Che tipo di sicurezza applica un albero di permessi ai suoi utenti?

2

Sto cercando un nome o modello di progettazione su un sistema di autorizzazione basato su ACL (almeno, penso che abbia alcune caratteristiche di ACL).

Il caso
Un amministratore può creare gestori. A questi gestori verranno concesse diverse autorizzazioni in base a ciò che l'amministratore invia durante la creazione del gestore (si noti che le autorizzazioni per gestore possono essere diverse). Se consentito dall'amministratore, un manager è in grado di creare i propri dipendenti. Solo le autorizzazioni del dipendente non possono mai estendere le autorizzazioni dei gestori e le autorizzazioni dei gestori non possono mai superare le autorizzazioni dell'amministratore.

Come si chiama questo tipo di sistema di permessi? Ci sono definizioni standard o esempi di questo? O si tratta di un nuovo approccio alla sicurezza dell'utente?

    
posta nstapelbroek 17.02.2016 - 17:31
fonte

1 risposta

3

Questo è in genere riconosciuto come un approccio di controllo dell'accesso ai ruoli, apparentemente il NIST ha scritto parecchio su di esso e lo ha intitolato "RBAC" - Controllo dell'accesso basato su ruoli. Inoltre, hanno dato un nome standard al particolare controllo dei ruoli che hai descritto: lo chiamano "Hierarchal RBAC".

Qui 's un PDF NIST che va in grande dettaglio sulla sua concezione di "RBAC" con molto scritto riguardante "Hierarchal RBAC". Per citare un po '(sottolineatura mia):

The Hierarchical RBAC component adds relations for supporting role hierarchies. A hierarchy is mathematically a partial order defining a seniority relation between roles, whereby senor roles acquire the permissions of their juniors and junior roles acquire users of their seniors. In addition, Hierarchical RBAC goes beyond simple user and permission role assignment by introducing the concept of a role’s set of authorized users and authorized permissions. A third model component, Static Separation of Duty Relations, adds exclusivity relations among roles with respect to user assignments. Because of the potential for inconsistencies with respect to static separation of duty relations and inheritance relations of a role hierarchy, the SSD relations model component defines relations in both the presence and absence of role hierarchies. The fourth model component, Dynamic Separation of Duty Relations, defines exclusivity relations with respect to roles that are activated as part of a user’s session.

    
risposta data 17.02.2016 - 17:45
fonte

Leggi altre domande sui tag