Cet exemple illustre comment les autorisations attribuées sur un objet enfant peuvent remplacer les autorisations attribuées sur un objet parent. Vous pouvez utiliser ce comportement de non prise en compte pour limiter l'accès client à des zones spécifiques de l'inventaire.

Dans cet exemple, des autorisations sont définies sur deux objets différents pour deux groupes différents.

  • PowerOnVMRole peut mettre des machines virtuelles sous tension.
  • SnapShotRole peut prendre des snapshots de machines virtuelles.
  • PowerOnVMRole est accordé à PowerOnVMGroup sur le dossier de VM, avec l'autorisation définie pour propager aux objets enfant.
  • SnapShotRole est accordé à SnapShotGroup sur VM B.

L'utilisateur 1, qui appartient à la fois à PowerOnVMGroup et SnapShotGroup, se connecte. Puisque SnapShotRole est assigné à un point inférieur dans la hiérarchie que PowerOnVMRole, il ignore le PowerOnVMRole sur VM B. L'utilisateur 1 peut mettre sous tension VM A, mais ne peut pas prendre des snapshots. L'utilisateur 1 peut prendre des snapshots de VM B, mais ne peut pas les mettre sous tension.

Figure 1. Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent
Exemple d'autorisations d'enfant ignorant des autorisations de parent.