Описание модели безопасности

Каждый объект системы Юниверс MDM управляется моделью безопасности, которая определяет права доступа пользователей к данным и функциональным возможностям системы. Такие объекты называются ресурсами безопасности.

Доступ к ресурсам безопасности настраивается с помощью следующих инструментов:

  • Таблицы прав доступа. Таблица формируется для каждой роли пользователя и позволяет задать права на системные функции, реестры/справочники, а также отдельные атрибуты записей.

  • Метки безопасности. Используются для детального разграничения доступа к данным (например, ограничение доступа к определенным значениям атрибутов). Метки могут назначаться как ролям, так и учетным записям пользователей.

Основные понятия модели безопасности:

  • Учетная запись пользователя (пользователь) — совокупность данных, идентифицирующих пользователя и определяющих его права в системе. Учетной записи могут быть назначены одна или несколько ролей, меток безопасности, а также принадлежность к группам пользователей.

  • Роль — именованный набор прав доступа к ресурсам безопасности, необходимый для выполнения определенных функций или задач.

  • Группа пользователей — объединение нескольких пользователей для упрощения управления правами доступа. Группы могут содержать подгруппы, которые наследуют роли и настройки от родительской группы.

  • Права доступа — разрешения на выполнение операций с ресурсом безопасности: создание, чтение, изменение, удаление или полный доступ. Интерпретация прав может различаться в зависимости от типа ресурса.

  • Метка безопасности — именованный набор условий (атрибутов), используемый для ограничения доступа к данным на уровне записей.

Концепция работы с моделью безопасности:

  • В результате настройки пользователь получает определенный набор доступов к функциональности системы, реестрам/справочникам и отдельным записям.

  • Настройку ролей рекомендуется выполнять после формирования модели данных (полного или частичного), так как изменения структуры данных требуют актуализации прав доступа.

  • На первом этапе создаются роли с необходимыми правами доступа. Пользователю может быть назначено несколько ролей.

  • Итоговые права пользователя определяются как объединение прав всех назначенных ролей. В случае конфликта (наличие и отсутствие права) приоритет имеет наличие права.

  • Далее создаются учетные записи пользователей и назначаются роли, группы и метки безопасности.

  • При необходимости метки безопасности назначаются как пользователям, так и ролям.

  • Если для учетной записи установлен флаг «Суперпользователь», пользователь получает полный доступ ко всем ресурсам системы. Данный флаг имеет приоритет над ролями, группами и метками безопасности.

Система «Юниверс MDM» поддерживает аутентификацию по протоколу LDAP с использованием внешних служб каталогов. Для этого применяется специализированное программное обеспечение, не входящее в стандартный комплект поставки системы.

Схема модели безопасности

Рисунок 1 — Схема модели безопасности