Главным условием атрибутного доступа является выполнение цели. Цель содержит условие для дальнейшей проверки доступа действий пользователя к объектам с помощью заданного алгоритма комбинации и сравнивается с результатом дополнительных условий.
Задайте цель при добавлении:
Цель определяется как простое логическое выражение, состоящее из атрибута, условия и значения:
Для формирования логического выражения:
Выберите из раскрывающегося списка «Атрибут» атрибут объекта, субъекта или среды окружения.
Примечание. Полный список доступных атрибутов и их описание содержится в разделе «Создание дополнительных условий проверки доступа».
Выберите из раскрывающегося списка «Условие» операцию отношения или операцию «IN».
Примечание. Операция «IN» используется только для атрибута среды окружения «OPERATION», который содержит операции над объектом. Перед началом использования атрибута с операцией «IN» ознакомьтесь с особенностями.
Задайте значение, которое будет сравниваться со значением атрибута для проверки доступа, в поле «Значение». Поле формируется по типу данных выбранного атрибута:
| Тип данных | Атрибуты | Пример |
| Целый | OBJECT.KEY OBJECT.CLASS Примечание. Для атрибута «OBJECT.CLASS» задается значение типа объектов. OPERATION Примечание. Перед началом использования атрибута «OPERATION» ознакомьтесь с особенностями. |
«OBJECT.KEY <> 1020»
«OPERATION = 16» «OPERATION IN 792» |
| Строковый | OBJECT.ID OBJECT.NAME OBJECT.DESCRIPTION OBJECT.PARENT SUBJECT.NAME SUBJECT.FULL_NAME SUBJECT.DESCRIPTION SUBJECT.GROUPS SUBJECT.SID SUBJECT.ISUSER SUBJECT.MEMBERS |
«OBJECT.NAME = "Данные"»
«SUBJECT.FULL_NAME = "MANAGER_DMITRIEV_VA"» |
| Дата | OBJECT.TIMESTAMP OBJECT.UTC_TIMESTAMP DATE TIME DATE_TIME UTC_DATE UTC_TIME UTC_DATE_TIME |
«DATE >= 23.07.2018»
«TIME = 12:30» «DATE_TIME <> 23.07.2018 12:30» |
Для атрибута среды окружения «OPERATION» значение задается двумя способами:
выберите из раскрывающегося списка в поле «Значение» основную операцию над объектом;
введите в поле «Значение» код специфической операции над объектом. Списки кодов специфических операций содержатся в перечислениях сборки Metabase.
Особенности использования операции «IN» с атрибутом «OPERATION»:
если в значении атрибута установлен код операции «1», «2» или «4», то автоматически выбираются дочерние операции. Например, при заданной цели «OPERATION IN 2» входят все дочерние операции чтения: чтение дескриптора, чтение параметров, чтение метаданных, дополнительные операции печати, экспорта и специфические операции;
в значении атрибута можно задать несколько кодов операций в виде суммы. Например, при заданной цели «OPERATION IN 792» в значении атрибута содержится сумма кодов операций, которые может принимать атрибут. Сумма 792 получается из: 8 - изменение прав, 16 - удаление, 256 - чтение дескриптора, 512 - изменение дескриптора.
Политика содержит правило, разрешающее полный доступ к объектам со значением «открытые данные» пользовательского атрибута «ATTR». Условие полного доступа задается с помощью атрибута среды окружения «OPERATION».
Также использование цели приведено в примере для настройки атрибутного метода.
См. также:
Настройка атрибутного метода | Создание дополнительных условий проверки доступа