問題タブ [rbac]

私はYiiを学んでおり、RBACを開発しようとしています。問題は、ロールを作成し、シェルを介してそのスクリプトを実行し、データベーステーブルを配置し、ロールとすべてが入力されることです。理由はわかりませんが、

常に No admin を返します。私がやろうとしているのは、ユーザーの種類に基づいて異なるメニューを表示することです。つまり、管理者、リーダー、マネージャーなどです。しかし、これは失敗します。

ここにも私の役割の割り当てを添付しています

Pyramid を使用して中規模の Web アプリケーションを構築することを検討しています。RBACを実装する必要があります。最良の選択は何でしょうか? Zope コンポーネントを使用することは可能でしょうか?

半年前にMVCパターンを使い始めましたが、いまだに誤解があります。

ここで、アプリケーションにロール ベースのアクセス制御を実装したいと考えています。ただし、私の質問は RBAC に関するものではなく、MVC に関するものです。

RBAC の私の実装は次のとおりです: user->role->permission すべてのユーザー (例: userA) は多くの役割 (例: リーダー、編集者、管理者) を持つことができ、すべての役割は多くの権限 (読み取り、更新、削除、など) を持つことができます。等。）。

MySQL テーブル

• users (ユーザーのリスト)
• ロール (ロールのリスト)
• パーミッション (パーミッションのリスト)
• roles_permissions (役割のリスト -> 権限の接続。例: エディター -> 更新)
• users_roles (users->roles 接続のリスト。ex. userA->editor)

今私の質問は、 これを MVC でどのように実装すればよいですか? ユーザー、ロール、パーミッション、roles_permissions、user_roles に対して別のモデルを用意し、ユーザー、ロール、パーミッション、roles_permissions、および user_roles を作成する authManager クラスを用意しますか? この方法は正しいですか？より良い、おそらくよりエレガントな方法はありますか？

RBAC（階層モデル）に関する質問があります。以下はシナリオです

私には3つの役割、1つの親の役割、および3つの異なるタイプの権限があると想定します。

親の役割：ブランチマネージャー。 子供の役割：普通預金マネージャー、ローンマネージャー、会計士。 権限：永続化、削除、表示

Q1：子の役割を2つ以上の役割に継承できますか？つまり、役割の会計士が異なる職務の普通預金マネージャーとローンマネージャーの両方に報告すると仮定します-たとえば、普通預金マネージャーは、高価値の普通預金口座の顧客の会計士の役割からレポートを取得し、ローンマネージャーはからレポートを取得します顧客が利用する高額ローンの会計士の役割

このモデルは許可されていますか、それとも彼らの職務に基づいて普通預金会計士やローン会計士のようなものが必要ですか？

Q2： Q1が有効な場合、貯蓄マネージャーに対するローン関連の許可（ローンの永続化、ローンの削除、ローンの詳細の表示）を拒否し、貯蓄関連の許可についてはローンマネージャーに許可する方法を教えてください。

Q3：仮定、

会計士には貯蓄レコードを削除する権限がありません貯蓄マネージャーには貯蓄レコードを削除する権限がありますローンマネージャーには貯蓄レコードを削除する権限がありません

銀行のマネージャーの役​​割はどうなりますか（貯蓄レコードの削除は定義されていません）。銀行のマネージャーは、貯蓄レコードを削除する許可を取得します。拒否またはその逆よりも優先されることを許可しますか、または同じためのルール（先行する）を作成する必要がありますか？

後で尋ねる質問がいくつかあります

ありがとうAlbertArulPrakash

多くのユーザー、いくつかの役割、およびそれらの役割に対する特定の権限を持つ新しいアプリケーションをプログラミングしています。そのために、次のテーブルを作成します。

私の考えは、ユーザーがフォームにアクセスするための特定の権限を持っているかどうかを確認できる関数を構築することでした。これを行うには、「canReadFormX」、「canEditFormX」などのアクセス許可/ルールを作成します。これにより、1 つのメイン関数を使用して特定のルールをチェックおよび実行し、フォームごとにそれを呼び出す関数を使用できます。

それは進むべき道ですか（または、RBACに関するすべてを正しく理解しましたか）、それとも複雑すぎますか？どんなアドバイスでも大歓迎です！

作成しているアプリケーション用にカスタマイズされたRBACソリューションを探しています。カジュアルなCanCanとの主な違いは、RBACがユーザーモデルではなく、完全にカスタム化された他のモデルに依存していることです。

たとえば、ユーザーはグループに属し、そのグループには特定の権限を持つロールがあります。つまり、ユーザーはグループ「workers」（彼はワーカー）に属している可能性があり、そこではワーカーは「修正」することができます。

これを実装する前に私が実際に聞きたいのは、CanCanがそのようなカスタマイズされたことができるかどうかです。または、カスタムRBACを設計するためのより良いソリューションがある場合は、より良いプラグインが必要ですか？

私がやろうとしているこのRBACは、実際のユーザー認証とは何の関係もありませんが、誰が修正できるか、誰がクリーンアップできるかなど、内部リソースを使用する方法にすぎないことに注意してください。

私は、かなり大きくて複雑な新しいサイトを設計しながら、RBAC に飛び込んでいます。タスクを作成するか、ビジネスルールを使用して単に操作を作成するかを考えています。

今、私は既存のドキュメントのすべてではないにしてもほとんどを読みました。現在のドキュメントには、「タスクは操作で構成される」と記載されています。This wiki article は、さまざまな用語は単に命名規則であり、存在する唯一の制限は構造的なものであると述べています-ロールにはタスク (または他のロール) を含める必要があります。タスクには操作 (または他のタスク) を含める必要があり、操作は他のエンティティによってさらに構成されない原子的な用語です。また、「Agile web dev...」と「Yii cookbook」の関連セクションも読みましたが、どちらもこの問題について詳しく説明していません (少なくとも私の眼鏡を通して見た場合)。

質問を提示する私の例に行きましょう。実際、上記のドキュメント リソースのほとんどで示されているのと同様の例を使用してみましょう: ブログ投稿があり、その作成者が「自分の投稿を更新」できるようにしたい/必要があるとします。では、なぜこれがドキュメント リソースで一般的に示されているタスクであり、ビジネス ルールによる操作ではないのでしょうか?

上記の質問は、「タスク」の不明確な定義を明らかにしていると思います（もちろん、RBACのコンテキストで）。

RBAC タスクのより良い定義を抽出するのを手伝ってください。

編集: 言及された用語の次の定義は、それらを有用な方法で概念化するのに役立ちます. 簡単に言うと、操作は基本的な構成要素です。それらは開発者が扱う素材であり、それらだけです。開発者は、操作の上にタスクを構成します。役割は、一連のタスクのようにタスクで構成されます。役割とタスクは、サイト管理者が行うべきものです。ユーザーへの割り当てと取り消しは行いますが、操作は行いません。これは、これらのエンティティ (役割、タスク、および操作) を見て把握するための優れた方法です。別の方法で概念化する別のオプションはありますか? コメントをお待ちしております。

ティア！ボアズ。

Yii RBAC では、何人のユーザーが x を実行するパーミッションを持っているかについてカウント情報を取得することは可能ですか?

つまり、次のようなメソッドを書くことができます:

• Dbで割り当てられたすべてのユーザーを確認し、
• 親権限を持つすべてのユーザーを再帰的に追加し、
• 繰り返し ID を除外します。

しかし、それを行うための既製の方法はありますか? アイデアをお寄せいただきありがとうございます。

ひねりを加えたデータベースを設計しようとしていますRBAC(または、ひねりを加えていると思うのは私だけですか?)。私が理解しているようにRBAC、ロールとパーミッションを使用して、システム内の特定のオブジェクトへのアクセスを許可/拒否します。Main adminサイトのインスタンスが 1 つだけあり、単純にロール ' '、' Secondary admin'、' User' などを作成すると、すべてがわかりやすくなります。

しかし、システム内にアカウントがある場合はどうなりますか? つまりLondon、「 」、「Tokyo」、および「Moscow」のアカウントを持つ 1 つのシステムがあります。これで、各アカウントに「メイン管理者」と、各アカウントに多数の「ユーザー」が割り当てられます。もちろん、モスクワの人はロンドンのアカウントにログインできないはずです。どうすればいいのですか？アカウントへの割り当てをユーザーにバインドする追加のテーブルを作成する必要がありますか? または、アカウント ID を割り当てテーブルに追加しますか? または、「moscow_main_admin」、「london_main_admin」などの複数のロールを作成する必要があるかもしれません。このような状況では、どのようなアプローチが最適ですか?

また、ロンドン アカウントの「メイン管理者」と東京アカウントの「セカンダリ管理者」であるユーザーが何人かいると思います。

RBAC に組み込まれた Yii を使用する予定です...違いがあれば。

対処方法は？

前もって感謝します！

現在作成しているWPFアプリに何らかのRBACを実装する必要があります。v2.0 ASP.NETには、セキュリティ、メンバーシップ、および役割の管理インフラストラクチャがあり（たとえば、ここで説明します）、それを使用することはできますが、このコンテキストで使用するのは少し難しいと感じています。これを使用し、同様の状況で成功した人からのフィードバックを歓迎します。

AD LDSの使用を検討し、TechNetの記事を読み、MSDNコードサンプルのいくつかを調べましたが、データベースの作成の背後にある固有の複雑さの一部を取り除くコンポーネント（.NET用）があるかどうか疑問に思っています。展開と継続的なメンテナンスのためにセットアップします。この場合、無料または商用で問題ありません。

SOに関する他の質問では、クライアントアプリケーションサービスについて言及していますが、これにはIISをミックスに追加する必要があります。これは、可能性の範囲を超えていませんが、プロジェクトの当初は想定していなかったものです。

この場合のベストプラクティスは何ですか？このアプリは典型的なn層タイプの問題であり、リモートのSQL Serverデータベースと通信するため、必要に応じて役割をそこに保存できます。