Bazate pe roluri de control al accesului beneficii, practici, caracteristici - ITSM reale despre toate, ITIL

Bazate pe roluri de control al accesului beneficii, practici, caracteristici - ITSM reale despre toate, ITIL

Bună ziua, dragi vizitatori ai portalului Numele meu este Alexander Omelchenko, eu - dar Vy collab uk companie Cleverics. Voi face cu proiectul de implementare IDM și soluții de management al accesului. În legătură cu apariția unei noi direcții în cadrul companiei, vreau să vă spun mai multe despre conceptul de control al accesului relevant. Astăzi hai să vorbim despre cel mai popular până în prezent modelul de acces - control al accesului bazat pe roluri, cunoscut sub numele de RBAC (Role Based Access Control).

de control al accesului bazat pe roluri

O caracteristică esențială a unui model de rol este acela că toate căile de acces la sistemele de informații și resursele disponibile numai prin rolul. Rolul - un set de drepturi de acces. Utilizatorii pot accesa doar prin rolurile atribuite.

Ideea de acces bazat pe roluri au apărut din necesitatea de a grupa seturi de drepturi în orice entități separate, care a dat în mod clar să înțeleagă ce tip de acces utilizatorul are, ceea ce ar fi mai convenabil și mai intuitiv de a lucra în cazul unor modificări ca poziția utilizatorului în organizație, și drepturile de acces ale utilizatorilor. set Punct de vedere istoric, setul de reguli a devenit legat de exercițiu, de fapt - la rolurile funcționale. Prin urmare, noțiunea de roluri. Primele aplicații care pun în aplicare de control al accesului utilizatorilor bazat pe roluri, au început să apară încă din anii 1970. În timp ce era sisteme relativ simple și aplicații. Nu a existat nici un singur model care descrie modul în care accesul furnizat utilizatorului, pe baza rolului său în organizație. Sistemele au fost dezvoltate de către diferite organizații fără definiții și standarde convenite.

Avantajele de control al accesului bazat pe roluri

Comparativ cu modelele de mai sus, de control al accesului bazat pe roluri are un număr de proprietăți pozitive importante. De exemplu:

  • Posibilitatea de a construi o ierarhie rol cu ​​un set de drepturi de moștenire. Acest lucru simplifică modelul de rol, în special în organizațiile cu o infrastructură eterogenă, care utilizează o mulțime de sisteme informatice. Odată cu utilizarea ierarhiei nu este nevoie de a re-intra dreptul în mai multe dintre aceste roluri, este suficient pentru a le-a pus într-un rol important, în calitate de copii, indicând numai permisiunile unice pentru fiecare rol.
  • Pur și simplu și eficient oferă aceleași drepturi pentru mai mulți utilizatori - suficient pentru a atribui utilizatorilor la un rol.
  • Dacă este necesar, modificați setul de drepturi pentru mulți utilizatori este suficient pentru a schimba un set de drepturi în rolul.
  • Posibilitatea de punere în aplicare a principiului separației puterilor în stat (SOD - separarea funcțiilor). Acest lucru reduce semnificativ riscul utilizatorilor de exces de putere, de exemplu, atunci când cele două roluri nu poate fi la un moment dat alocat pentru același utilizator.

caracteristici

La proiectarea, implementarea și utilizarea modelului de control al accesului bazat pe roluri, trebuie să ia în considerare factori care pot duce la pierderi serioase de timp și bani.

În primul rând, „o varietate de utilizatori“: în practică, în organizațiile mari pot fi destul de un număr mare de utilizatori cu privilegii unice, unele dintre ele ar putea fi pe aceleași poziții, chiar și într-o singură unitate. Acest lucru face dificil de a construi un model de rol și poate duce la o situație în care fiecare utilizator are nevoie de propriul său rol unic. O astfel de situație poate apărea atunci când un angajat „crescut“ în biroul lui sau pur și simplu, el are o funcție unică din cadrul unității. Acest lucru poate deveni o problemă serioasă pentru sistemul de control al accesului:

  • În acest caz, este dificil să se definească „destul de mici“ set de roluri, care sunt responsabile pentru masa principală a drepturilor utilizatorilor de acces.
  • Este imposibil de a crea același număr de roluri ca utilizatori - acest lucru este echivalent cu controlul de acces manual.

În al doilea rând, de „prea multe roluri“: acest lucru nu este întotdeauna cazul, dar se poate întâmpla o situație în care, atunci când vă conectați la sistemul de control al accesului are un sistem controlat, rolul definit pentru sistemele conectate anterior, este necesar să se împartă în mai multe alte roluri, luând în considerare toate posibile cazuri de utilizare, împreună cu noul sistem. În cazul în care există mai multe sisteme noi, o situație poate apărea atunci când rolurile vor fi mai mult decât utilizatorii.

În al treilea rând, „schimbarea taxelor polzovateleyi reorganizare de afaceri“: chiar dacă modelul rol reflectă situația actuală în organizație, este necesar să se mențină la zi, pentru a monitoriza modificările obligațiilor de utilizator și de a face schimbări rapide în modelul de rol.

În al patrulea rând, „costul“: este necesar să se ia în considerare faptul că dezvoltarea și susținerea unui model de rol în cele din urmă poate costa mai mult decât administrarea manuală. În plus, modelul de rol de management necesită mai calificat decât administratorul care acordă drepturi.

practica de aplicare

Anterior, am văzut de ce gestionarea drepturilor utilizatorilor, pe baza unui model de rol poate fi complicată și costisitoare, și chiar și după punerea în aplicare cu succes pentru a oferi o mulțime de probleme atât de IT și de afaceri.

În unele cazuri, cu toate acestea, în ciuda acestor caracteristici, oferind acces bazate pe roluri justifică în sine? În primul rând, în același sistem în care numărul de combinații posibile de drepturi este destul de mic, și, ca urmare, este ușor de a gestiona un număr mic de roluri. De fapt, utilizarea RBAC a fost mult timp considerată cea mai bună practică în dezvoltarea de aplicații, baze de date, servere și sisteme de operare. În al doilea rând, în organizațiile în care un număr suficient de mare de utilizatori au aceleași drepturi. De exemplu, un povestitor banca, vânzări în rețelele de retail și fast-food, contabilitate, etc. În fiecare dintre aceste exemple multiple roluri suficiente pentru a oferi acces la mii de utilizatori.

Rezumând, putem spune următoarele - RBAC este o soluție utilă pentru anumite probleme specifice: gestionarea utilizatorilor într-un singur director, sau de a gestiona grupuri mari de utilizatori cu aceleași drepturi. Dar RBAC, ca singurul model de acces, nu este potrivit pentru problema mai generală de gestionare a drepturilor o mare varietate de utilizatori și acces utilizator dinamic în multe sisteme.