|
|
|
グループ継承は、グループ メンバシップによるアクセス権の継承をプリンシパルに許可します。 これは、組織の現在のセキュリティ規則と一致するグループにユーザを編成するとき、特に便利です。
「グループ継承の例 1」に、グループ継承のしくみを示します。 赤のグループは青のグループのサブグループなので、青のグループのアクセス権を継承します。 この場合、アクセス権 1 は[許可]されるものとして継承され、それ以外のアクセス権は[指定なし]です。 赤のグループのすべてのメンバは、このアクセス権を継承します。 さらに、このサブグループに設定されたほかのすべてのアクセス権も、そのメンバによって継承されます。 この例では、緑のユーザは赤のグループのメンバで、アクセス権 1 は[許可]、アクセス権 2、3、4、6 は[指定なし]、アクセス権 5 は[拒否]です。
複数のグループに所属しているユーザに対してグループ継承を有効にすると、ユーザの認証情報がチェックされるときには、すべての親グループのアクセス権がチェック対象となります。 いずれかの親グループで明示的に拒否されているアクセス権は拒否され、いずれかのグループで[指定なし]の状態にあるアクセス権もすべて拒否されます。したがって、このユーザは、1 つまたは複数のグループで(明示的に、またはアクセス レベルによって)許可され、かつ明示的に拒否されていないアクセス権だけが許可されます。 「グループ継承の例 2」では、緑のユーザは 2 つの関連のないグループのメンバです。 青のグループからアクセス権 1 と 5 が[許可]で、それ以外は[指定なし]で継承しています。ただし、緑のユーザは赤のグループにも属しており、赤のグループはアクセス権 5 が明示的に拒否されているので、青のグループから継承したアクセス権 5 は無効になります。
| Copyright © 2010 年 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |