В этой статье:
Права доступа на элементы справочников НСИ
Настройка прав доступа для элементов справочника НСИ зависит от выбранных методов разграничения доступа.
Примечание. Дополнительно к методам разграничения доступа можно задать ограничение доступа к элементам справочников НСИ с помощью диапазонов ключей, на основании которых пользователям присваиваются роли: вендор, партнёр, заказчик. Роль позволяет добавлять и редактировать элементы в справочнике НСИ в своём диапазоне ключей и в следующих диапазонах ключей, расположенных по возрастанию. Элементы с ключами из диапазона ключей, расположенных по убыванию, будут недоступны для изменений.
Если для элементов справочника НСИ настроена возможность использовать дискреционные или мандатные права доступа, то при выборе справочника НСИ в менеджере безопасности в настольном приложении в разделе «Навигатор» в правой части будут отображены элементы справочника, группы элементов и схемы отметки:
Отметка
элементов справочникаДискреционный метод
При выборе дискреционного метода разграничения доступа выполните шаги:
Убедитесь, что установлен флажок «Использовать дискреционный контроль» в разделе «Редактор политик» менеджера безопасности;
Настройте параметры доступа конкретного пользователя для:
требуемого справочника НСИ;
базы данных, в которой хранятся данные справочника.
Параметры доступа настраиваются на вкладке «Дискреционный контроль» в окне «Параметры управления доступом». Для вызова окна выполните команду «Права доступа» в контекстном меню справочника НСИ. Справочник НСИ можно выбрать в навигаторе объектов менеджера безопасности в настольном приложении, на боковой панели «Свойства» в веб-приложении и в навигаторе объектов в настольном приложении.
Установите флажки напротив общих операций для их запрета или разрешения. Для одновременной настройки доступа к справочнику и базе данных установите флажок «Настроить права на связанные объекты», нажмите кнопку «ОК» и установите флажки на те объекты, права которых должны быть изменены.
Установите флажок «Элементы имеют дискреционные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.
После установки флажка при выборе справочника НСИ в навигаторе менеджера безопасности в настольном приложении в правой части будут отображены элементы справочника, группы элементов и схемы отметки.
В контекстном меню справочника появится флажок «Дискреционный контроль»:
Флажок влияет на отображение элементов справочника в навигаторе менеджера безопасности.
При попытке снятия данного флажка будет выдано сообщение о том, что включить данную опцию сможет только администратор или прикладной администратор, если используется разделение ролей. При положительном ответе флажок будет снят и справочник скрыт из дерева, если он не имеет группы элементов или схемы отметки.
Примечание. Если используется разделение ролей между администратором информационной безопасности и прикладным администратором, то настраивать права доступа и отключить данную опцию по умолчанию может только администратор информационной безопасности. Включить данную опцию при редактировании справочника НСИ может прикладной администратор или пользователь, имеющий соответствующую привилегию.
Настройте права доступа выбранного элемента справочника:
выполните команду «Права доступа» в контекстном меню элемента справочника. Команда доступна для элемента справочника выбранного:
в навигаторе объектов менеджера безопасности;
на вкладке «Элементы справочника» в справочнике НСИ открытом на редактирование в навигаторе объектов;
выполните команду «Объект > Права доступа» в главном меню;
нажмите клавишу ENTER;
дважды щёлкните по наименованию элемента справочника.
После выполнения одного из действий:
будет открыто окно «Права доступа» для настройки прав доступа элемента справочника;
будет открыто окно «Параметры управления доступом» для настройки прав доступа объекта «Группы элементов и схемы отметки».
Если окно вызвано для нескольких элементов или объектов, то будут отображены настройки прав доступа элемента или объекта, который находится в фокусе. При установке прав доступа эти же права будут установлены для всех выбранных элементов или объектов.
Отключение дискреционного доступа к элементам
Для отключения дискреционного доступа к элементам справочника НСИ:
Убедитесь, что у элементов на атрибутах ответственных за дискреционные права не добавлены параметры, не добавлены ключи, снят флажок «Альтернативная иерархия» в свойствах.
Снимите флажок «Элементы имеют дискреционные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.
В результате отключения дискреционного доступа к элементам справочника НСИ пользователь будет иметь полный доступ к элементам справочника.
Мандатный метод
При выборе мандатного метода разграничения доступа выполните шаги:
Убедитесь, что установлен флажок «Использовать мандатный доступ» в разделе «Редактор политик» менеджера безопасности.
Добавьте категорию и уровни в разделе «Мандатный доступ» в менеджере безопасности.
Задайте максимальный уровень безопасности для конкретного пользователя.
Задайте максимальный уровень безопасности для объектов:
папок, в которых находится требуемый справочник НСИ;
требуемого справочника НСИ;
внутренней таблицы справочника НСИ;
базы данных, в которой хранятся данные справочника.
Примечание. Задать права объектам может только администратор или пользователь, имеющий права на изменение прав.
Параметры доступа настраиваются на вкладке «Мандатный доступ» в окне «Параметры управления доступом» в настольном приложении и на боковой панели «Свойства» в веб-приложении.
Для одновременной настройки доступа к справочнику и базе данных установите флажок «Настроить права на связанные объекты», нажмите кнопку «ОК» и установите флажки на те объекты, права которых должны быть изменены.
Установите флажок «Элементы имеют мандатные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.
После установки флажка при выборе справочника НСИ в навигаторе объектов менеджера безопасности в настольном приложении в правой части будут отображены элементы справочника, группы элементов и схемы отметки. В контекстном меню справочника появится флажок «Мандатный доступ»:
Флажок влияет на отображение элементов справочника в навигаторе менеджера безопасности.
При попытке снятия данного флажка будет выдано сообщение о том, что включить данную опцию сможет только администратор или прикладной администратор, если используется разделение ролей. При положительном ответе флажок будет снят и справочник скрыт из дерева, если он не имеет группы элементов или схемы отметки.
Примечание. Если используется разделение ролей между администратором информационной безопасности и прикладным администратором, то настраивать права доступа и отключить данную опцию по умолчанию может только администратор информационной безопасности. Включить данную опцию при редактировании справочника НСИ может прикладной администратор или пользователь, имеющий соответствующую привилегию.
Настройте права доступа выбранного элемента справочника:
выполните команду «Права доступа» в контекстном меню элемента справочника. Команда доступна для элемента справочника выбранного:
в навигаторе объектов менеджера безопасности;
на вкладке «Элементы справочника» в справочнике НСИ открытом на редактирование в навигаторе объектов;
выполните команду «Объект > Права доступа» в главном меню;
нажмите клавишу ENTER;
дважды щёлкните по наименованию элемента справочника.
После выполнения одного из действий:
будет открыто окно «Права доступа» для настройки прав доступа элемента справочника;
будет открыто окно «Параметры управления доступом» для настройки прав доступа объекта «Группы элементов и схемы отметки».
Если окно вызвано для нескольких элементов или объектов, то будут отображены настройки прав доступа элемента или объекта, который находится в фокусе. При установке прав доступа эти же права будут установлены для всех выбранных элементов или объектов.
Отключение мандатного доступа к элементам
Для отключения мандатного доступа к элементам справочника НСИ:
Убедитесь, что у элементов на атрибутах ответственных за дискреционные права не добавлены параметры, не добавлены ключи, снят флажок «Альтернативная иерархия» в свойствах.
Снимите флажок «Элементы имеют мандатные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.
В результате отключения мандатного доступа к элементам справочника НСИ пользователь будет иметь полный доступ к элементам справочника.
Атрибутный метод
Разграничение прав доступа на элементы справочников НСИ выполняется:
при одновременном использовании атрибутного и дискреционного методов;
при использовании только атрибутного метода.
Выбор методов разграничения доступа осуществляется в разделе «Редактор политик» менеджера безопасности.
При выборе атрибутного и дискреционного методов разграничения доступа выполните шаги:
Убедитесь, что установлены флажки «Использовать атрибутный доступ» и «Использовать дискреционный контроль» в разделе «Редактор политик» менеджера безопасности и выбран алгоритм комбинации прав доступа «OR».
Убедитесь, что в параметрах управления дискреционным контролем доступа для конкретного пользователя разрешены все операции над объектами:
папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;
база данных, в которой хранятся данные справочника НСИ;
внутренняя таблица справочника НСИ.
Дискреционные права доступа настраиваются отдельно для каждого объекта на вкладке «Дискреционный контроль» в окне «Параметры управления доступом».
Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ»:
набор политик определяет пользователя, для которого настраивается доступ к элементам справочника НСИ. Например:
Цель: SUBJECT.NAME = <наименование пользователя>;
Алгоритм комбинации правил: Переопределение разрешением;
политика определяет доступ к справочнику НСИ по ключу или идентификатору. Например:
Цель: OBJECT.KEY = <ключ справочника НСИ> или OBJECT.ID = <идентификатор справочника НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
правила определяют доступ к элементам справочника НСИ. Например:
Цель: OPERATION = <значение специфической операции>.
Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.
Примечание. При составлении дополнительного условия учитывайте особенности использования атрибута элемента справочника НСИ.
Примеры правил для разграничения доступа к элементам справочника НСИ приведены в разделе «Пример».
Откройте справочник НСИ на редактирование в навигаторе объектов.
Установите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание».
После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ. При одновременном использовании атрибутного и дискреционного методов также доступно разграничение прав доступа на элементы справочников НСИ с помощью дискреционного контроля доступа. Для получения подробной информации обратитесь к разделу «Дискреционный метод».
При выборе только атрибутного метода разграничения доступа должна использоваться встроенная авторизация. Разграничение прав доступа на элементы справочников НСИ настраивается для пользователей, не входящих во встроенную группу администраторов. Для этого выполните шаги:
Убедитесь, что установлен флажок «Использовать атрибутный доступ» в разделе «Редактор политик» менеджера безопасности.
Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ». В структуре атрибутного доступа должны содержаться:
разрешения доступа к справочнику НСИ и следующим объектам:
папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;
база данных, в которой хранятся данные справочника НСИ;
внутренняя таблица справочника НСИ;
запреты доступа к элементам справочника НСИ.
Откройте справочник НСИ на редактирование в навигаторе объектов.
Установите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание».
После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ.
Настройка прав доступа для элементов справочника НСИ доступна в среде разработки с помощью сборки ABAC. Пример запрета доступа пользователю на чтение элемента справочника НСИ приведен в разделе «Права доступа на элементы справочника НСИ».
Пример
Пример структуры атрибутного доступа при использовании только атрибутного метода разграничения доступа. Структура содержит два набора политик, ограничивающих доступ конкретного пользователя к элементам справочника НСИ:
первый набор политик содержит политику и правило, которые определяют полный доступ конкретного пользователя ко всем объектам репозитория:
параметры набора политик:
Цель: SUBJECT.NAME = <наименование пользователя>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры политики:
Цель: OBJECT.KEY >= 0;
Алгоритм комбинации правил: Переопределение разрешением;
параметры правила:
Цель: OPERATION IN 1;
Эффект: Разрешить.
Алгоритм комбинации правил: Переопределение разрешением;
второй набор политик определяет класс объектов, для которого настраивается доступ, политика определяет доступ к конкретному справочнику НСИ по ключу или идентификатору, правила определяют доступ к элементам справочника НСИ:
параметры набора политик:
Цель: OBJECT.CLASS = <класс объектов: справочник НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры политики:
Цель: OBJECT.KEY = <ключ справочника НСИ> или OBJECT.ID = <идентификатор справочника НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры правила:
Цель: OPERATION = <значение специфической операции>.
Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.
Параметры правил для разграничения доступа к элементам справочника НСИ, например:
запрет на чтение элементов одноуровневого справочника НСИ с ключами 1 и 2:
Цель: OPERATION = 1048576;
Условие: (OBJECT.ELEMENT.KEY >= 0) And (OBJECT.ELEMENT.KEY <= 2);
Эффект: Запретить;
запрет на редактирование элемента справочника НСИ с ключом 3:
Цель: OPERATION = 2097152;
Условие: OBJECT.ELEMENT.KEY = 3;
Эффект: Запретить.
Отключение атрибутного доступа к элементам
Для отключения атрибутного доступа к элементам справочника НСИ снимите флажок «Элементы имеют атрибутные права доступа» на вкладке «Описание» справочника НСИ в навигаторе объектов в настольном приложении.
Ограничение доступа к элементам с помощью диапазона ключей
В настольном приложении дополнительно к методам разграничения доступа можно задать ограничение доступа к элементам справочников НСИ с помощью диапазонов ключей, на основании которых пользователям присваиваются роли: вендор, партнёр, заказчик. Роль позволяет добавлять и редактировать элементы в справочнике НСИ в своём диапазоне ключей и в следующих диапазонах ключей, расположенных по возрастанию. Элементы с ключами из диапазона ключей, расположенных по убыванию, будут недоступны для изменений.
Например, если используется роль пользователя «партнёр», то в справочнике НСИ будут доступны элементы с ключами из соответствующего диапазона ключей, а также из диапазона ключей заказчика. Элементы с ключами из диапазона ключей вендора будут недоступны для изменений.
Для определения диапазона ключей создайте параметр PlatformUserType типа REG_DWORD и задайте ему значение в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\10.0] на локальных компьютерах всех пользователей.
Допустимые значения параметра:
0. Доступны все элементы. Роль не присваивается;
1. Доступный диапазон ключей элементов от 0 до 1 млрд. Роль пользователя - вендор;
2. Доступный диапазон ключей элементов от 1 млрд до 1,5 млрд. Роль пользователя - партнёр;
3. Доступный диапазон ключей элементов от 1,5 млрд до 2 млрд. Роль пользователя - заказчик.
Для получения подробной информации о настройках в системном реестре обратитесь к разделу «Настройки в системном реестре».