Инструмент поддерживает интерфейс продукта «Форсайт. Аналитическая платформа» версий 9 и ранее.

В этой статье:

Дискреционный метод

Мандатный метод

Атрибутный метод

Ограничение доступа к элементам с помощью диапазона ключей

Права доступа на элементы справочников НСИ

Настройка прав доступа для элементов справочника НСИ зависит от выбранных методов разграничения доступа.

Примечание. Дополнительно к методам разграничения доступа можно задать ограничение доступа к элементам справочников НСИ с помощью диапазонов ключей, на основании которых пользователям присваиваются роли: вендор, партнёр, заказчик. Роль позволяет добавлять и редактировать элементы в справочнике НСИ в своём диапазоне ключей и в следующих диапазонах ключей, расположенных по возрастанию. Элементы с ключами из диапазона ключей, расположенных по убыванию, будут недоступны для изменений.

Если для элементов справочника НСИ настроена возможность использовать дискреционные или мандатные права доступа, то при выборе справочника НСИ в менеджере безопасности в настольном приложении в разделе «Навигатор» в правой части будут отображены элементы справочника, группы элементов и схемы отметки:

Отметка элементов справочника

Дискреционный метод

При выборе дискреционного метода разграничения доступа выполните шаги:

  1. Убедитесь, что установлен флажок «Использовать дискреционный контроль» в разделе «Редактор политик» менеджера безопасности;

  2. Настройте параметры доступа конкретного пользователя для:

Параметры доступа настраиваются на вкладке «Дискреционный контроль» в окне «Параметры управления доступом». Для вызова окна выполните команду «Права доступа» в контекстном меню справочника НСИ. Справочник НСИ можно выбрать в навигаторе объектов менеджера безопасности в настольном приложении, на боковой панели «Свойства» в веб-приложении и в навигаторе объектов в настольном приложении.

Установите флажки напротив общих операций для их запрета или разрешения. Для одновременной настройки доступа к справочнику и базе данных установите флажок «Настроить права на связанные объекты», нажмите кнопку «ОК» и установите флажки на те объекты, права которых должны быть изменены.

  1. Установите флажок «Элементы имеют дискреционные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.

После установки флажка при выборе справочника НСИ в навигаторе менеджера безопасности в настольном приложении в правой части будут отображены элементы справочника, группы элементов и схемы отметки.

В контекстном меню справочника появится флажок «Дискреционный контроль»:

Флажок влияет на отображение элементов справочника в навигаторе менеджера безопасности.

При попытке снятия данного флажка будет выдано сообщение о том, что включить данную опцию сможет только администратор или прикладной администратор, если используется разделение ролей. При положительном ответе флажок будет снят и справочник скрыт из дерева, если он не имеет группы элементов или схемы отметки.

Примечание. Если используется разделение ролей между администратором информационной безопасности и прикладным администратором, то настраивать права доступа и отключить данную опцию по умолчанию может только администратор информационной безопасности. Включить данную опцию при редактировании справочника НСИ может прикладной администратор или пользователь, имеющий соответствующую привилегию.

  1. Настройте права доступа выбранного элемента справочника:

После выполнения одного из действий:

Если диалоговое окно вызвано для нескольких элементов или объектов, то будут отображены настройки прав доступа элемента или объекта, который находится в фокусе. При установке прав доступа эти же права будут установлены для всех выбранных элементов или объектов.

Отключение дискреционного доступа к элементам

Для отключения дискреционного доступа к элементам справочника НСИ:

  1. Убедитесь, что у элементов на атрибутах ответственных за дискреционные права не добавлены параметры, не добавлены ключи, снят флажок «Альтернативная иерархия» в свойствах.

  2. Снимите флажок «Элементы имеют дискреционные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.

В результате отключения дискреционного доступа к элементам справочника НСИ пользователь будет иметь полный доступ к элементам справочника.

Мандатный метод

При выборе мандатного метода разграничения доступа выполните шаги:

  1. Убедитесь, что установлен флажок «Использовать мандатный доступ» в разделе «Редактор политик» менеджера безопасности.

  2. Добавьте категорию и уровни в разделе «Мандатный доступ» в менеджере безопасности.

  3. Задайте максимальный уровень безопасности для конкретного пользователя.

  4. Задайте максимальный уровень безопасности для объектов:

Примечание. Задать права объектам может только администратор или пользователь, имеющий права на изменение прав.

Параметры доступа настраиваются на вкладке «Мандатный доступ» в окне «Параметры управления доступом» в настольном приложении и на боковой панели «Свойства» в веб-приложении.

Для одновременной настройки доступа к справочнику и базе данных установите флажок «Настроить права на связанные объекты», нажмите кнопку «ОК» и установите флажки на те объекты, права которых должны быть изменены.

  1. Установите флажок «Элементы имеют мандатные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.

После установки флажка при выборе справочника НСИ в навигаторе объектов менеджера безопасности в настольном приложении в правой части будут отображены элементы справочника, группы элементов и схемы отметки. В контекстном меню справочника появится флажок «Мандатный доступ»:

Флажок влияет на отображение элементов справочника в навигаторе менеджера безопасности.

При попытке снятия данного флажка будет выдано сообщение о том, что включить данную опцию сможет только администратор или прикладной администратор, если используется разделение ролей. При положительном ответе флажок будет снят и справочник скрыт из дерева, если он не имеет группы элементов или схемы отметки.

Примечание. Если используется разделение ролей между администратором информационной безопасности и прикладным администратором, то настраивать права доступа и отключить данную опцию по умолчанию может только администратор информационной безопасности. Включить данную опцию при редактировании справочника НСИ может прикладной администратор или пользователь, имеющий соответствующую привилегию.

  1. Настройте права доступа выбранного элемента справочника:

После выполнения одного из действий:

Если диалоговое окно вызвано для нескольких элементов или объектов, то будут отображены настройки прав доступа элемента или объекта, который находится в фокусе. При установке прав доступа эти же права будут установлены для всех выбранных элементов или объектов.

Отключение мандатного доступа к элементам

Для отключения мандатного доступа к элементам справочника НСИ:

  1. Убедитесь, что у элементов на атрибутах ответственных за дискреционные права не добавлены параметры, не добавлены ключи, снят флажок «Альтернативная иерархия» в свойствах.

  2. Снимите флажок «Элементы имеют мандатные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.

В результате отключения мандатного доступа к элементам справочника НСИ пользователь будет иметь полный доступ к элементам справочника.

Атрибутный метод

Разграничение прав доступа на элементы справочников НСИ выполняется:

Выбор методов разграничения доступа осуществляется в разделе «Редактор политик» менеджера безопасности.

При выборе атрибутного и дискреционного методов разграничения доступа выполните шаги:

  1. Убедитесь, что установлены флажки «Использовать атрибутный доступ» и «Использовать дискреционный контроль» в разделе «Редактор политик» менеджера безопасности и выбран алгоритм комбинации прав доступа «OR».

  2. Убедитесь, что в параметрах управления дискреционным контролем доступа для конкретного пользователя разрешены все операции над объектами:

    • папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;

    • база данных, в которой хранятся данные справочника НСИ;

    • внутренняя таблица справочника НСИ.

Дискреционные права доступа настраиваются отдельно для каждого объекта на вкладке «Дискреционный контроль» в окне «Параметры управления доступом».

  1. Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ»:

    • набор политик определяет пользователя, для которого настраивается доступ к элементам справочника НСИ;

    • политика определяет доступ к справочнику НСИ по ключу или идентификатору;

    • правила определяют доступ к элементам справочника НСИ.

В таблице приведены параметры структуры атрибутного доступа:

Структура атрибутного доступа

Цель

Алгоритм комбинации правил
Набор политик SUBJECT.NAME = <наименование пользователя> Переопределение разрешением
Политика

OBJECT.KEY = <ключ справочника НСИ> или

OBJECT.ID = <идентификатор справочника НСИ>
Переопределение разрешением
Правило OPERATION = <значение специфической операции> -

Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.

Примечание. При составлении дополнительного условия учитывайте особенности использования атрибута элемента справочника НСИ.

Примеры правил для разграничения доступа к элементам справочника НСИ приведены в разделе «Пример».

  1. Откройте справочник НСИ на редактирование в навигаторе объектов.

  2. Установите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание».

После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ. При одновременном использовании атрибутного и дискреционного методов также доступно разграничение прав доступа на элементы справочников НСИ с помощью дискреционного контроля доступа. Для получения подробной информации обратитесь к разделу «Дискреционный метод».

При выборе только атрибутного метода разграничения доступа должна использоваться встроенная авторизация. Разграничение прав доступа на элементы справочников НСИ настраивается для пользователей, не входящих во встроенную группу администраторов. Для этого выполните шаги:

  1. Убедитесь, что установлен флажок «Использовать атрибутный доступ» в разделе «Редактор политик» менеджера безопасности.

  2. Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ». В структуре атрибутного доступа должны содержаться:

    • разрешения доступа к справочнику НСИ и следующим объектам:

      • папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;

      • база данных, в которой хранятся данные справочника НСИ;

      • внутренняя таблица справочника НСИ;

    • запреты доступа к элементам справочника НСИ.

  1. Откройте справочник НСИ на редактирование в навигаторе объектов.

  1. Установите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание».

После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ.

Настройка прав доступа для элементов справочника НСИ доступна в среде разработки с помощью сборки ABAC. Пример запрета доступа пользователю на чтение элемента справочника НСИ приведен в разделе «Права доступа на элементы справочника НСИ».

Пример

Пример структуры атрибутного доступа при использовании только атрибутного метода разграничения доступа. Структура содержит два набора политик, ограничивающих доступ конкретного пользователя к элементам справочника НСИ:

Структура атрибутного доступа

Цель

Алгоритм комбинации правил
Набор политик SUBJECT.NAME = <наименование пользователя> Переопределение разрешением
Политика

OBJECT.KEY >= 0

Переопределение разрешением
Правило

-

-

Параметры правила:

Цель Условие Эффект
OPERATION IN 1 - Разрешить
Структура атрибутного доступа

Цель

Алгоритм комбинации правил
Набор политик OBJECT.CLASS = <класс объектов: справочник НСИ> Переопределение разрешением
Политика

OBJECT.KEY = <ключ справочника НСИ> или

OBJECT.ID = <идентификатор справочника НСИ>
Переопределение разрешением
Правило OPERATION = <значение специфической операции> -

Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.

Параметры правил для разграничения доступа к элементам справочника НСИ, например:

Правило Цель Условие Эффект
Запрет на чтение элементов одноуровневого справочника НСИ с ключами 1 и 2 OPERATION = 1048576 (OBJECT.ELEMENT.KEY >= 0) And (OBJECT.ELEMENT.KEY <= 2) Запретить
Запрет на редактирование элемента справочника НСИ с ключом 3 OPERATION = 2097152 OBJECT.ELEMENT.KEY = 3 Запретить

Отключение атрибутного доступа к элементам

Для отключения атрибутного доступа к элементам справочника НСИ снимите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.

Ограничение доступа к элементам с помощью диапазона ключей

В настольном приложении дополнительно к методам разграничения доступа можно задать ограничение доступа к элементам справочников НСИ с помощью диапазонов ключей, на основании которых пользователям присваиваются роли: вендор, партнёр, заказчик. Роль позволяет добавлять и редактировать элементы в справочнике НСИ в своём диапазоне ключей и в следующих диапазонах ключей, расположенных по возрастанию. Элементы с ключами из диапазона ключей, расположенных по убыванию, будут недоступны для изменений.

Например, если используется роль пользователя «партнёр», то в справочнике НСИ будут доступны элементы с ключами из соответствующего диапазона ключей, а также из диапазона ключей заказчика. Элементы с ключами из диапазона ключей вендора будут недоступны для изменений.

Для определения диапазона ключей создайте параметр PlatformUserType типа DWORD и задайте ему значение в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\10.0 на локальных компьютерах всех пользователей.

Возможные значения параметра:

Для получения подробной информации о настройках в системном реестре обратитесь к разделу «Настройки в системном реестре».

См. также:

Настройка прав доступа к объектам | Параметры управления доступом