Атрибутный метод разграничения доступа позволяет задавать права доступа на отдельные элементы табличного справочника НСИ только при одновременном использовании с дискреционным методом.
Атрибут элемента задается в виде «OBJECT.ELEMENT.<идентификатор атрибута>». Идентификаторы атрибута содержатся на вкладке «Атрибуты» при открытии справочника на редактирование.
Примечание. Атрибут элемента задается только в дополнительном условии правила. При составлении дополнительного условия учитывайте особенности использования атрибута.
Операции над элементами справочника НСИ содержатся в перечислении DictionarySpecificRights.
Для разграничения прав доступа на элементы справочников НСИ обратитесь к разделу «Права доступа на элементы справочников НСИ».
Рассмотрим пример запрета доступа пользователю на чтение элемента табличного справочника НСИ с ключом 1.
Для выполнения примера должны выполняться условия:
в корне репозитория содержится табличный справочник НСИ с идентификатором DICTIONARY. В справочнике должно содержаться не менее двух элементов;
в менеджере безопасности содержится пользователь с наименованием «USER»;
в разделе «Редактор политик» менеджера безопасности установлены флажки «Использовать атрибутный доступ», «Использовать дискреционный контроль» и выбран алгоритм комбинации прав доступа «OR»;
в параметрах управления дискреционным контролем доступа для конкретного пользователя не запрещены все операции над объектами:
папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;
база данных, в которой хранятся данные справочника НСИ;
внутренняя таблица справочника НСИ.
Дискреционные права доступа настраиваются отдельно для каждого объекта на вкладке «Дискреционный контроль» в окне «Параметры управления доступом».
Добавьте ссылки на системные сборки: ABAC, Metabase, Rds, ForeSystem (для примера на Fore.NET).
Sub UserProc;
Var
PolicyObject: IABACRootPolicyObject;
PolicySet: IABACPolicySet;
Policy: IABACPolicy;
Rules: IABACRules;
Rule: IABACRule;
MB: IMetabase;
MS: IMetabaseSecurity;
Lic: Object;
DimObj: IMetabaseObject;
Dim: IRdsDictionary;
Begin
MB := MetabaseClass.Active;
//Получим лицензию для возможности работы с менеджером безопасности
Lic := MB.RequestLicense(UiLicenseFeatureType.Adm);
MS := MB.Security;
// Зададим признак «Элементы имеют атрибутные права доступа» для табличного
справочника НСИ
DimObj := MB.ItemById("DICTIONARY").Edit;
Dim := DimObj As IRdsDictionary;
Dim.AbacSecured := True;
DimObj.Save;
// Получим структуру атрибутного доступа
PolicyObject := MB.Security.Policy.ABACRules;
// Очистим структуру атрибутного доступа и зададим новую
PolicyObject.Policies.Clear;
// Зададим алгоритм корневой политики атрибутного доступа - переопределение разрешением
PolicyObject.CombineAlgorithm := ABACCombineAlgorithm.PermitOverride;
// Добавим набор политик
PolicySet := PolicyObject.Policies.Add;
PolicySet.Name(MB.CurrentLocale) := "Набор политик для пользователя «USER»";
PolicySet.Target.AttributeId := "SUBJECT.NAME";
PolicySet.Target.Operation := ABACTargetOperation.Equal;
PolicySet.Target.AttributeValue := "USER";
PolicySet.CombineAlgorithm := ABACCombineAlgorithm.PermitOverride;
// Добавим политику для доступа к табличному справочнику НСИ с идентификатором DICTIONARY
Policy := PolicySet.Policies.Add;
Policy.Name(MB.CurrentLocale) := "Разрешение доступа к справочнику НСИ";
Policy.Target.AttributeId := "OBJECT.ID";
Policy.Target.Operation := ABACTargetOperation.Equal;
Policy.Target.AttributeValue := "DICTIONARY";
Policy.CombineAlgorithm := ABACCombineAlgorithm.PermitOverride;
// Добавим правило на запрет доступа к элементу справочника НСИ с ключом 1
Rules := Policy.Rules;
Rule := Rules.Add;
Rule.Name(LocaleCodeID.Russian) := "Запрет доступа к элементу справочника НСИ";
Rule.Target.AttributeId := "OPERATION";
Rule.Target.Operation := ABACTargetOperation.Equal;
Rule.Target.AttributeValue := 1048576;
Rule.Condition.AsString := "OBJECT.ELEMENT.KEY = 1";
Rule.Effect := ABACRuleEffect.Deny;
// Применим изменения в менеджере безопасности
MS.Apply;
// Освободим лицензию
Lic := Null;
End Sub UserProc;
Imports Prognoz.Platform.Interop.ABAC;
Imports Prognoz.Platform.Interop.Metabase;
Imports Prognoz.Platform.Interop.Rds;
Imports Prognoz.Platform.Interop.ForeSystem;
…
Public Shared Sub Main(Params: StartParams);
Var
PolicyObject: IABACRootPolicyObject;
PolicySet: IABACPolicySet;
Policy: IABACPolicy;
Rules: IABACRules;
Rule: IABACRule;
MB: IMetabase;
MS: IMetabaseSecurity;
Lic: Object;
DimObj: IMetabaseObject;
Dim: IRdsDictionary;
Begin
MB := Params.Metabase;
//Получим лицензию для возможности работы с менеджером безопасности
Lic := MB.RequestLicense(UiLicenseFeatureType.lftAdm);
MS := MB.Security;
// Зададим признак «Элементы имеют атрибутные права доступа» для справочника НСИ
DimObj := MB.ItemById["DICTIONARY"].Edit();
Dim := DimObj As IRdsDictionary;
Dim.AbacSecured := True;
DimObj.Save();
// Получим структуру атрибутного доступа
PolicyObject := MB.Security.Policy.ABACRules;
// Очистим структуру атрибутного доступа и зададим новую
PolicyObject.Policies.Clear;
// Зададим алгоритм корневой политики атрибутного доступа - переопределение разрешением
PolicyObject.CombineAlgorithm := ABACCombineAlgorithm.abacrcaPermitOverride;
// Добавим набор политик
PolicySet := PolicyObject.Policies.Add();
PolicySet.Name[MB.CurrentLocale] := "Набор политик для пользователя «USER»";
PolicySet.Target.AttributeId := "SUBJECT.NAME";
PolicySet.Target.Operation := ABACTargetOperation.abactoEqual;
PolicySet.Target.AttributeValue := "USER";
PolicySet.CombineAlgorithm := ABACCombineAlgorithm.abacrcaPermitOverride;
// Добавим политику для доступа к табличному справочнику НСИ с идентификатором DICTIONARY
Policy := PolicySet.Policies.Add();
Policy.Name[MB.CurrentLocale] := "Разрешение доступа к справочнику НСИ";
Policy.Target.AttributeId := "OBJECT.ID";
Policy.Target.Operation := ABACTargetOperation.abactoEqual;
Policy.Target.AttributeValue := "DICTIONARY";
Policy.CombineAlgorithm := ABACCombineAlgorithm.abacrcaPermitOverride;
// Добавим правило на запрет доступа к элементу справочника НСИ с ключом 1
Rules := Policy.Rules;
Rule := Rules.Add();
Rule.Name[MB.CurrentLocale] := "Запрет доступа к элементу справочника НСИ";
Rule.Target.AttributeId := "OPERATION";
Rule.Target.Operation := ABACTargetOperation.abactoEqual;
Rule.Target.AttributeValue := 1048576;
Rule.Condition.AsString := "OBJECT.ELEMENT.KEY = 1";
Rule.Effect := ABACRuleEffect.abacreDeny;
// Применим изменения в менеджере безопасности
MS.Apply();
// Освободим лицензию
Lic := Null;
End Sub;
В результате выполнения примера:
в базовых настройках табличного справочника НСИ будет установлен флажок «Элементы имеют атрибутные права доступа»;
в разделе «Атрибутный доступ» менеджера безопасности будет добавлена заданная структура атрибутного доступа с запретом доступа пользователю на чтение элемента табличного справочника НСИ с ключом 1:
При выполнении атрибутного доступа в навигаторе объектов для пользователя «USER» не будет отображаться элемент табличного справочника НСИ с ключом 1.
См. также:
Примеры | Права доступа на элементы справочников НСИ | Базовые настройки справочника