Objets de contrôle d'accès

Les données de contrôle d'accès complètes pour une ressource sont représentées sur le client par un objet PacList. PAC signifie Portal Access Control (contrôle d'accès au portail). Les objets de PacList sont opaques, ils ne peuvent pas être manipulés directement. A l'inverse, ils sont chargés dans le bean PacList, qui fournit les opérations permettant de visualiser et de modifier les objets. Les objets PacList sont obtenus et ré-écrits grâce au bean Access.

Les données de contrôle d'accès pour une ressource sont fractionnées dans des groupes de données similaires pour plusieurs jeux d'actions. Elles sont également appelées types de rôle. Le terme action est utilisé ici parce qu'il est le moins susceptible d'être source d'erreurs d'interprétation. Le portail utilise des ensembles d'actions prédéfinis, qui associent les actions des types d'utilisateurs de portail suivants. Un nom par ensemble d'actions est donné entre parenthèses. D'autres noms figurent dans l'aide relative aux beans PacList.
  • Utilisateur (User)
  • Utilisateur privilégié (PrivilegedUser)
  • Editeur (Editor)
  • Manager (Manager)
  • Délégant (Delegator)
  • Administrateur de la sécurité (SecurityAdmin)
  • Administrateur (Admin)

Pour chaque jeu d'actions, il existe une liste de principaux explicitement autorisés à réaliser les actions correspondantes. Une entité représente un groupe ou un utilisateur spécifié ou différencié par un nom (DN). Il existe trois entités particulières représentant respectivement un utilisateur anonyme, tous les utilisateurs authentifiés et tous les groupes d'utilisateurs.

Outre la liste des principaux, deux indicateurs contrôlent la distribution implicite des droits d'accès via des hiérarchies de ressources. L'indicateur d'héritage contrôle la distribution des autorisations à partir d'un parent vers les noeuds des enfants. Si l'héritage n'est pas bloqué, un principal doté de droits d'accès au parent dispose également de droits d'accès à l'enfant. Ce type de droits d'accès est utile pour les actions d'ordre administratif. L'indicateur de propagation contrôle l'autre direction. Si la propagation n'est pas bloquée, un principal doté de droits d'accès à au moins un enfant dispose également de droits d'accès au parent. Ce type de droits d'accès est utile pour des actions simples, telles que l'affichage d'une page, qui nécessite un droit d'accès de visualisation à tous les parents.

Bien que les indicateurs puissent être manipulés pour chaque jeu d'actions, il sont ignorés pour les administrateurs de sécurité et les administrateurs. Pour ces deux ensembles d'action, l'héritage et la propagation ne sont jamais bloqués.