1

RBAC(階層モデル)に関する質問があります。以下はシナリオです

私には3つの役割、1つの親の役割、および3つの異なるタイプの権限があると想定します。

親の役割:ブランチマネージャー。 子供の役割:普通預金マネージャー、ローンマネージャー、会計士。 権限:永続化、削除、表示

Q1:子の役割を2つ以上の役割に継承できますか?つまり、役割の会計士が異なる職務の普通預金マネージャーとローンマネージャーの両方に報告すると仮定します-たとえば、普通預金マネージャーは、高価値の普通預金口座の顧客の会計士の役割からレポートを取得し、ローンマネージャーはからレポートを取得します顧客が利用する高額ローンの会計士の役割

このモデルは許可されていますか、それとも彼らの職務に基づいて普通預金会計士やローン会計士のようなものが必要ですか?

Q2: Q1が有効な場合、貯蓄マネージャーに対するローン関連の許可(ローンの永続化、ローンの削除、ローンの詳細の表示)を拒否し、貯蓄関連の許可についてはローンマネージャーに許可する方法を教えてください。

Q3:仮定、

会計士には貯蓄レコードを削除する権限がありません貯蓄マネージャーには貯蓄レコードを削除する権限がありますローンマネージャーには貯蓄レコードを削除する権限がありません

銀行のマネージャーの役​​割はどうなりますか(貯蓄レコードの削除は定義されていません)。銀行のマネージャーは、貯蓄レコードを削除する許可を取得します。拒否またはその逆よりも優先されることを許可しますか、または同じためのルール(先行する)を作成する必要がありますか?

後で尋ねる質問がいくつかあります

ありがとうAlbertArulPrakash

4

1 に答える 1

1

このモデルは許可されていますか?

ロールベースの認証では、アクターは1つ以上のロールで動作します。物事を好きなように役割に分割することができます-継承に基づいて役割をモデル化するかどうか。

誰がどの役割を持っているかを決定するために使用する必要がある基準は何ですか

  1. 善良な俳優に仕事をするために必要な力を与え、悪役に最小限の過剰な虐待的な権限を残します。
  2. 権限の乱用を調査できるように、ロギングとうまく適合します
  3. 悪意のある行為者が権威の乱用に対する責任をもっともらしく否定できないように、簡単に十分に理解されている
  4. 十分な委任を許可して、マネージャーが仕事を遂行するために資格情報を共有しようとしないようにします

(ユーザーではなくロールに権限を割り当てる以外に)決して違反してはならないRBACシステムを設計するときの唯一のルールは、これです。アクターは、許可されているよりも少ないロールを引き受けることによって特権を昇格させることはできません。銀行のマネージャーおよび会計士としての役割を果たすことが許可されている人は、自分が会計士であるが銀行のマネージャーではないことをシステムに納得させることができれば、それ以上の権限を行使できないはずです。ネガティブなパーミッションは、物事を推論することを非常に難しくし、奇妙なコーナーケースを導入します-それらを避けてください。

于 2011-12-29T05:14:39.603 に答える