В оценке списка управления доступом aem, когда пользователь входит в две группы, одна имеет разрешение на доступ, а другая отказывает, который будет применен?

Question

Правила оценки ACL, которые я обнаружил:

• Разрешающие права имеют более высокий приоритет, чем запрещающие права.
• Принципы группы оцениваются по порядку, как в пределах иерархии, так и в порядке в пределах одногосписок управления доступом, т.е. на том же узле (CONCURRENT).

• Этот список затем сканируется снизу вверх, пока не будет найдено первое соответствующее разрешение на применение к странице

  , поэтому, когдапользователь является частью обеих групп, какое правило применяется, когда запрещающее разрешение находится внизу списка? первое правило или третье правило?

В случае групповой иерархии как создается ACL в соответствии с иерархией групп или для того, чтобы мы давали разрешение групповым принципалам?

Answer 1

Зависит от последовательности разрешающей / запрещающей политики повторений. Если запрет будет размещен после разрешения, у пользователя не будет доступа. Лучше всего всегда устанавливать запрет для всех, за которыми следует выборочно разрешенные разрешения.