Перейти к основному содержимому

О модели управления доступом к приложению

Общим подходом для моделей управления доступом является разделение множества сущностей приложения на следующие множества:

  • Объекты — сущности, над которыми совершается действие. Например, объектами являются компоненты экранной формы, действия, определенные для экранных форм, классы, определенные в модели данных.
  • Субъекты — роли пользователей, которые выполняют операции над объектами.
  • Действия, которые можно выполнять с объектом. Например, кнопку в пользовательском интерфейсе можно отображать и нажимать, элемент данных можно создавать, удалять, редактировать и просматривать.

Безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности.

В ролевой модели операции, относящиеся к какой-либо служебной обязанности пользователя приложения, группируются в набор, называемый ролью. Например, операции по регистрации документов могут быть сгруппированы в роль регистратор.

Каждый пользователь приложения может иметь одну или несколько ролей. Пользователь может выполнить определенное действие, если в наборе его ролей есть роль с разрешением на это действие. Пользователь не может выполнить определенное действие, если в наборе его ролей есть роль с запретом на это действие. Для каждой роли пользователя вы формируете правила, включающие разрешение или запрет на выполнение действия над объектом.

Для ускорения назначения правил ролям пользователей используются группы объектов. Каждая группа объединяет объекты только одного из следующих типов:

  • действие, определенное для экранной формы;
  • компонент экранной формы;
  • класс, описанный в модели данных проекта;
  • политика безопасности, определенная в модели данных проекта;
  • бизнес-процесс.

Например, можно создать группу компонентов экранной формы, а затем создать правило для отображения всех компонентов этой группы для определенной роли пользователя. Группы объектов не могут включать другие группы объектов.

Для группировки ролей пользователей в приложении используются профили. Один профиль может включать одну и более ролей. Каждая роль может быть включена в несколько профилей.

Для настройки управления доступом к приложению используется встроенный в DevTools Редактор Модели Безопасности.