Описание модели безопасности

Каждый объект, которым оперирует система Юнидата, управляется моделью безопасности, что позволяет задавать для пользователей права доступа к тому или иному объекту. Такие объекты называются ресурсами безопасности.

Доступ к ресурсам безопасности настраивается при помощи двух инструментов:

  • Таблицы прав доступа. Таблица настраивается при создании новой роли пользователей. В таблице можно задать права системы, доступ к реестрам/справочникам (в том числе к отдельным атрибутам записей реестра/справочника).

  • Меток безопасности. Метки предназначены для более точного разграничения прав к данным, например, назначения пользователю доступа только к определенным значениям атрибутов записей. Метки могут быть назначены как на учетные записи, так и на роли.

Основные понятия модели безопасности:

  • Учетная запись пользователя (пользователь) – совокупность данных о пользователе, которая позволяет его опознавать и предоставлять права на выполнение определенных действий в системе. Учетной записи назначается одна или несколько ролей, а также одна или несколько меток безопасности. Владелец учетной записи – пользователь системы, должностное лицо.

  • Роль – именованный набор прав доступа к ресурсам безопасности, необходимый для выполнения конкретных функций или задач.

  • Права доступа – возможность работы с ресурсом безопасности: создание, изменение, удаление, чтение и полные права (т.е. все одновременно). В зависимости от типа ресурса, смысловая нагрузка прав может меняться.

  • Метка безопасности – именованный набор атрибутов реестра/справочника, служащий для разграничения доступа к записям реестра/справочника.

Концепция работы с моделью безопасности:

  • Настройка ролевой модели должна производиться при наличии модели данных, либо сформированной полностью, либо частично. Это обусловлено тем, что для каждой роли необходимо задавать права для реестров/справочников, и изменения в модели данных ведут к изменениям в правах доступа.

  • На первом этапе настройки модели безопасности создаются роли, содержащие определенный набор прав доступа. Одному пользователю может быть назначено несколько ролей. Итоговые права определяются как совокупность прав. При этом, если одна роль определяет наличие прав на объект, а вторая – отсутствие, подобное пересечение трактуется как наличие права на объект.

  • Затем создаются учетные записи пользователей, которым задаются требуемые роли.

  • При необходимости на роль и пользователя создаются метки безопасности.

  • Если учетная запись имеет включенный флаг «Суперпользователь», то пользователю доступны все возможности системы. Флаг имеет более высокий приоритет, чем назначенные роли и метки безопасности.

Схема ролевой модели безопасности

Рисунок 1 – Схема ролевой модели безопасности

Система Юнидата поддерживает возможность прохождения процедуры аутентификации по протоколу LDAP с использованием данных внешней службы каталогов. Указанная возможность реализуется посредством применения специализированного программного продукта, который не входит в стандартный комплект поставки системы.