安全术语表

以下是所有您需要熟悉的安全术语。

• 访问: 表示用户是否能够知道某一资源的存在。如果用户有访问权限，他们可以通过角色接收使用资源的各种能力。如果用户没有访问权限，他们将不知道资源的存在。 参见: 资源, 角色
• 访问要求: 确定哪些用户可以访问项目或资源的独特安全要求。这些要求包括组织和/或权限标记。如果用户满足项目或资源的访问要求，那么用户可以看到该项目或资源的存在，并可以被授予其上的角色。 参见: 组织, 权限标记, 角色
• 属性: 关于用户的结构化信息类型，如其姓名、电子邮件或任务头衔。
• 凭证收集器: 负责收集用户凭证的系统，随后由认证源验证。主要的收集器类型是SAML。
• 默认角色 (在平台上): Foundry平台提供四种角色：所有者、编辑者、只读和发现者。角色管理员可以选择自定义这些角色或基于这些默认角色创建全新的角色。角色定义还可以指定哪些角色可以在同一资源上授予其他角色，创建角色的层次结构。 参见: 角色
• 默认角色 (在项目上): 项目上的默认角色定义自动授予所有满足访问要求的用户的角色。如果项目没有默认角色，用户将能够看到项目的名称和描述并请求项目访问，但无法发现项目内容。为促进协作和发现，项目创建时使用只读默认角色，除非另有说明。 参见: 角色, 项目
• 自由控制: 扩展用户在其访问基础上的整体能力，并通过角色授予。自由控制是附加性的，意味着自由控制只能为用户增加权限，而不能限制用户的权限。通过数据共享工作流可以向用户授予自由控制：例如，创建报告并与同事共享报告，将授予她查看报告的权限。
• 扩展访问: 扩展访问是指对资源的访问要求进行任何更改，以便可以潜在访问该资源的受众得到扩展。在权限标记的情况下，删除任何权限标记是一个扩展访问事件。在组织的情况下，扩展访问可以通过（1）添加其他组织（至少一个已应用时），或（2）删除唯一应用的组织来实现。 参见: 访问要求, 组织, 权限标记
• 组: 一组用户和/或其他组。组可以是内部的，意味着在Foundry中定义，或外部的，意味着由外部身份提供商（如Active Directory）或用户管理器定义。内部组可以包含外部组和用户。 参见: 身份提供商, 用户管理器
• 身份提供商: 一个系统，赋予应用程序在用户或服务登录时验证其身份的能力，并提供有关用户、组和属性的信息。身份提供商（IdP）是用户和组信息及属性的来源。IdP使应用程序能够在用户或服务登录时验证他们，并了解这些用户的信息。 参见: 属性, 用户, 组
• 继承/继承的权限: 应用在项目级别的访问要求通过继承在项目中的其他文件和文件夹中继承。同样，在项目级别授予的角色将通过继承授予项目中所有资源。 参见: 角色
• 强制控制: 一种全有或全无的访问限制。即使在用户的角色下，除非用户满足资源的强制控制，否则用户无法以任何方式访问资源。这些控制以组织和权限标记的形式出现。例如，如果同事共享了一个报告，而支持该报告的数据集被标记为绝密权限标记，则除非用户被允许访问绝密级别的数据，否则无法获得报告的访问权限。 参见: 角色, 组织, 权限标记
• 权限标记: 应用于资源的访问要求，以全有或全无的方式限制访问。为了满足访问要求，用户必须是应用在资源上的所有权限标记的成员。权限标记是一种强制控制。 参见: 访问要求, 资源, 强制控制
• 权限标记类别: 权限标记的集合。权限标记类别的可见性可以限制为某些组织，并且可以是可见或隐藏的。可见的类别对于任何是所需组织的成员或客座成员的人都是可发现的。隐藏类别仅能被来自所需组织的用户发现，这些用户在类别或类别的权限标记上被明确授予权限。 参见: 权限标记, 组织
• 空间（以前称为命名空间）: 项目的更高阶分组，可以定义统一设置，如文件系统或使用跟踪账户。 参见: 项目
• 组织: 应用于项目的访问要求，在用户和资源组之间实施严格的隔离。每个用户将是一个组织的成员。为了满足访问要求，用户必须是应用于项目的一个组织的成员。组织是一种强制控制。 参见: 访问要求, 资源, 强制控制
• 组织可发现性: 一个组织的用户如何查看其他组织，反之亦然。组织之间的可发现性是可配置的；一个组织的用户、组和/或资源可以被设定为可发现或隐藏。 参见: 组织
• 权限: 授予用户或组的一组能力，允许他们在平台或资源上执行某些任务。 参见: 角色, 权限标记, 资源
• 项目: 项目是一个组织人员和资源为特定目的而协作的空间。项目是Foundry中的主要安全边界，代表了共享工作的集合。项目中的用户对其内容的访问大致均匀（具体访问可能因自由控制而异），这意味着访问要求和角色应在项目级别应用。 参见: 资源, 访问要求
• 领域: Foundry中的认证源。每个用户的领域可以在平台设置中查看。 参见: 用户
• 引用: 指向资源的链接，使资源包含在项目的范围内。引用通常用于在搭建数据管道时包含当前项目外的数据集。 参见: 项目
• 资源: 在Foundry平台中任何可唯一标识的东西，如项目、文件夹、分析和数据集。资源通过访问要求和权限进行保护。 参见: 项目, 角色
• 受限视图: 一种特殊的数据集，其中基于定义的规则对文件中的数据进行细粒度访问控制。这些规则基于用户属性，并根据用户的访问级别隐藏或显示数据集的行。 参见: 属性, 用户
• 角色: 一组定义用户可以在给定资源上执行的特定工作流的权限。角色是一种自由控制，通常在项目级别授予，以在项目范围内的所有资源上提供统一的能力。 参见: 工作流, 资源, 自由控制
• 标签: 可以应用于资源以进行分类和发现的结构化元数据。标签组织为类别，其可见性可以限制为一个或多个组织。标签可以是一个有用的构造，但标签不以任何方式增加或暗示安全性。
• 用户: 已通过身份验证并可访问Foundry的个人。用户由外部身份提供商定义（例如，Active Directory系统）。 参见: 领域
• 用户管理器: 一个非必填的Foundry模块，用于在登录流程中添加自定义逻辑，通常是在登录期间指派用户组和属性。例如，用户管理器可以允许特定用户登录，同时不允许所有其他用户登录。最简单的用户管理器是同步的，这意味着Foundry将在登录期间同步（同时）访问服务而无需用户交互。异步用户管理器（AUMs）将重定向到一个服务器，该服务器可以显示页面并支持用户交互（如确认最终用户许可协议）然后允许登录继续。 参见: 用户
• 工作流: 执行应在单个角色中一起授予的特定用户操作所需的权限集。 参见: 角色