4.3.2 Предоставление ролей

Роль может быть предоставлена как пользователю, так и группе относительно любого объекта системы, включая службы. При предоставлении роли создается запись доступа, в которой перечисляются пользователи или группы, а также предоставляемые им роли; затем она добавляется в список доступа соответствующего объекта.

 

Предоставление пользователю роли по отношению к объекту позволяет этому пользователю выполнять применительно к объекту все функции, указанные в определении роли.

 

При предоставлении роли группе каждый пользователь, являющийся членом этой группы, получает эту роль (см. 3. Служба пользователей и ролей). Новые пользователи, вступающие в группу, автоматически наследует эту роль, тогда как пользователи, выходящие из состава группы, автоматически теряют все права в рамках данной роли; роль при этом не назначается каждому пользователю индивидуально.

 

Рекомендуется предоставлять роли группам, а не индивидуальным пользователям : таким образом проще управлять доступом к объектам, когда пользователи уходят из организации или меняют работу, не внося изменений в списки доступа для объектов системы.

 

Управление группами значительно проще и меньше подвержено ошибкам по сравнению с управлением ролями для каждого пользователя в отдельности.

 

На рисунке 4b показано, как пользователю или группе приписывается одна или несколько ролей по отношению к объекту, а в список доступа объекта добавляется новая запись. Каждый объект системы, равно как и каждая служба, обладает собственным списком доступа.

Рисунок 4b. Список управления доступом состоит из записей, связывающих пользователей или группы с ролями.

Оставить комментарий

Вы должны войти, чтобы оставить комментарий.