关于访问控制列表
本节提供了有关如何从域的访问控制策略导出 ACL 的简要说明,并介绍了它们是如何用于强制执行访问控制的。
创建访问控制规则时,应指定规则的前提和规则的结论:
• 规则的前提包含以下几个部分:
◦ 域。
◦ 对象类型,它确定访问策略中可应用于特定对象的规则。
◦ 生命周期状态,它标识对于应用该权限对象必须处于的生命周期阶段。如果对象类型不是由生命周期管理的类型,则该状态不适用,并且只有生命周期状态被设置为“全部”(ALL) 的规则适用。
• 规则的结论包含以下几个部分:
◦ 参与者,可以是用户、用户定义组、系统组、角色或组织。用户可以是多个组或角色的成员。
◦ 规则是否为该参与者或除了特定参与者之外的所有参与者而设置。
◦ 关联权限。
◦ 权限是否被准予、拒绝或绝对拒绝。
针对除某位参与者外的所有人的规则,会将该参与者视为一个组,其组中成员是除以下人员之外的所有参与者:
• 管理员用户
• 选定的用户
• 在选定的组、动态角色或组织中的用户
例如,可编写一个规则,指定将拒绝除“管理员”组外所有参与者对“已发布”状态的“部件”的“删除”权限。在这种情况下,所有非“管理员”组成员的参与者都无法删除处于指定状态的的部件。
可将在“策略管理”实用程序中定义的角色按伪角色或动态角色进行分类:
• 为虚拟角色 OWNER 定义的规则指定应用于某个可拥有对象的所有者的权限。
• 为虚拟角色 ALL 定义的规则指定应用于所有参与者的权限。当计算 ACL 时,按照组的方式来处理此角色。
• 为动态角色定义的规则指定应用于与使用这些角色的上下文团队关联的对应系统组的权限。当为某个域派生 ACL 时,动态角色会解析成为与该域的上下文关联的系统组。如果在为动态角色定义的规则中,某个特定上下文并没有使用某些角色,则将忽略对应的规则。例如,假定已为组织的 Default 域中的上下文团队“设计者”角色定义了一个规则。如果在某特定应用程序上下文 (其中,该上下文已从 Default 组织域继承规则) 中未使用“设计者”角色,则将忽略为上下文团队“设计者”角色定义的规则。请参阅
使用动态角色集中管理访问控制规则。
可以在一个域内为某些或所有对象类型创建访问控制规则。这些规则一起构成了域的访问控制策略。
根据需要为每个规则前提创建 ACL。ACL 从域及其所有原型域的策略中导出,并且由多个 ACL 条目组成。每个 ACL 条目都包含一组与参与者关联的权限。每个 ACL 条目赋予 (+)、拒绝 (-) 或绝对拒绝 (!) 相关参与者的权限。
为了改善性能,在计算 ACL 时已将其缓存,以便下次用户请求访问特定对象时可进行快速检索。