ユーザー認可範囲

「ユーザー認可範囲」は、システム認可範囲内で 1 人のユーザーが潜在的にアクセスできる最も広範なラベルのセット、つまり、システム認可範囲のサブセットです。ここには、ADMIN_HIGH と ADMIN_LOW は含まれません。ユーザー認可範囲は、label_encodings ファイルの「ACCREDITATION RANGE」部分にある一連の規則によって、さらに細かく制約されます。ユーザー認可範囲の規則では、管理者だけに許可されたラベルの組み合わせは除外されます。次の図の例は、前の図の続きとして、「ACCREDITATION RANGE」部分に記述された 3 種類の規則が、どのようにユーザー認可範囲に反映されるかを示したものです。矢印が示す組み合わせが、この 3 種類の規則によって許可された正しい形式のラベルです。

図 1-2 label_encodings ファイルの「ACCREDITATION RANGE」部分

図 1-2 に示すように、ユーザー認可範囲には ADMIN_HIGH と ADMIN_LOW は含まれません。格付け「TS」との組み合わせは、「TS B」を除き、すべて範囲に含まれています。「TS B」は、先のシステム認可範囲で、「REQUIRED COMBINATIONS」部分の「B A」という規則によってすでに除外されています (同様に、「S B」と「C B」も除外済み)。格付け「S」の組み合わせでは、「S A B」が唯一有効なものとして範囲に含まれています。また、格付け「C」の組み合わせは、「C A」を除くすべてが有効となっています (「C B」はシステム認可範囲の規則により除外済み)。