Informazioni sulla valutazione della gerarchia

Quando imposti un criterio dell'organizzazione su un nodo della gerarchia delle risorse, per impostazione predefinita tutti i discendenti del nodo della gerarchia delle risorse ereditano il criterio dell'organizzazione. Se imposti un criterio dell'organizzazione nel nodo organizzazione principale, le limitazioni vengono ereditate da tutte le cartelle, i progetti e le risorse secondarie.

Puoi impostare lo stesso criterio dell'organizzazione con una configurazione diversa sui nodi secondari, che verranno sovrascritti o uniti al criterio ereditato in base alle regole di valutazione della gerarchia.

Prima di iniziare

• Per scoprire di più sui vincoli, consulta la pagina Informazioni sui vincoli.

• Leggi la panoramica del Servizio Criteri dell'organizzazione per scoprire di più sul funzionamento dei criteri dell'organizzazione.

Gerarchia di esempio

Nel diagramma della gerarchia delle risorse riportato di seguito, ogni nodo imposta un criterio dell'organizzazione e definisce se eredita il criterio del nodo padre. Le forme colorate rappresentano i valori consentiti o rifiutati dal criterio dell'organizzazione.

Un vincolo è una definizione dei comportamenti controllati da un criterio dell'organizzazione. Nell'esempio precedente, il vincolo rappresenta l'impostazione predefinita del vincolo, che definisce il comportamento quando non è presente alcun criterio dell'organizzazione per il vincolo. Il vincolo predefinito in questo esempio consente all_inclusive tutti i valori. I nodi al di sotto definiscono i criteri dell'organizzazione che sostituiscono il valore predefinito consentendo o negando i valori.

Il criterio effettivo su ciascun nodo viene valutato in base alle regole di ereditarietà. Se un criterio dell'organizzazione non viene configurato, il nodo erediterà il comportamento del vincolo predefinito. Se imposti un criterio dell'organizzazione, viene utilizzato il tuo criterio. Nell'esempio precedente, Nodo organizzazione definisce un criterio che consente il quadrato rosso square e il cerchio verde circle.

I nodi delle risorse che si trovano nella gerarchia sotto il Nodo organizzazione vengono valutati come segue:

1. La risorsa 1 definisce un criterio che imposta inheritFromParent su TRUE e consente il rombo blu square. Il criterio dal Nodo organizzazione viene ereditato e unito al criterio impostato sulla Risorsa 1. Il criterio effettivo consente di autorizzare il quadrato rosso square, il cerchio verde circle e il square rombo blu.

2. La risorsa 2 definisce un criterio che imposta inheritFromParent su TRUE e nega il cerchio verde circle. I valori di negazione hanno sempre la precedenza durante la riconciliazione dei criteri. Il criterio dal nodo organizzazione viene ereditato e unito al criterio impostato sulla risorsa 2. Il criterio effettivo consente di consentire solo il quadrato rosso square.

3. La risorsa 3 definisce un criterio che imposta inheritFromParent su FALSE e consente l'esagono giallo hexagon. Il criterio del nodo organizzazione non viene ereditato, quindi il criterio effettivo valuta di consentire solo l'esagono giallo hexagon.

4. La risorsa 4 definisce un criterio che imposta inheritFromParent su FALSE e include il valore restoreDefault. Il criterio dal Nodo organizzazione non viene ereditato e viene utilizzato il comportamento del vincolo predefinito, di conseguenza il criterio effettivo valuta di consentire all_inclusive tutti i valori.

Regole di valutazione della gerarchia

Le seguenti regole regolano il modo in cui un criterio dell'organizzazione viene valutato per una determinata risorsa. Per impostare il criterio dell'organizzazione, devi disporre del ruolo Amministratore criteri organizzazione.

Nessun criterio dell'organizzazione impostato

Se non imposti un criterio dell'organizzazione, un nodo della risorsa eredita dal suo predecessore più basso con un criterio impostato. Se non è impostato alcun criterio nella gerarchia dei predecessori, viene applicato il comportamento predefinito del vincolo.

Ereditarietà

Un nodo di risorse in cui è impostato un criterio dell'organizzazione per impostazione predefinita sostituisce qualsiasi criterio impostato dai nodi padre nella gerarchia. Tuttavia, se un nodo della risorsa ha impostato inheritFromParent = true, il criterio effettivo della risorsa padre viene ereditato, unito e riconciliato per valutare il criterio effettivo risultante. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto in quella cartella nega il valore projects/456.

I due criteri vengono uniti e, in questo caso, un criterio effettivo nega sia projects/123 sia projects/456.

Non consentire ereditarietà

Se un nodo della gerarchia delle risorse ha un criterio che include inheritFromParent = false, non eredita il criterio dell'organizzazione dal relativo elemento padre. Il nodo eredita invece il comportamento predefinito del vincolo, a meno che non imposti un criterio con valori consentiti o negati.

Riconciliazione dei conflitti delle norme

Quando un nodo secondario eredita i criteri dell'organizzazione in base ai vincoli dell'elenco, i criteri ereditati vengono uniti e riconciliati con il criterio dell'organizzazione del nodo. Nella valutazione dei criteri dell'elenco, i valori DENY hanno sempre la precedenza. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto in questa cartella consente il valore projects/123.

I criteri vengono uniti e il valore DENY ha la precedenza. Il criterio effettivo nega tutti i valori e valuterà allo stesso modo se il nodo principale o secondario nega il valore. È meglio non includere un valore negli elenchi consentiti e negati. In questo modo sarà più difficile comprendere le tue norme.

I criteri dell'organizzazione derivati da boolean constraints non uniscono e riconciliano i criteri. Se un criterio viene specificato su un nodo della risorsa, quel valore TRUE o FALSE viene utilizzato per determinare il criterio effettivo. Ad esempio:

• Una cartella imposta enforced: true per constraints/compute.disableSerialPortAccess.

• Un progetto in quella cartella imposta enforced: false per constraints/compute.disableSerialPortAccess.

Il valore enforced: true impostato nella cartella viene ignorato perché enforced: false è definito nel progetto stesso. Il criterio dell'organizzazione non applicherà il vincolo per quel progetto.

Reimposta criterio predefinito

Se richiami RestoreDefault, il criterio dell'organizzazione utilizzerà il comportamento predefinito del vincolo per questo nodo della gerarchia delle risorse. Anche i nodi secondari erediteranno questo comportamento.