Описание модели безопасности¶
Каждый объект, которым оперирует система Юниверс MDM, управляется моделью безопасности, что задает для пользователей права доступа к тому или иному объекту. Такие объекты называются ресурсами безопасности.
Доступ к ресурсам безопасности настраивается при помощи двух инструментов:
Таблицы Прав доступа. Таблица настраивается при создании новой роли пользователей. В таблице можно задать права системы, доступ к реестрам/справочникам (в том числе к отдельным атрибутам записей реестра/справочника).
Метки безопасности. Метки предназначены для более точного разграничения прав к данным, например, назначения пользователю доступа только к определенным значениям атрибутов записей. Метки могут быть назначены как на учетные записи, так и на роли.
Основные понятия модели безопасности:
Учетная запись пользователя (пользователь) – совокупность данных о пользователе, которая опознает его и предоставляет права на выполнение определенных действий в системе. Учетной записи назначается одна или несколько ролей, а также одна или несколько меток безопасности. Владелец учетной записи – пользователь системы, должностное лицо.
Роль – именованный набор прав доступа к ресурсам безопасности, необходимый для выполнения конкретных функций или задач.
Права доступа – возможность работы с ресурсом безопасности: создание, изменение, удаление, чтение и полные права (т.е. все одновременно). В зависимости от типа ресурса, смысловая нагрузка прав может меняться.
Метка безопасности – именованный набор атрибутов реестра/справочника, служащий для разграничения доступа к записям реестра/справочника.
Концепция работы с моделью безопасности:
Результат настройки модели безопасности сводится к тому, что пользователь получает определенный набор доступов к инструментам системы, реестрам/справочникам и/или отдельным записям типов активов.
Настраивать роли (и права доступа) рекомендуется на готовой модели управления данными и справочниками: сформированной полностью, либо частично. Это обусловлено тем, что для каждой роли необходимо задавать права для типов активов/справочников, и изменения в модели ведут к изменениям в правах доступа.
На первом этапе настройки модели безопасности создаются роли, содержащие определенный набор прав доступа. Одному пользователю может быть назначено несколько ролей. Итоговые права определяются как совокупность прав. При этом, если одна роль определяет наличие прав на объект, а вторая – отсутствие, подобное пересечение трактуется как наличие права на объект.
Затем создаются учетные записи пользователей, которым задаются требуемые роли.
При необходимости на роль и пользователя создаются метки безопасности.
Если учетная запись имеет включенный флаг "Суперпользователь", то пользователю доступны все возможности системы. Флаг имеет более высокий приоритет, чем назначенные роли и метки безопасности.
Система Юниверс MDM поддерживает возможность прохождения процедуры аутентификации по протоколу LDAP с использованием данных внешней службы каталогов. Указанная возможность реализуется посредством применения специализированного программного продукта, который не входит в стандартный комплект поставки системы.
Рисунок 1 – Схема модели безопасности