Правила атрибутного доступа задают набор условий, проверяющих выполнение определенных зависимостей между значениями системных и/или пользовательских атрибутов объектов. В результате проверки правила заданное в нем действие может быть разрешено или запрещено.
Настройка правил атрибутного доступа выполняется в разделе «Атрибутный доступ» инструмента «Менеджер безопасности» продукта «Форсайт. Аналитическая платформа».
В преднастроенной конфигурации продукта «Форсайт. Бюджетирование» создан набор правил, определяющих разрешения на чтение и запись для сегментов данных. Для набора задано целевое условие «OBJECT.CLASS=1295», определяющее действие правил только на объекты с типом «Сегмент куба».
Для правила «Чтение» целевое условие «OPERATION=1048576» определяет действие правила на операцию чтения данных объекта.
Формула ABAC-правила представляет собой логическое объединение результата функций:
ABAC.INTERSECC(«NAME»,SUBJECT.GROUPS,OBJECT.R_GROUPS), вычисляющей есть ли пересечение по наименованиям групп пользователя с наименованиями групп, включенных в значения атрибута «R_GROUPS» сегмента куба;
ABAC.INTERSECC(«NAME»,SUBJECT.GROUPS,OBJECT.ORG_GROUPS), вычисляющей есть ли пересечение по наименованиям групп пользователя с наименованием группы, записанной в значение атрибута «ORG_GROUPS» сегмента куба.
Аналогично, для правила «Запись» (условие «OPERATION=2097152» определяет операцию записи в объект) формула ABAC-правила представляет собой логическое объединение результата функций:
ABAC.INTERSECC(«NAME»,SUBJECT.GROUPS,OBJECT.W_GROUPS), вычисляющей есть ли пересечение по наименованиям групп пользователя с наименованиями групп, включенных в значения атрибута «W_GROUPS» сегмента куба;
ABAC.INTERSECC(«NAME»,SUBJECT.GROUPS,OBJECT.ORG_GROUPS), вычисляющей есть ли пересечение по наименованиям групп пользователя с наименованием группы, записанной в значение атрибута «ORG_GROUPS» сегмента куба.
Таким образом, набор правил на чтение и запись для сегментов куба определяет разрешенные для пользователя операции в зависимости от значений атрибутов сегментов куба, к которым он обращается. Разрешения на работу с определенными сегментами будут зависеть от групп, в которые включен пользователь.
По умолчанию в менеджере безопасности используется дискреционный метод разграничения доступа.
Выбор метода разграничения доступа выполняется в разделе «Редактор политик» инструмента «Менеджер безопасности» продукта «Форсайт. Аналитическая платформа».
Для использования атрибутного метода доступа на вкладке «Контроль доступа» установите флажок «Использовать атрибутный доступ». При одновременном использовании атрибутного и дискреционного метода выберите алгоритм комбинации прав OR:
См. также: