Comprende la evaluación de jerarquías

Cuando configuras una política de la organización en un nodo de la jerarquía de recursos, todos los descendientes de ese nodo de la jerarquía de recursos heredan la política de la organización de forma predeterminada. Si configuras una política de la organización en el nodo de la organización raíz, todas las carpetas, proyectos y recursos secundarios heredan esas restricciones.

Puedes configurar una política de la organización personalizada en los nodos secundarios, que reemplazará a la política heredada o se combinará con ella en función de las reglas de la evaluación de la jerarquía.

Antes de comenzar

Ejemplo de una jerarquía

En el siguiente diagrama de la jerarquía de recursos, cada nodo configura una política de la organización personalizada y define si esta hereda la política del nodo superior. Las formas coloreadas representan los valores que la política de la organización admite o rechaza.

Diagrama de herencias

Una Restricción es una definición de los comportamientos que controla una política de la organización. La Restricción del ejemplo anterior tiene un comportamiento predeterminado que admite todos los valores. En los nodos que le siguen, se definen las políticas personalizadas que reemplazan este comportamiento cuando admiten o rechazan los valores.

La política vigente en cada nodo se evalúa en función de las reglas de herencia. Si no se configura una política de la organización personalizada, el nodo heredará el comportamiento de la restricción predeterminado. En cambio, si configuras una política de la organización, se usa tu política personalizada. En el ejemplo anterior, en el Nodo de la organización, se define una política que admite el cuadrado rojo y el círculo verde.

Los nodos de los recursos que están debajo del Nodo de la organización en la jerarquía se evalúan de la siguiente manera:

  1. El Recurso 1 define una política personalizada que configura inheritFromParent como TRUE y admite el diamante azul. La política del Nodo de la organización se hereda y se combina con la política personalizada, y la política vigente admite el cuadrado rojo, el círculo verde y el diamante azul.

  2. El Recurso 2 define una política personalizada que configura inheritFromParent como TRUE y rechaza el círculo verde. Los valores de rechazo siempre prevalecen durante la conciliación de las políticas. La política del Nodo de la organización se hereda y se combina con la política personalizada, y la política vigente solo admite el cuadrado rojo.

  3. El Recurso 3 define una política personalizada que configura inheritFromParent como FALSE y admite el hexágono amarillo. La política del Nodo de organización no se hereda, por lo que la política vigente solo admite el hexágono amarillo.

  4. El Recurso 4 define una política personalizada que configura inheritFromParent como FALSE y, además, incluye el valor restoreDefault. La política del Nodo de la organización no se hereda, y se usa el comportamiento de la restricción predeterminado, por lo que la política vigente admite todo.

Reglas de evaluación de la jerarquía

Las siguientes reglas rigen cómo se evalúa la política de la organización en un recurso determinado. Necesitas la función de administrador de políticas de la organización para configurar la política de la organización.

No se configuró una política de la organización

Si no configuras una política de la organización, el nodo de un recurso hereda una de su superior. Si el nodo superior es el nodo de la organización o no tiene una política de la organización, se aplicará de forma forzosa el comportamiento de la restricción predeterminado.

Herencia

El nodo de un recurso que tiene configurada una política de la organización de forma predeterminada reemplaza cualquier política que hayan configurado los nodos superiores en la jerarquía. Sin embargo, si en el nodo de un recurso se configuró inheritFromParent = true, la política vigente del recurso superior se hereda, se combina y se concilia para evaluar la política resultante vigente. Por ejemplo:

  • Una carpeta rechaza el valor projects/123.
  • Un proyecto dentro de esa carpeta rechaza el valor projects/456.

Las dos políticas se combinan y, en este caso, dan como resultado una política vigente que rechaza projects/123 y projects/456.

Inhabilita la herencia

Si un nodo de la jerarquía de recursos tiene una política que incluye inheritFromParent = false, no hereda la política de la organización de su superior. En su lugar, el nodo hereda el comportamiento de la restricción predeterminado, a menos que configures una política con valores admitidos o rechazados.

Concilia conflictos de políticas

Cuando un nodo secundario hereda políticas de la organización basadas en restricciones de listas, las políticas heredadas se combinan y se concilian con la política de la organización del nodo. En la evaluación de las políticas de listas, los valores DENY siempre prevalecen. Por ejemplo:

  • Una carpeta rechaza el valor projects/123.
  • Un proyecto dentro de esa carpeta admite el valor projects/123.

Las políticas se combinan y el valor DENY prevalece. La política vigente rechaza todos los valores y evaluará, de la misma forma, si el nodo superior o secundario rechaza el valor. Es mejor no incluir un mismo valor en las listas de los recursos admitidos y rechazados. Esto puede hacer que la comprensión de tus políticas se torne dificultosa.

Las políticas de la organización que derivan de restricciones booleanas no combinan ni concilian políticas. Si se especifica una política en el nodo de un recurso, ese valor TRUE o FALSE se usa para determinar la política vigente. Por ejemplo:

  • Una carpeta configura enforced: true en constraints/compute.disableSerialPortAccess.

  • Un proyecto dentro de esa carpeta configura enforced: false en constraints/compute.disableSerialPortAccess.

Se ignora el valor enforced: true configurado en la carpeta, ya que enforced: false se configura en el proyecto mismo. La política de la organización no aplicará la restricción de forma forzosa en ese proyecto.

Restablece la política predeterminada

Cuando invocas RestoreDefault, la política de la organización usará el comportamiento de la restricción predeterminado en el nodo de esta jerarquía de recursos. Los nodos secundarios también heredarán este comportamiento.