Перейти к основному содержимому

О модели управления доступом к приложению

Общим подходом для моделей управления доступом является разделение множества сущностей приложения на следующие множества:

  • Объекты — сущности, над которыми совершается действие. Например, объектами являются компоненты экранной формы, связи на схеме перехода между экранными формами, классы и политики безопасности, определенные в модели данных.
  • Субъекты — роли пользователей, которые выполняют операции над объектами.
  • Действия, которые можно выполнять с объектом. Например, кнопку в пользовательском интерфейсе можно отображать и нажимать, элемент данных можно создавать, удалять, редактировать и просматривать.

Безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности.

В ролевой модели операции, относящиеся к какой-либо служебной обязанности пользователя приложения, группируются в набор, называемый ролью. Например, операции по регистрации документов могут быть сгруппированы в роль регистратор.

Каждый пользователь приложения может иметь одну или несколько ролей. Пользователь может выполнить определенное действие, если в наборе его ролей есть роль с разрешением на это действие. Пользователь не может выполнить определенное действие, если в наборе его ролей есть роль с запретом на это действие. Для каждой роли пользователя вы формируете правила, включающие разрешение или запрет на выполнение пользовательской ролью действия над объектом.

Для ускорения назначения правил ролям пользователей используются группы объектов. В группу можно добавить только объекты одного типа. Например, можно создать группу компонентов экранной формы, а затем создать правило для отображения всех компонентов этой группы для определенной роли пользователя. Группы объектов не могут включать другие группы объектов.

Для группировки ролей пользователей в приложении используются профили. Один профиль может включать одну и более ролей. Каждая роль может быть включена в несколько профилей.

Роли и профили пользователей, а также объекты и группы объектов описываются в файле с Security.mdsecurity. С файлом Security.mdsecurity ассоциирован Редактор Сущностей Безопасности, который имеет следующие режимы:

  • визуальный;
  • режим описания компонентов с использованием строк кода в нотации JSON.