Gli oggetti possono avere più autorizzazioni, ma solo un'autorizzazione per ogni utente o gruppo. Ad esempio, un'autorizzazione potrebbe specificare che GroupAdmin ha il ruolo di amministratore per un oggetto. Un'altra autorizzazione potrebbe specificare che il GruppoVMAdmin disponga del ruolo di Amministratore delle macchine virtuali per lo stesso oggetto. Tuttavia, il gruppo GroupVMAdmin non può avere un'altra autorizzazione per lo stesso GruppoVMAdmin per questo oggetto.
Un oggetto secondario eredita le autorizzazioni dell'oggetto principale corrispondente se la proprietà di propagazione dell'oggetto principale è impostata su true. Un'autorizzazione impostata direttamente in un oggetto secondario sostituisce l'autorizzazione nell'oggetto principale. Vedere Esempio 2: autorizzazioni secondarie che sostituiscono le autorizzazioni principali.
Se sullo stesso oggetto vengono definiti più ruoli di gruppo e un utente appartiene a due o più di questi gruppi, sono possibili due situazioni:
- Nessuna autorizzazione per l'utente è definita direttamente nell'oggetto. In questo caso, l'utente ottiene l'unione delle autorizzazioni di cui i gruppi dispongono sull'oggetto.
- Un'autorizzazione concessa all'utente viene definita direttamente nell'oggetto. In questo caso, le autorizzazioni concesse all'utente hanno la precedenza su tutte le autorizzazioni dei gruppi.
Esempio 1: ereditarietà delle autorizzazioni da più gruppi
In questo esempio viene illustrato come un oggetto può ereditare più autorizzazioni dai gruppi a cui è concessa l'autorizzazione per un oggetto principale.
In questo esempio, nello stesso oggetto vengono assegnate due autorizzazioni per due gruppi diversi.
- PowerOnVMRole può accendere le macchine virtuali.
- SnapShotRole può acquisire snapshot di macchine virtuali.
- A PowerOnVMGroup viene concessa l'autorizzazione PowerOnVMRole nella cartella della macchina virtuale, con l'autorizzazione impostata per propagarsi agli oggetti secondari.
- A SnapShotGroup viene concessa l'autorizzazione SnapShotRole nella cartella della macchina virtuale, con l'autorizzazione impostata per propagarsi agli oggetti secondari.
- All'utente 1 non vengono assegnati privilegi specifici.
L'utente 1, che appartiene sia a PowerOnVMGroup sia a SnapShotGroup, effettua l'accesso. L'utente 1 può accendere e acquisire snapshot sia della macchina virtuale A sia della macchina virtuale B.
Esempio 2: autorizzazioni secondarie che sostituiscono le autorizzazioni principali
In questo esempio viene illustrato come le autorizzazioni assegnate a un oggetto secondario possono sostituire le autorizzazioni assegnate a un oggetto principale. È possibile utilizzare questo comportamento di sostituzione per limitare l'accesso dell'utente a determinate aree dell'inventario.
In questo esempio, le autorizzazioni sono definite su due oggetti diversi per due gruppi diversi.
- PowerOnVMRole può accendere le macchine virtuali.
- SnapShotRole può acquisire snapshot di macchine virtuali.
- A PowerOnVMGroup viene concessa l'autorizzazione PowerOnVMRole nella cartella della macchina virtuale, con l'autorizzazione impostata per propagarsi agli oggetti secondari.
- A SnapShotGroup viene concessa l'autorizzazione SnapShotRole sulla macchina virtuale B.
L'utente 1, che appartiene sia a PowerOnVMGroup sia a SnapShotGroup, effettua l'accesso. Poiché l'autorizzazione SnapShotRole è assegnata in un punto inferiore della gerarchia rispetto a PowerOnVMRole, sostituisce PowerOnVMRole sulla macchina virtuale B. L'Utente 1 può accendere la macchina virtuale A, ma non acquisire snapshot. L'Utente 1 può acquisire snapshot della macchina virtuale B, ma non accenderla.
Esempio 3: sostituzione di Ruolo gruppo da parte di Ruolo utente
In questo esempio viene illustrato come il ruolo assegnato direttamente a un singolo utente sostituisce i privilegi associati a un ruolo assegnato a un gruppo.
In questo esempio, le autorizzazioni sono definite nello stesso oggetto. Un'autorizzazione associa un gruppo a un ruolo, l'altra autorizzazione associa un singolo utente a un ruolo. L'utente è membro del gruppo.
- PowerOnVMRole può accendere le macchine virtuali.
- A PowerOnVMGroup viene concessa l'autorizzazione PowerOnVMRole nella cartella della macchina virtuale.
- All'Utente 1 viene concesso il ruolo NoAccess nella cartella della macchina virtuale.
L'Utente 1, che appartiene a PowerOnVMGroup, effettua l'accesso. Il ruolo NoAccess concesso all'Utente 1 nella cartella della macchina virtuale sostituisce il ruolo assegnato al gruppo. L'Utente 1 non ha accesso alla cartella della macchina virtuale o alle macchine virtuali A e B. Le macchine virtuali A e B non sono visibili nella gerarchia all'Utente 1.