9、访问与权限的委托和提升

访问与权限的委托和提升

1. 访问与权限委托

1.1 标准 ELS 委托

标准 ELS 委托是指在 ELS 飞地内，具有委托权限的成员将访问和权限委托给同一飞地内的其他成员。委托是解决访问和权限要求定义不明确问题的操作方案，但不能替代更正式的访问和权限要求定义。在进行委托时需谨慎选择，因为有可能将访问和权限委托给不应拥有这些的人。

委托涉及的双方都已知且能够从 STS 接收带有访问声明的 SAML 断言。委托的操作主要是将额外的委托声明添加到接收委托的个体（被委托者）的 DN 下的声明存储中，以便检索并插入到 SAML 断言中。声明分为两种类型：
- ** discretionary 声明 ：包括对服务的访问权限、复制或修改数据的能力等，这些声明可以被委托。
- ** mandatory 声明 ：属于提出声明的特定 DN，如安全许可、在企业的工作时间、非试用期状态等，这些声明属于被委托者，不能被委托。缺少任何访问所需的 mandatory 声明都可能导致委托失败。

以 Alice 向 Bob 委托声明 C 为例，具体步骤如下：
1. Alice 必须在 EAS 中，且拥有声明 C，声明 C 必须是可委托的，Alice 必须拥有委托权限，Bob 必须在 EAS 中列出。
2. Alice 使用其委托权限访问委托服务后，从可用的可委托声明中选择声明 C。不可委托的声明要么从列表中省略，要么包含但处于非活动状态（如变灰且不可从列表中选择）。
3. 选择声明 C 后，Alice 选择 Bob 作为委托声明的接收者。接收者的 DN 可以手动输入，也可以从预填充的列表中选择。列表方