Главным условием атрибутного доступа является выполнение цели. Цель содержит условие для дальнейшей проверки доступа действий пользователя к объектам с помощью заданного алгоритма комбинации и сравнивается с результатом выполнения дополнительного условия.
Задайте цель при добавлении:
Цель определяется как простое логическое выражение, состоящее из атрибута, условия и значения:
Для формирования логического выражения:
Выберите из раскрывающегося списка «Атрибут» атрибут объекта, субъекта или среды окружения.
Примечание. Полный список доступных атрибутов и их описание содержится в разделе «Создание дополнительного условия проверки доступа».
Выберите из раскрывающегося списка «Условие» операцию отношения или операцию «IN».
Примечание. Операция «IN» используется только для атрибута среды окружения «OPERATION», который содержит операции над объектом. Перед началом использования атрибута с операцией «IN» ознакомьтесь с особенностями.
Задайте значение, которое будет сравниваться со значением атрибута для проверки доступа, в поле «Значение». Поле формируется по типу данных выбранного атрибута.
Для атрибута среды окружения «OPERATION» значение задается двумя способами:
выберите из раскрывающегося списка в поле «Значение» основную операцию над объектом;
введите в поле «Значение» код специфической операции над объектом. Списки кодов специфических операций содержатся в перечислениях сборки Metabase.
Особенности использования операции «IN» с атрибутом «OPERATION»:
если в значении атрибута установлен код операции «1», «2» или «4», то автоматически выбираются дочерние операции. Например, при заданной цели «OPERATION IN 2» входят все дочерние операции чтения: чтение дескриптора, чтение параметров, чтение метаданных, дополнительные операции печати, экспорта и специфические операции;
в значении атрибута можно задать несколько кодов операций в виде суммы. Например, при заданной цели «OPERATION IN 792» в значении атрибута содержится сумма кодов операций, которые может принимать атрибут. Сумма 792 получается из: 8 - изменение прав, 16 - удаление, 256 - чтение дескриптора, 512 - изменение дескриптора.
Политика содержит правило, разрешающее полный доступ к объектам со значением «открытые данные» пользовательского атрибута «ATTR». Условие полного доступа задается с помощью атрибута среды окружения «OPERATION».
Также использование цели приведено в примере для настройки атрибутного метода.
См. также:
Настройка атрибутного метода | Создание дополнительного условия проверки доступа