Информационное письмо
Role-based access control (ролевая модель разграничения доступа)
жүктеу/скачать 5,22 Mb.
|
| Role-based access control (ролевая модель разграничения доступа)
Управление доступом на основе ролей Субъекту присваивается роль или роли Выдаются разрешения заданным ролям Реализует DAC и MAC Может быть усложнен введением наследования ролей Распространен в корпоративных приложениях Пример: пользователь может подтвердить заказ, если его роль – менеджер Суть подхода заключается в создании ролей, повторяющих роли участников бизнес процессов в компании, и присваивание их пользователям. На основе этих ролей проверяется возможность выполнения пользователем того или иного действия. Если бизнес-правила одномерны и все действия можно распределить по ролям (бухгалтер, менеджер, администратор и т. п.), такого подхода будет достаточно. Тогда одному бизнес-правилу будет соответствовать одна роль. Рис. 6. Распределение ролей по бизнес правилам в ролевой модели Но бизнес-правила неизбежно усложняются и становятся многомерными. Это приводит к тому, что одного атрибута (роли) для выражения бизнес-правил становится недостаточно и начинают добавляться другие атрибуты (город, страна, филиал, день недели, владелец, лимит и т. п.). Чтобы справиться с этой сложностью, необходимо создавать дополнительные роли, число которых равно числу различных комбинаций всех атрибутов. Рис. 7. Рост многомерности бизнес правил После каждого добавления нового значения атрибута придется добавлять новые роли. То есть, если появится филиал «Г», то придется добавить новые роли, такие как «Администратор филиала «Г», «Менеджер филиала «Г», «Бухгалтер филиала «Г» и т. п., после чего присвоить всем требуемым сотрудникам новые роли. Это порождает много рутинного ручного труда. Кроме этого, появляются и другие недостатки: одно бизнес-правило «размазывается» среди множества ролей и становится неочевидным, что усложняет понимание такого правила и его поддержку; начинается взрывной рост числа ролей, что значительно усложняет управление ими. Бизнес-правила, в которых используются атрибуты, значения которых заранее не известны и вычисляются в процессе работы, невозможно выразить с помощью ролевой модели. Рис. 8. Бизнес-правила с атрибутами, значения которых заранее не известны Бизнес-правила, которые ограничивают доступ не к действиям, а к данным, также невозможно выразить с помощью ролевой модели: Рис. 9. Бизнес-правила, которые ограничивают доступ не к действиям, а к данным жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|