アクセスが制御される各項目 (プログラム、ファイル、トランザクションなど) をリソースと呼びます。リソースには名前およびクラスがあり、クラスはリソースのタイプを示します。たとえば、各エンタープライズ サーバーはリソースであり、すべてのエンタープライズ サーバーは同じリソース クラスに属します。
リソース名はそのクラス内で一意でなければなりません。つまり、別々のクラスに属しているリソースの場合は、複数でも同じ名前で定義できます。
MSS リソースでは、IBM が定義したさまざまなクラス名が使用されます。MF Directory Server での ES 構成定義など、MSS 以外のリソースでは、Micro Focus が定義したリソース クラス名が使用されます (混同を避けるため、使用される構文は MSS リソース クラスには使用できない)。ユーザーが、アプリケーションにおいて明示的なアクセス チェックを実行するために、独自のリソース クラスを定義することもできます。
ユーザーがリソースへのアクセスを要求すると、セキュリティ機能がその要求を外部セキュリティ マネージャーに中継して、ユーザー、リソース、およびリソース クラスを指定します。セキュリティ マネージャーは、そのリソース名と一致するリソース規則を探します。要求の処理は外部セキュリティ マネージャーに依存します。
ESM モジュールで適切なサポートを提供していれば、mldap_esm モジュールの場合と同様に、Enterprise Server Administration の画面を使用してユーザー、グループ、リソース クラス、およびリソース (リソース エンティティと呼びます) を定義できます。リソース エンティティの定義では、承認要求を照合するためのルールを指定します。ESM によっては、リソース エンティティで完全なリソース名を指定するほかに、ワイルドカードを使用できる場合があります。これにより、1 つのルールを記述して複数のリソースに適用できます。
たとえば、mldap_esm モジュールでは、各リソース エンティティに、そのリソースに対するアクセス権を指定するアクセス制御リスト (ACL) があります。ACL 内の各エントリは、アクセス制御エントリまたは ACE と呼ばれます。それらのエントリにより、ユーザーまたはグループが識別され、許可または拒否される権限が決まります。
ユーザーは複数のユーザー グループに割り当てできます。それらのユーザーには、セキュリティ マネージャーおよびセキュリティ構成に応じて、ユーザーが属するすべてのグループ、ユーザーがサインオンした際に指定した特定のグループ、またはユーザー定義の一部として指定されたデフォルトのグループのいずれかの権限が許可されます。詳細については、「ユーザーが属するすべてのグループの使用」を参照してください。