4.3.2 Предоставление ролей
Роль может быть предоставлена как пользователю, так и группе относительно любого объекта системы, включая службы. При предоставлении роли создается запись доступа, в которой перечисляются пользователи или группы, а также предоставляемые им роли; затем она добавляется в список доступа соответствующего объекта.
Предоставление пользователю роли по отношению к объекту позволяет этому пользователю выполнять применительно к объекту все функции, указанные в определении роли.
При предоставлении роли группе каждый пользователь, являющийся членом этой группы, получает эту роль (см. 3. Служба пользователей и ролей). Новые пользователи, вступающие в группу, автоматически наследует эту роль, тогда как пользователи, выходящие из состава группы, автоматически теряют все права в рамках данной роли; роль при этом не назначается каждому пользователю индивидуально.
Рекомендуется предоставлять роли группам, а не индивидуальным пользователям : таким образом проще управлять доступом к объектам, когда пользователи уходят из организации или меняют работу, не внося изменений в списки доступа для объектов системы.
Управление группами значительно проще и меньше подвержено ошибкам по сравнению с управлением ролями для каждого пользователя в отдельности.
На рисунке 4b показано, как пользователю или группе приписывается одна или несколько ролей по отношению к объекту, а в список доступа объекта добавляется новая запись. Каждый объект системы, равно как и каждая служба, обладает собственным списком доступа.
Оставить комментарий
Вы должны войти, чтобы оставить комментарий.