Инструмент поддерживает интерфейс продукта «Форсайт. Аналитическая платформа» версий 9 и ранее.
Дискреционный метод разграничения доступа раздает права доступа субъектам к объектам и обеспечивает контроль доступа:
на уровне СУБД к объектам для которых есть соответствующие объекты в СУБД: таблицы, представления, запросы, хранимые процедуры;
на уровне продукта «Форсайт. Аналитическая платформа» ко всем остальным объектам репозитория.
Раздача прав доступа происходит с помощью списков контроля доступа, назначаемых каждому объекту системы. Управление правами доступа субъектов к объектам осуществляется на уровне СУБД и продукта.
Примечание. Дискреционный метод доступен для одновременного использования с мандатным методом, методом разграничения доступа по уровням, атрибутным методом. При одновременном использовании дискреционного метода с атрибутным методом доступен алгоритм комбинации прав в контроле доступа.
Для обеспечения защиты контроль доступа применяется к каждому объекту и каждому субъекту при явном или опосредованном доступе. Под опосредованным доступом понимается доступ к дочерним объектам при явных операциях над родительским объектом, например, доступ к кубу при открытии отчета.
Для каждого объекта определяются права доступа. Права доступа определяют набор действий, которые субъект безопасности может совершать с объектом. К правам доступа относятся: право на просмотр объекта, право на изменение объекта, право на удаление объекта и т.д. Для каждого класса объектов определяется собственный набор прав доступа, применимых к данному классу объектов.
Список контроля доступа определяет:
субъектов, которые могут получать доступ к конкретному объекту;
какие именно операции разрешено или запрещено выполнять конкретному субъекту над конкретным объектом.
Права доступа аккумулируются из наборов прав доступа отдельных субъектов. Запрет действия имеет более высокий приоритет, чем разрешение независимо от того, назначен ли он одному субъекту или группе субъектов. Это означает, что если список контроля доступа содержит два субъекта (группу пользователей и пользователя, входящего в данную группу), в одном из которых определенное право присваивается группе пользователей, а в другом отнимается у пользователя данной группы, то после аккумуляции прав, пользователь данной группы не будет иметь этого права доступа к объекту.
Настройка дискреционного метода осуществляется:
владельцем схемы ADMIN;
членами группы «Администраторы»;
пользователями с привилегиями «Вход в систему», «Изменение прав пользователей, раздача ролей, изменение политики», «Изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе», «Право чтения и открытия всех объектов»;
администратором информационной безопасности при разделении ролей администраторов.
Для использования дискреционного метода разграничения доступа:
Установите флажок «Использовать дискреционный контроль» на вкладке «Контроль доступа» редактора политик.
Создайте учетные записи пользователей и группы пользователей.
Задайте права доступа для объектов.
Перед совершением пользователем определенного действия над объектом система проверяет у него, а также у групп, членом которых он является, наличие соответствующего права, просматривая список контроля доступа; также проверяется, является ли пользователь обладателем привилегий, которые разрешают данное действие. В случае наличия такого права (у пользователя или у группы) система разрешает выполнение действий, в противном случае запрещает. Запрет всегда имеет приоритет над разрешением.
См. также: