Информационное письмо
Attribute-based access control (модель разграничения доступа на основе атрибутов)
жүктеу/скачать 5,22 Mb.
|
- Бұл бет үшін навигация:
- Рис. 11.
| Attribute-based access control (модель разграничения доступа на основе атрибутов)
Управление доступом на основе атрибутов Субъекты и объекты наделяются атрибутами Политики вычисляют условия, заданные через выражения атрибутов субъекта и объекта Пример: Пользователь может подтвердить заказ, если подразделение пользователя равно подразделению, в котором создан заказ, и должность субъекта – менеджер Основное отличие этого подхода в том, что каждая ситуация оценивается не с точки зрения роли пользователя и действия, которое он хочет совершить, а с точки зрения атрибутов, которые к ним относятся. Бизнес-правило представляет собой набор условий, в которых различные атрибуты должны удовлетворять предъявляемым к ним требованиям. Можно явно выделить несколько категорий атрибутов: Рис. 10. Несколько категорий атрибутов Для выполнения авторизации значения всех атрибутов берутся в момент проверки прав и сравниваются с ожидаемыми значениями. Выполнение всех условий обеспечивает доступ к ресурсу. Простые правила описываются простыми условиями. Рис. 11. Пример простых бизнес правил Многомерные правила в этой модели не становятся более сложными Рис. 12. Пример многомерных бизнес правил ABAC позволяет избежать проблем, которые появляются в RBAC: бизнес-правило не «размазывается» по системе, что делает его понимание и поддержку достаточно простыми; не происходит взрывного роста числа условий, что упрощает их сопровождение. ABAC позволяет решить проблемы, которые невозможно решить с помощью RBAC, поскольку в этом подходе нет ограничений на сложность бизнес-правил. Бизнес-правила любой сложности, в том числе с использованием заранее неизвестных атрибутов, не создают новых проблем и просты в сопровождении. Представление бизнес-правила в виде набора условий удобно использовать для фильтрации данных. Часть условий можно вычислить еще до обращения к ресурсу, а оставшиеся условия становятся фильтром для выбора данных. Рис. 13. Пример бизнес правил с применением фильтра Первые три условия можно проверить еще до обращения к данным. А последнее условие можно использовать в качестве предиката для получения только разрешенных данных. Таблица 1. Сравнение ABAC и RBAC Как видно из сравнения, RBAC хорошо подходит только для реализации простых бизнес-правил. С увеличением сложности правил целесообразность использования RBAC уменьшается из-за растущей стоимости поддержки системы контроля доступа, а начиная с определенного уровня сложности правил этот подход вообще не дает результата. ABAC, в свою очередь, не ограничивает сложность бизнес-правил. Благодаря более понятному бизнесу и компактному выражению этот подход позволяет не увеличивать стоимость поддержки при реализации более сложных правил, а также дает возможность обеспечивать контроль доступа не только к действиям, но и к данным. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|