare a ciascun valore dell'etichetta di sicurezza un solo partecipante autorizzato. È possibile specificare i partecipanti autorizzati per le etichette di sicurezza standard e personalizzate in vari modi.
• Utilizzando un UFID (Unique Federation Identifier), che limita i partecipanti autorizzati al solo partecipante identificato dall'UFID (se il partecipante è un utente) o al partecipante e ai membri correlati (se il partecipante è un'organizzazione o un gruppo definito dall'utente).
• Utilizzando una classe della funzione di valutazione personalizzata, che consente di personalizzare la modalità di determinazione di un utente come partecipante autorizzato.
• Utilizzando una combinazione di un UFID e di una classe della funzione di valutazione personalizzata.
Per ulteriori informazioni sulla classe della funzione di valutazione personalizzata, sulle differenze tra i tipi di partecipanti autorizzati oppure sull'impostazione delle etichette di sicurezza personalizzate, vedere
Etichette di sicurezza personalizzate.
L'impostazione di un gruppo definito dall'utente come partecipante autorizzato garantisce la massima flessibilità, in quanto l'appartenenza al gruppo può essere modificata in base alle esigenze mediante l'utilità Amministrazione partecipanti, la pagina > o uno strumento LDAP di terze parti per la gestione dei gruppi all'interno di un servizio di elenco utenti LDAP. Se un gruppo viene utilizzato come partecipante autorizzato per un valore dell'etichetta di sicurezza, l'appartenenza del gruppo può includere altri gruppi. Sebbene non esista una gerarchia esplicita tra i valori delle etichette di sicurezza, è possibile definire una gerarchia nidificando i gruppi all'interno di altri gruppi.
Ad esempio, l'etichetta di sicurezza standard Corporate Proprietary viene creata con tre valori: Private, Internal e Company Most Private. Sono disponibili tre gruppi di partecipanti autorizzati per l'etichetta di sicurezza Corporate Proprietary, ciascuno con l'autorizzazione per un valore dell'etichetta di sicurezza:
• Il gruppo Employees dispone dell'autorizzazione per il valore dell'etichetta di sicurezza Private.
• Il gruppo Internal Personnel dispone dell'autorizzazione per il valore di etichetta di sicurezza Internal ed è un membro del gruppo Employees; pertanto è autorizzato per il valore di etichetta di sicurezza Private.
• Il gruppo Highly Trusted Employees è autorizzato per il valore di etichetta di sicurezza Company Most Private e fa parte del gruppo Internal Personnel; pertanto, dispone dell'autorizzazione anche per i valori di etichetta di sicurezza Internal e Private.
Ciascuna etichetta di sicurezza standard o personalizzata può essere facoltativamente associata a un tipo di accordo. Agli utenti che non sono partecipanti autorizzati per tale valore dell'etichetta di sicurezza standard o per qualsiasi valore dell'etichetta di sicurezza personalizzata viene negato l'accesso agli oggetti a cui è applicato tale valore dell'etichetta di sicurezza, a meno che non venga specificamente concesso l'accesso temporaneo all'oggetto in virtù dell'appartenenza a un elenco di partecipanti autorizzati in base a un accordo attivo.
Ad esempio, un sito potrebbe configurare un'etichetta di sicurezza standard Export Control con i valori No License Required, License Required - State e Do Not Export.
• No License Required rappresenta il valore nullo e non impedisce ad alcun utente l'accesso agli oggetti con questo valore dell'etichetta di sicurezza.
• License Required - State consente l'accesso solo ai membri del gruppo US Persons.
Se al valore License Required - State è associato un accordo di tipo State Export Agreement, agli utenti che non appartengono al gruppo US Persons, ma soddisfano i requisiti di gestione delle licenze necessari, può essere concesso l'accesso temporaneo agli oggetti contrassegnati con il valore License Required - State tramite in base all'utilizzo di un accordo attivo State Export Agreement. Quando l'accordo viene creato, gli utenti che non sono membri del gruppo US Persons possono essere aggiunti all'elenco di partecipanti autorizzati dell'accordo, in modo che siano temporaneamente autorizzati per il valore License Required - State per qualsiasi oggetto associato.
• L'opzione Do Not Export limita l'accesso solo ai membri del gruppo US Persons. Poiché a questo valore non è associato alcun tipo di accordo, non è possibile in alcun modo concedere l'accesso temporaneo agli utenti che non appartengono al gruppo US Persons.
Se per il sito è configurata anche un'etichetta di sicurezza Corporate Proprietary, con il proprio insieme di valori di etichetta e di partecipanti autorizzati, è necessario che un utente sia autorizzato per entrambe le etichette di sicurezza per accedere all'oggetto. Ad esempio, se un utente è solo membro del gruppo US Persons, ovvero il gruppo di partecipanti autorizzati per il valore di etichetta License Required - State, tale utente non sarà in grado di accedere a un oggetto a cui sia applicato anche il valore di etichetta Internal. Analogamente, un utente che è solo membro del gruppo Internal Personnel, il gruppo di partecipanti autorizzati per il valore di etichetta Internal, non sarà in grado di accedere all'oggetto a cui sia applicato anche il valore License Required - State. Solo l'utente che dispone dell'autorizzazione per tutti i valori di etichetta, tramite l'appartenenza a tutti i gruppi di partecipanti autorizzati o tramite un accordo, sarà in grado di accedere all'oggetto.
La disponibilità dell'autorizzazione per un'etichetta di sicurezza non concede automaticamente a un utente l'autorizzazione per qualsiasi altra etichetta di sicurezza. Gli utenti, per essere in grado di accedere a un oggetto, devono ottenere l'autorizzazione per tutte le etichette di sicurezza impostate sull'oggetto.