Создание дополнительного условия проверки доступа

При использовании атрибутного метода разграничения доступа в каждом из правил политики можно задать дополнительное условие проверки доступа. Выполнение дополнительного условия зависит от результата выполнения цели проверки контроля доступа и учитывается при определении эффекта правила.

Для создания дополнительного условия проверки доступа:

Дополнительное условие проверки доступа содержится в поле «Условие»:

После выполнения действий будет задано дополнительное условие проверки доступа, результат которого учитывается при определении эффекта правила. Заданное выражение будет отображаться в поле «Условие».

Для редактирования дополнительного условия проверки доступа:

Примечание. Если выражение задано неверно, то поле будет обведено красным цветом.

После выполнения действий выражение будет изменено в поле «Условие» и в окне «Создание условия».

Доступные атрибуты

Системные атрибуты, для которых можно получить значение на основе информации, хранящейся в системе, делятся на группы:

Атрибуты, содержащиеся в объектах:

Атрибут	Описание	Тип данных
OBJECT.KEY	Ключ. Ключ объекта.	Целый
OBJECT.ID	Идентификатор. Идентификатор объекта.	Строковый
OBJECT.NAME	Наименование. Наименование объекта.	Строковый
OBJECT.CLASS	Класс. Тип объекта.	Целый
OBJECT.DESCRIPTION	Описание. Описание объекта.	Строковый
OBJECT.TIMESTAMP	Временная метка. Дата и время изменения объекта.	Дата
OBJECT.PARENT	Родитель. Родитель объекта. Задается с указанием свойства атрибута объекта, например, «OBJECT.PARENT.ID».	В зависимости от типа данных свойства атрибута
OBJECT.UTC_TIMESTAMP	Временная метка в UTC. Дата и время в UTC.	Дата
OBJECT.<идентификатор атрибута>	Пользовательский атрибут. Атрибуты, добавленные для объектов.	В зависимости от типа данных значений добавленного атрибута

Атрибуты пользователей или групп пользователей:

Атрибут	Описание	Тип данных
SUBJECT.NAME	Наименование. Наименование пользователя.	Строковый
SUBJECT.FULL_NAME	Полное наименование. Полное наименование пользователя.	Строковый
SUBJECT.DESCRIPTION	Описание. Описание пользователя.	Строковый
SUBJECT.GROUPS	Группы. Список групп пользователей, в которых состоит пользователь. Примечание. Атрибут используется только для формирования дополнительного условия.	IABACAttributeInstances
SUBJECT.SID	Идентификатор безопасности. SID пользователя.	Строковый
SUBJECT.ISUSER	Пользователь. Определяет субъект безопасности: True. В качестве субъекта выступает пользователь; False. В качестве субъекта выступает группа пользователей.	Логический
SUBJECT.ISADMIN	Администратор. Возвращает признак соответствия пользователя прикладному администратору репозитория: True. Пользователь является прикладным администратором платформы; False. Пользователь не является прикладным администратором платформы.	Логический
SUBJECT.<идентификатор атрибута>	Пользовательский атрибут. Атрибуты, добавленные для пользователей и групп пользователей.	В зависимости от типа данных значений добавленного атрибута

Атрибуты рабочей станции, текущей даты и времени:

Атрибут	Описание	Тип данных
OPERATION	Операция. Операция над объектом.	Целый
DATE	Текущая дата.	Дата
TIME	Текущее время.	Дата
DATE_TIME	Текущее время и дата.	Дата
UTC_DATE	Текущая дата в UTC.	Дата
UTC_TIME	Текущее время в UTC.	Дата
UTC_DATE_TIME	Текущее время и дата в UTC.	Дата

Особенности атрибута элемента справочника НСИ

Для разграничения прав доступа на элементы справочника НСИ используется атрибут объекта в виде «OBJECT.ELEMENT.<идентификатор атрибута>». Идентификаторы атрибута элемента содержатся на вкладке «Атрибуты» при открытии справочник НСИ на редактирование.

Примечание. Атрибут элемента задается только в дополнительном условии правила. При формировании условия могут использоваться только системные и обычные атрибуты, не имеющие множественных значений.

Если элементы справочника НСИ имеют иерархию, то при разграничении прав доступа на дочерние элементы необходимо исключить родительский элемент в дополнительном условии проверки доступа. Исключение родительского элемента задается с помощью атрибута элемента KEY в виде условия сравнения «OBJECT.ELEMENT.KEY > <ключ родительского элемента>».

Например, справочник НСИ содержит родительский элемент с ключом 0 и семь дочерних элементов с ключами 1,2,3,4,5,6,7. При запрете доступа к дочерним элементам, ключ которых меньше 5, в условии должно учитываться исключение родительского элемента с ключом 0:

После выполнения условия будет доступен родительский элемент, в котором содержатся дочерние элементы с ключами 5,6,7. Дочерние элементы с ключами 1,2,3,4 будут недоступны.

Основные функции

Для формирования выражения используются следующие категории системных функций:

Доступные функции:

Abs. Возвращает абсолютное значение (модуль) вещественного числа;
AbsI. Возвращает абсолютное значение (модуль) целого числа;
Average. Возвращает среднее арифметическое массива вещественных чисел;
AverageI. Возвращает среднее арифметическое массива целых чисел;
Cos. Возвращает косинус заданного угла;
Exp. Возвращает результат возведения числа «e» в указанную степень;
Floor. Возвращает результат округления вещественного числа до кратного числа заданной точности с недостатком;
FloorI. Возвращает результат округления целого числа до кратного числа заданной точности с недостатком;
Int. Возвращает результат округления указанного числа до ближайшего меньшего целого;
Ln. Возвращает натуральный логарифм заданного числа;
Log. Возвращает логарифм числа по заданному основанию;
Log10. Возвращает десятичный логарифм заданного числа;
Max. Возвращает наибольшее значение из заданного массива вещественных чисел;
MaxI. Возвращает наибольшее значение из заданного массива целых чисел;
Min. Возвращает наименьшее значение из заданного массива вещественных чисел;
MinI. Возвращает наименьшее значение из заданного массива целых чисел;
Power. Возвращает результат возведения вещественного числа в вещественную степень;
PowerI. Возвращает результат возведения целого числа в целую степень;
Rand. Возвращает равномерно распределённое случайное число из диапазона [0; 1);
RandBetween. Возвращает случайное вещественное число между двумя заданными числами;
Round. Возвращает результат округления числа до указанного количества десятичных разрядов;
RoundDown. Возвращает результат округления числа до ближайшего меньшего по модулю значения;
RoundUp. Возвращает результат округления числа до ближайшего большего по модулю значения;
Sin. Возвращает синус заданного угла;
Sqrt. Возвращает квадратный корень из заданного числа;
Tan. Возвращает тангенс заданного угла;
Trunc. Возвращает результат усеченного числа до указанного количества десятичных разрядов.

Доступные функции:

Count. Возвращает количество значений в массиве пользовательского атрибута субъекта или объекта, а также количество групп, в которых состоит пользователь;
FindAttr. Осуществляет поиск атрибута по указанному свойству в списке групп, в которых состоит пользователь, и возвращает значение заданного свойства найденного атрибута;
Interseca. Осуществляет поиск общих значений сравниваемых аргументов и возвращает значение True или False;
Intersecc. Осуществляет поиск общих значений сравниваемых аргументов по указанному свойству атрибута и возвращает значение True или False;
Is_Empty. Определяет, является ли значение пользовательского атрибута субъекта или объекта пустым, и возвращает значение True или False.

Категория содержит список функций всех категорий.

Доступные функции:

Sign. Возвращает знак перед заданным вещественным числом;
SignI. Возвращает знак перед заданным целым числом.

Доступные функции:

Sum. Возвращает сумму элементов указанного массива вещественных чисел;
SumI. Возвращает сумму элементов указанного массива целых чисел;
SumSq. Возвращает сумму квадратов элементов указанного массива вещественных чисел.

Доступная функция:

Pi. Возвращает математическую константу «Пи» (3,14159265358979) с точностью до 14-ого знака после запятой.

Доступные функции:

ASCII. Возвращает код в ASCII для первого символа указанной строки;
Chr. Возвращает символ, соответствующий указанному ASCII-коду;
Contains. Возвращает признак наличия искомой подстроки в исходной строке;
EndsWith_. Возвращает признак того, что исходная строка оканчивается искомой подстрокой;
Find. Возвращает индекс позиции подстроки в строке;
Left. Возвращает указанное количество символов с левого края строки;
Length_. Возвращает количество символов в указанной строке;
Max_. Возвращает максимум из двух строк, используя посимвольное сравнение;
Mid. Возвращает подстроку указанной длины и начинающуюся с указанной позиции исходной строки;
Min_. Возвращает минимум из двух строк, используя посимвольное сравнение;
Replace. Возвращает строку, в которой все вхождения указанной подстроки заменены на указанную строку;
Right. Возвращает указанное количество символов с правого края строки;
Space. Возвращает строку, состоящую из указанного количества пробелов;
StartsWith_. Возвращает признак того, что исходная строка начинается с искомой подстроки;
ToLower. Возвращает указанную строку, преобразованную в нижний регистр;
ToUpper. Возвращает указанную строку, преобразованную в верхний регистр;
Trim. Возвращает строку с удаленными пробелами в начале и конце;
TrimEnd. Возвращает строку с удаленными пробелами в конце строки;
TrimStart. Возвращает строку с удаленными пробелами в начале строки.

Категория содержит список подключенных функций.

Примечание. Категория доступна только в настольном приложении, если в редактор выражения были подключены пользовательские функции. Для получения подробной информации обратитесь к разделу «Подключение пользовательских функций».