Quando imposti un criterio dell'organizzazione su un nodo della gerarchia di risorse, tutti i discendenti di quel nodo ereditano il criterio dell'organizzazione per impostazione predefinita. Se imposti un criterio dell'organizzazione nel nodo radice dell'organizzazione, le limitazioni vengono ereditate da tutte le cartelle, i progetti e le risorse figli.
Puoi impostare lo stesso criterio dell'organizzazione con una configurazione diversa sui nodi secondari, che verranno sovrascritti o uniti al criterio ereditato in base alle regole di valutazione della gerarchia.
Prima di iniziare
Leggi la pagina Informazioni sui vincoli per scoprire cos'è un vincolo.
Leggi la panoramica del Servizio Criteri dell'organizzazione per scoprire come funzionano i criteri dell'organizzazione.
Gerarchia di esempio
Nel diagramma della gerarchia delle risorse riportato di seguito, ogni nodo imposta un criterio dell'organizzazione e definisce se eredita il criterio del nodo padre. Le forme colorate rappresentano i valori consentiti o vietati dai criteri dell'organizzazione.
Un vincolo è una definizione dei comportamenti controllati da un criterio dell'organizzazione. Nell'esempio riportato sopra, Constraint rappresenta il valore predefinito del vincolo, che definisce il comportamento quando non è presente un'organizzazione norma per il vincolo. Il valore predefinito del vincolo in questo esempio consente tutti i valori . I nodi sottostanti definiscono i criteri dell'organizzazione che sostituiscono il valore predefinito del vincolo consentendo o impedendo i valori.
Il criterio efficace su ciascun nodo viene valutato in base alle regole di ereditarietà. Se non viene impostato un criterio dell'organizzazione, il nodo erediterà il comportamento predefinito della limitazione. Se imposti un criterio dell'organizzazione, verrà utilizzato il tuo criterio. Nell'esempio precedente, il Nodo dell'organizzazione definisce un criterio che consente il quadrato rosso e il cerchio verde.
I nodi della risorsa nella gerarchia sotto il Nodo organizzazione vengono valutati come segue:
La risorsa 1 definisce un criterio che imposta
inheritFromParentsuTRUEe consente il diamante blu . Il criterio del Nodo dell'organizzazione viene ereditato e unito al criterio impostato sulla Risorsa 1. Il criterio vigente consente il quadrato rosso, il cerchio verde e il diamante blu.La risorsa 2 definisce un criterio che imposta
inheritFromParentsuTRUEe nega il cerchio verde . I valori di rifiuto hanno sempre la precedenza durante la riconciliazione dei criteri. Il criterio del Nodo dell'organizzazione viene ereditato e unito al criterio impostato sulla Risorsa 2. Il criterio efficace valuta di consentire solo il quadrato rosso .La risorsa 3 definisce un criterio che imposta
inheritFromParentsuFALSEe consente il esagono giallo . Il criterio del Nodo organizzazione non viene ereditato, pertanto il criterio effettivo valuta come consentito solo il esagono giallo.La risorsa 4 definisce un criterio che imposta
inheritFromParentsuFALSEe include il valorerestoreDefault. Il criterio del Nodo organizzazione non viene ereditato e viene utilizzato il comportamento di vincolo predefinito, pertanto il criterio effettivo valuta come consentito tutti i valori.
Regole di valutazione della gerarchia
Le seguenti regole regolano il modo in cui un criterio dell'organizzazione viene valutato in una determinata risorsa. Per impostare i criteri dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione.
Nessun criterio dell'organizzazione impostato
Se non imposti un criterio dell'organizzazione, un nodo della risorsa eredita dal suo antecessore più basso con un criterio impostato. Se non è impostato alcun criterio nella gerarchia degli antenati, viene applicato il comportamento predefinito della limitazione.
Ereditarietà
Un nodo della risorsa con un criterio dell'organizzazione impostato per impostazione predefinita sostituisce qualsiasi criterio impostato dai nodi principali nella gerarchia. Tuttavia, se un nodo della risorsa è impostato su inheritFromParent = true, il criterio effettivo della risorsa principale viene ereditato, unito e riconciliato per valutare il criterio effettivo risultante. Ad esempio:
- Una cartella nega il valore
projects/123. - Un progetto all'interno di questa cartella nega il valore
projects/456.
I due criteri vengono uniti e, in questo caso, si ottiene un criterio efficace che rifiuta sia projects/123 sia projects/456.
Non consentire l'ereditarietà
Se un nodo della gerarchia di risorse ha un criterio che includeinheritFromParent = false, non eredita il criterio dell'organizzazione dal suo elemento padre. Il nodo eredita invece il comportamento predefinito del vincolo, a meno che non imposti un criterio con valori consentiti o vietati.
Riconciliazione dei conflitti di norme
Quando un nodo secondario eredita i criteri dell'organizzazione in base ai vincoli dell'elenco, i criteri ereditati vengono uniti e riconciliati con i criteri dell'organizzazione del nodo. Nella valutazione delle norme dell'elenco, i valori DENY hanno sempre la precedenza. Ad esempio:
- Una cartella nega il valore
projects/123. - Un progetto all'interno di questa cartella consente il valore
projects/123.
I criteri vengono uniti e il valore DENY ha la precedenza. Il criterio effettivo nega tutti i valori e viene valutato allo stesso modo indipendentemente dal fatto che il nodo principale o secondario neghi il valore. È consigliabile non includere un valore sia negli elenchi consentiti che in quelli vietati. In questo modo, può essere più difficile comprendere le tue
norme.
I criteri dell'organizzazione derivati da
vincoli booleani non uniscono e
riconciliano i criteri. Se un criterio è specificato in un nodo della risorsa, il valore TRUE o
FALSE viene utilizzato per determinare il criterio effettivo. Ad esempio:
Una cartella imposta
enforced: trueperconstraints/compute.disableSerialPortAccess.Un progetto all'interno di questa cartella imposta
enforced: falseperconstraints/compute.disableSerialPortAccess.
Il valore enforced: true impostato sulla cartella viene ignorato perché
enforced: false è definito nel progetto stesso. Il criterio dell'organizzazione
non applicherà il vincolo per quel progetto.
Ripristina il criterio predefinito
Se invochi RestoreDefault, il criterio dell'organizzazione utilizzerà il comportamento predefinito del vincolo per questo nodo della gerarchia delle risorse. Anche i nodi figlio erediteranno questo comportamento.