Право доступа как абстракция

Право доступа как абстракция
ISIM предлагает интересную концепцию "права доступа", отражающую разный взгляд на права доступа со стороны бизнеса и ИТ. Существуют разные технические способы изменения полномочий сотрудника в системе - добавить учетную запись, изменить атрибуты существующей учетной записи, назначить бизнес-роль и т.п. Однако пользователя системы эти нюансы, как правило, не интересуют. Пользователь хочет просто получить нужный ему доступ. 
name='more'> ISIM дает пользователю возможность поиска в каталоге доступных ему прав доступа. Право доступа - это "нечто", имеющее название и описание в терминах понятных конечному пользователю, например: "Доступ к корпоративной системе документооборота". Запросив и получив этот доступ, сотрудник сможет зайти в СЭД. Но что фактически произошло, как в действительности изменились учетные  - остается за кадром. Как же это работает?

С технической точки зрения, каждое добавление полномочий - это выполнение одной из операций:
  1. Добавление пользователю учетной записи для сервиса (т.е. в управляемой системе)
  2. Включение учетной записи в некоторую группу.
  3. Назначение пользователю бизнес-роли.
Примечания.
При назначении бизнес–роли, все полномочия, соответствующие этой роли, добавляются автоматически.
Группа - это абстракция в ISIM, которая описывает элементарное, неделимое полномочие в управляемой системе. С точки зрения ISIM, включение в группу трактуется как изменение многозначного атрибута учетной записи. Как это отражается в самой системе - определяет адаптер - специализированный модуль управления учетными записями.
Чтобы не грузить пользователя этими ненужными подробностями, администратор снабжает объекты системы (сервисы, группы сервисов и бизнес роли) описанием связанных с ними полномочий на понятном бизнес-пользователям языке. В каталог полномочий попадают только объекты, снабженные таким описанием.
Таким образом, в каталоге в одном ряду присутствуют объекты совершенно разной природы, но пользователь не думает про это, а просто запрашивает тот доступ, который ему нужен.


user-ent-catalog




Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь