Описание модели безопасности¶
Каждый объект, которым оперирует система Юниверс DG, управляется моделью безопасности. Это позволяет задавать для пользователей права доступа к тому или иному объекту. Такие объекты называются ресурсами безопасности.
Доступ к ресурсам безопасности настраивается при помощи инструментов:
Права доступа. Таблица прав настраивается при создании новой роли пользователей. В таблице можно задать права системы, доступ к типам активов и опорным справочникам (в том числе к отдельным атрибутам записей типа актива/справочника).
Бизнес-роли. Каждому активу может назначаться одна или несколько бизнес-ролей. Пользователей, обладающих определенными бизнес-ролями, можно назначать ответственными за определенные записи активов.
Метки безопасности. Метки предназначены для более точного разграничения прав к записям справочников, например, назначения пользователю доступа только к определенным значениям атрибутов записей. Метки могут быть назначены как на учетные записи, так и на роли.
Основные понятия модели безопасности:
Учетная запись пользователя (Пользователь) – совокупность данных о пользователе, которая позволяет его опознавать и предоставлять права на выполнение определенных действий в системе. Учетной записи назначается одна или несколько ролей, а также одна или несколько меток безопасности. Владелец учетной записи – пользователь системы, должностное лицо.
Бизнес-роль – именованный набор прав доступа к типам активов.
Роль – именованный набор прав доступа к ресурсам безопасности, необходимый для выполнения конкретных функций или задач.
Права доступа – возможность работы с ресурсом безопасности: создание, изменение, удаление, чтение и полные права (т.е. все одновременно). В зависимости от типа ресурса смысловая нагрузка прав может меняться.
Метка безопасности – именованный набор атрибутов справочника, служащий для разграничения доступа к записям справочников.
Концепция работы с моделью безопасности¶
Результат настройки модели безопасности сводится к тому, что пользователь получает определенный набор доступов к инструментам системы, типам активов и/или отдельным записям типов активов.
Настраивать роли (и права доступа) рекомендуется на готовой модели управления данными и справочниками: сформированной полностью, либо частично. Это обусловлено тем, что для каждой роли необходимо задавать права для типов активов/справочников, и изменения в модели ведут к изменениям в правах доступа.
На первом этапе настройки модели безопасности создаются роли, содержащие определенный набор прав доступа. Одному пользователю может быть назначено несколько ролей. Итоговые права определяются как совокупность прав. При этом если одна роль определяет наличие прав на объект, а вторая – отсутствие, подобное пересечение трактуется как наличие права на объект.
Затем создаются учетные записи пользователей, которым задаются требуемые роли.
При необходимости на роль и пользователя создаются метки безопасности. Метки позволяют предоставить точечный доступ к определенным записям, или наоборот скрыть нужный набор записей от пользователя.
Бизнес-роли влияют на доступ пользователя к данным особым образом. Они назначаются на определенный тип актива, а затем в каждой конкретной записи может быть выбран пользователь, которому доступна эта запись в рамках бизнес-роли. Если роль пользователя не предполагает доступ к определенным данным, то пользователь получает доступ к этим данным через Бизнес-роль.
Если учетная запись имеет включенный флаг "Суперпользователь", то пользователю доступны все возможности системы. Флаг имеет более высокий приоритет, чем назначенные роли и метки безопасности.
Рисунок 1 – Инструменты настройки прав доступа и их зоны влияния
Рисунок 2 – Схема модели безопасности