問題タブ [role-based-access-control]

アプリケーションで複数のロールを使用しているasp.net Webアプリケーションを開発しています。問題は、ロールに基づいて起動ページを変更する必要があることです。たとえば、3 つのロール role1、role2、role3、および page1、page2、page3 などのページがあるとします。ここで、ユーザーが role1 だけを持っている場合、ページ 1 を起動ページとして持っている必要があり、ユーザーが role1 と role2 を持っている場合、ページ 2 を起動ページとして持っている必要があります。

Yii2 の役割ベースのアクセス制御に問題があります。通常の設定では、認証ルールは現在のユーザーの ID のときに実行されます。ドキュメントに書かれているように。認可

私の場合、別のモデルのセットを使用して (基本機能は別として) 承認を設定するにはどうすればよいですか? これが私のセットアップです。

テーブルauth_assignment[ item_name, user_id] は rbac 移行から、 user[ id] は yii2 移行から。新しいテーブルassignment[user_idに関連するuser、の にrec_id関連recognitionするorganization] を作成しました。

これがシナリオです。私には、、、の役割がadminありorganization-headますmember。organization-headまたはmemberが独自の認識モジュールに属しているかどうかを確認するにはどうすればよいですか。他の組織の長からの他のモジュールではありませんか?

peixotoによるコンテキスト アクセス制御フィルターも使用しました。

これがチェック用の私のコードです。RecognitionRule は、ユーザーuser_idの ID と等しいユーザーが存在するかどうかを確認します。とaccount_id等しいrec_id。2番目の条件は、彼が組織に属しているかどうかを示します

それでも、私はアクションを実行することを許可されていません。手がかりはありますか？

階層的役割ベースのアクセス制御を構築したいと考えています。これは私の現在のスキーマです:

現在、このシステムを構築するには 2 つのオプションがあります。

1. 必要なすべての権限をロールにアタッチします (階層的ではありません)

2. 特別な「レベル」権限のみを付与し、下位レベルの権限を継承します

より良いアプローチがありますか、それとも私のプロジェクトのニーズに依存していますか?

シンプルさという理由だけで、階層型を選択する傾向があります。そうする場合、アクセス許可レベルを選択するためのより良い方法はありますか、おそらく 2 進数を使用しますか?

オプション 2 には、ロールにいくつかのレベルがあり、権限にいくつかのレベル番号があります。したがって、Full Administratorロールを作成すると、それはレベル 4 になるため、他のすべての権限が継承されますが、他の権限はレベル 4 (または 4000) よりも小さい番号になります。

これはやり過ぎですか？

データベースバックエンドとしてcouchDbを使用するjavascriptアプリ用のロールベースのアクセス制御ユーザー管理メカニズムを持つ方法はありますか? 私が調べたところによると、セキュリティに関しては、特定のアプリケーションに属する 1 つのデータベース内にユーザーとロールの情報を保持するのではなく、couchDb インスタンス自体にさまざまなユーザーを設定することについての話ばかりです。

さらに、アプリごと、データベース内のユーザーとロールの情報がある場合、認証とロールベースの承認はどのように機能するかを知りたいです。トークンベースの認証方法はありますか?

ユーザーの 2 つの要件を満たす Web アプリを作成しています。注: Web 開発プラットフォームとして AngularJS を初めて使用します。

フロントエンド - 1: ユーザーがキーワード検索とフィルターに基づいて特定のドキュメントと研究を検索できる検索機能です。これは、AngularJS を使用してデータと表示をフェッチするために MySQL を使用して実装されています。

フロントエンド - 2: ユーザーには、Web アプリでアカウントを作成するオプションがあります。アカウントの目的は次のとおりです。

1. 検索クエリを保存します。
2. 管理者が各ユーザーを特定の役割に関連付けると、それらのユーザーは、データベースに存在するドキュメントの変更や、新しいドキュメントや他のページのホストのアップロードなどの追加オプションにアクセスできるようになります。

私の質問：

AngularJS でロールベースの承認を処理するには? 次の機能を含むフレームワークを作成する方法を理解できません: - ユーザーはロールに関連付けられます - ユーザーがそれらのロールに関連付けられていないページまたは機能にアクセスできないようにします

私はチュートリアルと同様にいくつかの SO 記事を読みましたが、すべてのチュートリアルは著者がロールベースの承認をサーバー側で処理する必要があると述べており、これが真実である理由を理解しています。

AngularJS のサーバー側にロールベースの承認が実装されているチュートリアルや記事を誰かが教えてくれれば、それは素晴らしいことです。

ありがとう！

アプリケーションごとに、Jenkins で AppName.Dev および AppName.Rel プロジェクトを作成し、Development および Release ブランチを構築します。ここで、特定のユーザーのみがリリース ビルドを変更/実行できるようにしたいと考えています。

現在、この役割/フォルダー ベースのアクセス制御プラグインを使用しています: https://wiki.jenkins-ci.org/display/JENKINS/Role+Strategy+Plugin

たとえば、私は TE/TS.* というロール/ルールを持っているので、ドメイン グループ TS の全員が TE/TS フォルダ内のプロジェクトにフル アクセスできます。このフォルダー内には、App1.Dev、App1.Rel および App2.Dev、App2.Rel などのプロジェクトがあります。

TS の全員が *.Dev プロジェクトにフル アクセスできるようにするにはどうすればよいですか。

別のアプローチは、.*Dev プロジェクトを TE/TS/Dev フォルダーに、*.Rel プロジェクトを TE/TS/Rel フォルダーに分離することです。

カスタムビルドの OAuth2 サーバーを使用する .NET WebApi アプリがあります。私の API には、特定のユーザーが特定の他のユーザーのデータを表示できるレベルのソーシャル統合が必要であり、きめ細かな承認とアクセス制御の概念がもたらされます。

例：

各ユーザーにはプロファイルがあり、2 人のユーザーが友達になると、お互いのプロファイルを表示したり、別のユーザーのデータの特定の部分へのアクセスを要求したりできます。基本的に、すべてのリクエストでアクセスをチェックし、リクエストされたアクション/リソースとルートの値 (特定の userId や profileId など) を検査する必要があります。

私は多くの承認プラクティスを検討してきました (そして、すでにいくつかの基本的なクレーム、ロールを使用しています)。この種の非常にきめ細かく動的なアクセス制御を実現するための優れたフレームワークが既に存在するかどうか疑問に思っています。主に社会的統合に焦点を当てています。 、または、.NET の標準的なクレーム承認を超えて迷っているので、開始するのに適したポイントがあるかどうか。ありがとう！

私はSonarQubeを初めて使用し、次の要件で適切なアクセス制御をセットアップしようとしています:

1. 私たちにはいくつかのプロジェクト領域があります。各領域には、新しいプロジェクトの作成やボードの管理など、その領域を管理できる人が必要ですが、正確にはわかりません。これは、プロジェクト・エリア管理者のようなものです。
2. 少数の管理者は何でもできます。
3. AD に統合する

いくつかの質問：

1. このリンクのようないくつかの場所で: http://www.sonarsource.com/products/features/security/、このロールベースの方法が表示されますが、これらのデフォルトのロールが見つかりません。「SonarSource 製品には 3 つのプロジェクトが付属しています-特定の役割 – プロジェクト管理者、プロジェクト ユーザー、およびプロジェクト コード ビューアー」をシステム内のどこにでも配置できます。現在、ライセンスなしでコミュニティ版を使用しています。それに関する詳細な文書はありますか？
2. デフォルトのグローバル権限とプロジェクト権限についてはある程度理解しています。私の場合、デフォルト グループにマップするために、たとえば AD に 3 つのグループ、sonar-administrators、sonar-project-administrators、sonar-users を作成する必要がありますか?
3. 次のことに気付きました。現在、上記の AD グループがありません。AD に統合すると、ドメイン ID/パスワードでログインできますが、ログアウト/ログインすると、ローカル ユーザーに追加したグループ情報が失われます。私はそれがADと同期していると思います。AD を使用するには、AD でこれらのグループを作成する必要がありますか?

ジロン