Настройка атрибутного метода

Атрибутный метод раздает права на уровне аналитической платформы, является фильтрацией данных при доступе пользователя к данным через проверку политик и правил. Метод управления доступом на основе атрибутов (англ. Attribute-based access control, ABAC) реализован через модель контроля доступа, которая направлена на оптимизацию подсистемы управления доступом. Атрибутный доступ рассматривается как отдельный вид управления доступом наряду с дискреционным и мандатным.

Примечание. Атрибутный метод доступен для одновременного использования с дискреционным методом. Алгоритм комбинации прав двух методов устанавливается в контроле доступа.

Разграничение доступа происходит за счет политик и правил, которые содержат набор условий для проверки атрибутов. Такой метод дает возможность создавать комбинации из условий для выражения различных политик. Предоставление прав доступа пользователю к объекту или сегменту данных происходит только в том случае, если значения атрибутов пользователя и объекта позволяют пользователю предоставить данный доступ к объекту.

Атрибутный метод определяется элементами:

• Набор политик. Объединяет политики или наборы политик, определяет возможность совершения какого-либо действия или доступа к объекту/сегменту данных на основе политик;

• Политика. Объединяет набор правил и определяет возможность совершения какого-либо действия или доступа к объекту/сегменту данных на основе правил;

• Правила. Определяет возможность совершения какого-либо действия или доступа к объекту/сегменту данных;

• Атрибуты. Атрибуты субъектов и объектов/сегментов данных, для которых можно получить значение на основе информации, хранящейся в системе.

Каждый элемент состоит из свойств, которые задаются в атрибутном доступе.

Включение метода доступно только администратору, или администратору информационной безопасности в случае активного режима разделения ролей администраторов системы.

Примечание. Формирование структуры атрибутного доступа (добавление атрибутов, редактирование политик и правил) контролируется системой и доступно администратору с привилегией «Изменение прав пользователей, раздача ролей, изменение политики», «Изменение метки безопасности и списка контроля доступа любого объекта».

Настройка атрибутного метода осуществляется:

• владельцем схемы ADMIN;

• членами группы «Администраторы»;

• пользователями с привилегиями «Вход в систему», «Изменение прав пользователей, раздача ролей, изменение политики», «Изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе», «Право чтения и открытия всех объектов»;

• администратором информационной безопасности при разделении ролей администраторов.

Для использования атрибутного метода разграничения доступа:

1. Установите флажок «Использовать атрибутный доступ» на вкладке «Контроль доступа» редактора политик.

2. Создайте учетные записи пользователей и группы пользователей.

3. Создайте пользовательские атрибуты для пользователей, групп пользователей, объектов в зависимости от поставленной задачи.

4. Создайте набор политик, политику и правила в разделе «Атрибутный доступ».

Механизм контроля доступа

Перед совершением определенного действия пользователя над объектом система проверяет возможность выполнения этого действия. Проверка возможности выполнения начинается с получения всех атрибутов, загрузки наборов политик, политик и правил. После проверки вычисляются значения всех атрибутов, указанных в наборах политик, политиках и правилах. Наборы политик фильтруются по значениям атрибутов. В дальнейшем вычисляются только отфильтрованные политики и правила. В результате вычисления атрибутного доступа будет получено решение о предоставлении доступа пользователю.

Важно. Если в структуре атрибутного доступа не задано ни одно условие, то доступ ко всем операциям с объектами запрещен.

Пример

Для пользователей, которые являются менеджерами компании, необходимо предоставить доступ к клиентам своего филиала.

Менеджеры: Дмитриев, Ефимова, Сидоров, Петрова. Филиалы в городах: Москва, Санкт-Петербург, Ярославль, Воронеж.

Представим выполнение примера в виде схемы:

1. Добавим атрибуты пользователям и объектам, которые содержат информацию о клиентах.

2. Создадим политику с правилами в атрибутном доступе.

В результате для каждого менеджера будет разрешен доступ к таблице клиентов своего филиала:

См. также:

Выбор методов разграничения доступа и их настройка | Добавление правил и политик проверки доступа

Копировать ссылку на страницу

Наверх

Нашли ошибку? Выделите текст с ошибкой и нажмите кнопку "Сообщить об ошибке" или CTRL+ENTER.

Справочная система на версию 10.6 от 08/10/2024, © ООО «ФОРСАЙТ»,