Вопросы, связанные с внедрением RBAC

Question

У меня есть несколько вопросов, связанных с RBAC (модель найма).Ниже приведены сценарии

Предположим, у меня есть три роли, одна родительская роль и три разных типа разрешений

Родительская роль: менеджер филиала. Дочерние роли: менеджер по сбережениям, менеджер по кредитам и бухгалтер. Разрешения: сохраняются, удаляются, просматриваются

Q1: Может ли дочерняя роль наследоваться двумя или более ролями.менеджер с разными обязанностями - например, менеджер по сбережениям получает отчет от роли бухгалтера по высокоценному сберегательному счету, а клиент и менеджер по кредитам получают отчет от роли бухгалтера по высокоценным кредитам, взятым клиентами

Разрешена ли эта модель или нам нужноесть что-то вроде сберегательного бухгалтера и бухгалтера ссуды в зависимости от их обязанностей

Q2: если Q1 действителен, то как я могу отказать разрешения, связанные с ссудой (сохранение ссуды, удаление ссуды, просмотр сведений о ссуде)управляющему сбережениями, но разрешить ссудному менеджеру и наоборот для разрешения, связанного с сбережениями.

Q3: предположим,

Бухгалтер не имеет разрешения на удаление записи сбережений Менеджер сбережений имеетразрешение на удаление сберегательной записи Менеджер ссуды не имеет разрешения на удаление сберегательной записи

что теперь происходит с ролью управляющего банком (удаление записи сбережений не определено).Уилл менеджер банка получит разрешение на удаление сберегательной записи.позволяет получить приоритет над отказом или наоборот, или мне нужно написать правила (которые должны предшествовать) для того же.

Есть еще несколько вопросов, которые я задам позже

СпасибоАльберт Арул Пракаш

Answer 1

Разрешена ли эта модель?

При проверке подлинности на основе ролей актер выполняет одну или несколько ролей.Вы можете разбить вещи на роли по своему усмотрению - моделирование ролей на основе наследования или нет.

Критерии, которые вы должны использовать, чтобы решить, у кого какие роли какие бы то ни было

1. дает хорошиеакторы - сила, которая им нужна для выполнения своей работы, а плохим актерам - минимальное количество злоупотребляемого авторитета.
2. хорошо вписывается в лесозаготовку, так что злоупотребление властью можно расследовать
3. достаточно легко понятьтак что плохие актеры не могут правдоподобно отрицать ответственность за злоупотребление полномочиями
4. позволяет достаточное делегирование, чтобы у менеджеров не было соблазна поделиться учетными данными для выполнения работы

Единственное правило при разработкеСистема RBAC, которую вы никогда не должны нарушать (помимо назначения разрешений ролям, а не пользователям), заключается в следующем: субъект не может повышать привилегии, принимая на себя меньше ролей, чем им разрешено.Человек, которому разрешено действовать в качестве управляющего банком и бухгалтера, не должен иметь возможности осуществлять больше полномочий, если он может убедить систему в том, что он бухгалтер, а не менеджер банка или наоборот.Отрицательные разрешения очень усложняют ситуацию и приводят странные угловые случаи - просто избегайте их.