問題タブ [rbac]

最近、アプリケーションで使用するのに最適なアクセス制御モデルを検討しています。私はRBACについて読んでいますが、役割の概念は優れています（特に、さまざまな権限が大量にある場合）。ただし、次のような階層型ユーザー管理にどの程度適用できるかはわかりません。

すべてのユーザーは1つ以上のグループに属しています。グループはツリーに編成されます（ディレクトリ構造のように）。グループとユーザーの両方にアクセス許可（またはRBACについて話している場合はロール）を割り当てることができ、おそらく何らかの継承（つまり、ユーザーとグループが属するグループのアクセス許可を継承する）とオーバーライド機能が必要です。グループ自体の目的は、権限の管理だけではありません。アプリ内で他の用途もあります。

パーミッションは非常に細かく、ロールはよりモノリシックであるため、パーミッションがロールなしで使用された場合（「ロール」はRBAC用語でのパーミッションのコレクション）、上記のすべてをさらに設計して実装するのにそれほど問題はないと思います。グループ/ユーザーレベルでのアクセス許可の継承/オーバーライドの実装はそれほど難しくありません。ロールで同じことを行うのはおそらくもっと難しいでしょうが、一方で、ロールは平均的なユーザーにとってより簡単に理解できます。

現在、私自身、「許可のみ」のモデルに傾倒しています。理由は次のとおりです。

• アプリにはおそらく30を超える異なる権限はありません。
• グループ自体を使用して権限を設定できます。これにより、ロールの利点の1つである複数のユーザーの権限管理が容易になります。
• コンセプトは明確で、実装が簡単なようです

ただし、「許可のみ」のモデルよりも優れた、論理的で理解しやすい役割ベースのモデルが提示された場合は、それを真剣に検討します。上記の要件に適用/適応できる、明確に定義されたRBACモデル（ペーパー、実装など）がすでに利用可能ですか（私はしばらくの間それらを探していましたが、私が見つけたものは制限が多すぎるか、しませんでした階層的なユーザー管理を取り入れないでください）？この問題についてのあなたの全体的な意見は何ですか？この場合、RBACはそれだけの価値がありますか？

次のようにユーザーテーブルをクエリする方法はありますか:

および user_roles テーブル:

id = 1 のロールが管理者ロールであると仮定すると、次のような結果が生成されます。

ネストされた SELECT ステートメントを使用して実行できると思いますが、JOIN を使用して実行できるかどうか疑問に思っていました。

編集：管理者列の値はYまたはNである必要はありません。管理者ロールID（1）またはNULL、またはユーザーが管理者であるかどうかを知らせるものであれば何でもかまいません

私は自分が作成するソフトウェアのさまざまな図を手書きでスケッチする習慣を身につけています。私のソフトウェアは主に Web 用です。私はデータ ロジック (MVC のモデル) に ER ダイアグラムを使用し、インタラクションには個人的に発明したダイアグラム スタイルを使用します。つまり、どのページが他のどのページにつながり、何をするのか、つまり MVC のビューとコントローラーです。これにより、重要な概念を単純化し、矛盾を取り除き、さらに調査が必要な問題領域を強調することができます。

さて、かなり複雑なアクセス許可システムを必要とするアプリケーションに注目し始めました。実際には「大きく」ではなく、複雑なだけで、いくつかのパーミッションをその場で作成する必要があり、いくつかは静的であるいくつかのパーミッション「ディメンション」があります。

アイデアを明確な形で頭から追い出し、矛盾がないことを確認できるように、許可システムを図式化する簡単な方法があればいいのにと思います。したがって、私の質問：

ビジュアル ダイアグラムでパーミッションをモデル化する方法を見たり使用したりした人はいますか?

Java EE 6でユーザーをプログラムで認証することは可能ですか？

もう少し詳しく説明させてください。

サーブレットと休止状態を備えた既存のJavaSEプロジェクトがあります。ここで、すべての認証とアクセス制御を手動で管理します。

そして、このプロジェクトにJ2ee / jpa / servlet 3 / ...（Glassfish 3）を統合します。

私は次のような注釈を見てきました：

しかし、login（）で、ユーザーが管理者または閲覧者の役割にあることを手動で指定するにはどうすればよいですか？

現在、Web アプリケーション (ASP.NET) でユーザー ロールとアクセス許可システムを設計していますが、従来のロール ベースのアクセス制御 (RBAC)に収まらないケースがいくつかあるようです。いくつかの質問を投稿します。それぞれが特定のケースに当てはまります。これは私の 2 番目の質問です (最初の質問はここにあります: Non RBAC User Roles and Permissions System:ching the user's City )。

次のケースがあります: Web アプリケーションにManager ロールを実装する必要があります。ただし、マネージャーは1 つまたは複数の会社(この Web アプリを作成している大きな会社グループ内) に属することができます。たとえば、「A社とB社のマネージャー」、「C社のマネージャー」などがあります。

マネージャーが所属する会社に応じて、マネージャーは特定の操作にアクセスできます。たとえば、マネージャーは自分が所属する会社のクライアントとのみ通信できます。つまり、「A社とB社のマネージャー」は、A社とB社のクライアントとのみ連絡を取ることができ、C社のクライアントとは連絡を取ることができません。また、C社ではなくA社とB社のクライアントの詳細ページを表示することもできます。 .

このケースは RBAC に該当するようです。しかし、実際にはそうではありません。Companies プロパティを持つManagerRole クラスを作成する必要があります。つまり、これは (従来の RBAC のように) アクセス許可のコレクションとしての単なるロールではなく、プロパティを持つロールになります!

これは、プロパティを持つロールの一例にすぎません。他にもあります。たとえば、多くの会社にも属し、他のカスタム プロパティも持つ管理者ロールなどです。

これは、階層またはロール クラスを作成することを意味します。

いくつかのシステムで純粋な RBAC とその実装を調査しましたが、それぞれがカスタム プロパティを持つ階層またはロールを特徴とするシステムは見つかりませんでした。RBAC では、ロールは単なるアクセス許可のコレクションです。

ManagerPermission、AdministratorPermission などのプロパティを持つパーミッションを使用してケースをモデル化できますが、これには多くの欠点があります。主な理由は、「A 社と B 社のマネージャー」のような役割をユーザーに直接割り当てることができないことです。ただし、A社とB社のManagerPermissionを含むロールを作成する必要があります...さらに、「マネージャー」は、言語の観点からは「許可」というよりもむしろ「役割」(社内での地位) のようです。

このテーマに関するアイデアや、この分野での経験に感謝します!

ありがとうございました。

私の仕事では、アプリケーション ファームの認証を Windows Identity Fundation (WIF) またはメンバーシップ プロバイダーに基づくカスタム コンポーネントと統合しようとしています。

これにより、開発者 (および最終ユーザー) に、役割別の管理ビューのロジック (RBAC - 役割ベースのアクセス制御) を支援するコンポーネントを提供する必要があります。何も見つかりませんでした。

それがアイデアです。ユーザー「admin」は「ホーム」ページと「管理」ページを表示できます。開発者のように、私はこのプロファイリングを行うコードを書きたくありません。これを行うには、この複雑さをカプセル化するコンポーネントを使用することを期待しています。アプリケーションでイベントやアクションを管理するのと同じ考え方

あなたはそのようなことを知っていますか？Role Provider のようなものですが、私を助けることができる汎用コンポーネントのようなものです (Moodle や Joomla のプロファイリングなど)。

ちなみに、英語は私のナビテ言語ではなく、まだ学習中です。

通常はLDAPに格納されるツリー構造（組織）でロールベースのアクセス制御を実装していますが、今回はMySQLにあります。私の要件の一部は、人々に木の一部へのアクセスを与えることです。LDAPでは、ACIを使用してツリーの一部をフィルタリングします。PHP/MySQLでこれを行うための最良の方法がわかりません。

LAMPアプリケーションで、オブジェクトのコレクションと階層内の個々のエンティティにアクセス許可を適用する方法を作成するための最良の方法は何ですか？

前もって感謝します、

純粋なPHPで集合論演算を実装する方法は？

最近のバージョンの PostgreSQLユーザーは、ログインできるロールとして実装されています。これは、RBAC 実装では一般的ですか? ユーザーは、ログイン (または同様の) 機能を持つ単なる別の役割ですか? 私がこれまでに読んだことのいくつかは、それを示唆していません...しかし、私は読み間違えたか、正しいことを読んでいないだけかもしれません.