Do cấu trúc tổ chức phân cấp của VO mà khi người dùng được phân vào nhóm con, thì người đó cũng đồng thời là thành viên của nhóm cha. Chính xác hơn, người dùng đó là thành viên của tất cả các nhóm nằm trên đường nối từ nhóm con đến nút gốc trên đồ thị.
Người dùng trong nhóm được đặc trưng bởi vai trò và các quyền tương ứng với vai trò đó. Khi người dùng tham gia nhóm, họ sẽ giữ một vai trò nào đó, đơn giản có thể là “Group Member”… hoặc cao nhất là VO-Admin. Phạm vi của vai trò chỉ được giới hạn trong nhóm. Sự khác nhau giữa nhóm và vai trò thể hiện ở chỗ: các nhóm người dùng tham gia luôn được chỉ rõ, còn vai trò của người dùng thì có thể được tùy chọn trong danh sách các vai trò có sẵn.
Tương ứng với vai trò là các quyền họ được phép làm. Vai trò và các quyền
được kế thừa từ các nhóm cha của nhóm mà người dùng đang tham gia.
Để kết luận, ta đưa ra mô hình:
Người dùng U là thành viên của nhóm {G1, G2… Gn}. Quan hệ của người dùng U với nhóm Gk, được đặc trưng bởi bộ ba (Gk, Rk, Ck) tương ứng với thông tin về thành viên nhóm, vai trò, quyền. Các thông tin phân quyền đầy đủ về U sẽ là (G1, R1, C1)… (Gn, Rn, Cn).
Bộ ba thuộc tính này phản ánh sự thỏa thuận giữa bên yêu cầu VO và bên thực thi RP. VO cung cấp các thông tin về quyền của người dùng, và RP có nhiệm vụđảm bảo thực thi các quyền đó. Lấy ví dụ như lưới dữ liệu CERN được coi như tổ chức ảo VO có hai nhóm là sản xuất (production) và sao lưu (replicator). Các vai trò có thể
trong nhóm là quản trị VO (VO-admin) và quản trị nhóm (Admin). Mỗi thành viên nhóm có các quyền thực thi lâu dài (long-job) hay là lưu trữ lớn (large-space).
55