Главным условием атрибутного доступа является выполнение цели. Цель содержит условие для дальнейшей проверки доступа действий пользователя к объектам с помощью заданного алгоритма комбинации и сравнивается с результатом выполнения дополнительного условия.
Задайте цель при добавлении:
Цель определяется как простое логическое выражение, состоящее из атрибута, условия и значения:
Для формирования логического выражения:
Выберите в раскрывающемся списке «Атрибут» атрибут объекта, субъекта или среды окружения.
Примечание. Полный список доступных атрибутов и их описание содержится в разделе «Создание дополнительного условия проверки доступа».
Выберите в раскрывающемся списке «Условие» операцию отношения или операцию «IN».
Примечание. Операция «IN» используется только для атрибута среды окружения «OPERATION», который содержит операции над объектом. Перед началом использования атрибута с операцией «IN» ознакомьтесь с особенностями.
Задайте значение, которое будет сравниваться со значением атрибута для проверки доступа, в поле «Значение». Поле формируется по типу данных выбранного атрибута.
Для атрибута среды окружения «OPERATION» значение задается двумя способами:
выберите в раскрывающемся списке поля «Значение» основную операцию над объектом;
введите в поле «Значение» код специфической операции над объектом. Списки кодов специфических операций содержатся в перечислениях сборки Metabase.
Особенности использования операции «IN» с атрибутом «OPERATION»:
если в значении атрибута установлен код операции «1», «2» или «4», то автоматически выбираются дочерние операции. Например, при заданной цели «OPERATION IN 2» входят все дочерние операции чтения: чтение дескриптора, чтение параметров, чтение метаданных, дополнительные операции печати, экспорта и специфические операции;
в значении атрибута можно задать несколько кодов операций в виде суммы. Например, при заданной цели «OPERATION IN 792» в значении атрибута содержится сумма кодов операций, которые может принимать атрибут. Сумма 792 получается из: 8 - изменение прав, 16 - удаление, 256 - чтение дескриптора, 512 - изменение дескриптора.
Политика содержит правило, разрешающее полный доступ к объектам со значением «открытые данные» пользовательского атрибута «ATTR». Условие полного доступа задается с помощью атрибута среды окружения «OPERATION».
Также использование цели приведено в примере для настройки атрибутного метода.
См. также:
Настройка атрибутного метода | Создание дополнительного условия проверки доступа