5. Назначение ролей (см. http://contribute2moreq.eu/portal/conceptpart3?pointId=1282127149909 )
Общие положения
В MoReq2010 управление доступом на основе ролей заменяет комбинированные модели MoReq1 MoReq2, сочетавшие использование прав доступа и ролей. В более ранних версиях MoReq, структура модели управления доступом в основном оставлялась на усмотрение поставщиков, определявших её в рамках своих собственных СЭД-приложений. Такой подход не обеспечивал интероперабельности (совместимости) между различными СЭД.
MoReq2010 отходит от более ранних версий спецификаций, реализуя единую унифицированную модель управления доступом на основе ролей, позволяющую одной соответствующей спецификациям MoReq2010 СЭД экспортировать определения и назначения ролей, а другой - импортировать и понимать их.
Начиная с MoReq2010, единственным механизмом, посредством которого пользователь сможет получить доступ к объектам СЭД с целью выполнения функций, будет назначение соответствующей роли этому пользователю либо группе, к которой этот пользователь принадлежит.
Полная модель назначения ролей в MoReq2010 показана на приведенной ниже диаграмме (данная диаграмма объединяет элементы, показанные на предыдущих диаграммах):
Согласно этой модели роль, определяемая как набор функций, назначается определенному пользователю или группе конкретно в отношении одного объекта СЭД.
Нет никаких ограничений на количество пользователей или групп, которым может быть назначена данная роль по отношению к конкретному объекту.
Если определенному пользователю была назначена роль в отношении объекта, то тогда этот пользователь может выполнять любые функции, определяемые этой ролью, над этим объектом и любыми содержащимися в нём объектами.
Наследование для вложенных объектов
В MoReq2010 модель назначения ролей допускает наследование назначения ролей для объектов, содержащихся в других объектах.
Для MoReq2010 в целом это означает, что:
- Если роль была назначена в отношении рубрики, то она также применима и к любой коллекции документов внутри этой рубрики, а также
- Если роль была назначена прямо или косвенно в отношении коллекции документов, то она также применима ко всем документам этой коллекции.
Например, в рамках модуля иерархической классификационной схемы, в которой рубрики могут содержать подрубрики, будет определено правило наследования, согласно которому роль, назначенная в отношении родительской рубрики, будет автоматически унаследована в отношении подрубрик. Заметим, что эти правила наследования между рубриками будут определяться на уровне модуля, и могут оказаться применимыми в других модулях классификации, таких, как модуль фасетной классификации (faceted classification).
Общесистемные роли (system wide roles)
Будет также иметься возможность назначить роли в отношении СЭД в целом. Это означает, что они будут применимы в отношении любых объектов СЭД, вне зависимости от правил наследования для вложенных объектов.
В следующей части настоящего документа предлагается предусмотреть в рейтинге безопасности возможность того, что простейшие MoReq2010-совместимые СЭД будут реализовывать только общесистемные роли.
Накопительный эффект нескольких ролей
Будет иметься возможность назначить пользователю несколько ролей в отношении конкретного объекта. Это может произойти в результате использования общесистемных ролей, членства в различных группах, либо в результате описанного выше наследования для вложенных объектов.
Несколько ролей имеют кумулятивный эффект в отношении числа функций, которые пользователь может выполнить. Иными словами, если пользователю назначено несколько ролей по отношению к какому-либо объекту, то он сможет выполнить некую функцию применительно к данному объекту, если хотя бы одна из этих ролей это допускает.
Назначение роли на ограниченный период времени
MoReq2010 позволит назначать роли на определенные периоды времени. Это означает, что в один указанный день система автоматически назначит роль пользователю или группе, и автоматически отменит это назначение в другой указанный день.
Предлагается предусмотреть в рейтинге безопасности возможность того, что простейшие MoReq2010-совместимые СЭД будут использовать только постоянное назначение ролей.
Минимальная функциональность при управлении ролями
Минимальный уровень функциональности, который должны обеспечивать все роли, - это возможность видеть и получать доступ к объекту, и находить его при проведении поиска. Все определения ролей должны, таким образом, включать в себя эту функцию в дополнение к другим функциям.
(окончание следует, см. http://rusrim.blogspot.com/2010/08/moreq2010-5.html )
Источник: Портал публичного обсуждения MoReq2010
http://contribute2moreq.eu/portal/
Комментариев нет:
Отправить комментарий