RBAC実装に関する質問

Question

私はRBAC（hirearchyモデル）に関するいくつかの質問があります。以下は、シナリオ

ある私は3つの役割、1つの親の役割と権限の異なる3種類

親の役割があるとします。支店を。 子の役割：貯蓄マネージャー、ローンマネージャー、会計士。 権限：が続く、削除、ビュー

Q1：は、すなわち2つのまたはそれ以上の役割 によって子の役割継承することができます役割会計士が、異なる職務で貯蓄マネージャーとローンマネージャーの両方に報告すると仮定する。貯蓄マネージャーは、高額貯蓄口座の会計士の役割からのレポートを取得します。顧客とローンマネージャーは、顧客が取った高額ローンに対する会計士の役割からの報告を受け取ります。

このモデルは許可されていますか？貯蓄会計士とローンアカウンタその職務に基づいて

Q2： Q1が有効である場合、どのように私はローン関連の権限を拒否しない（、ローンを持続ローンを削除、融資の詳細を表示）貯蓄マネージャになく、融資管理と節約のためにその逆に許可関連する許可。

Q3：は

会計士が 貯蓄マネージャは、レコード ローンマネージャは銀行に何が起こるか今貯蓄レコード

を削除する権限を持っていない貯蓄を削除する権限を持っている貯蓄レコードを削除する権限を持っていない、と仮定マネージャロール（削除貯蓄記録は定義されていません）。 銀行経営者は貯蓄記録を削除する権限を取得します。 は、拒否よりも優先順位を得ることができますか、またはその逆のルールを書く必要がありますか（同じ先行するルール）を書く必要がありますか？

私は後で

おかげ アルバートArulプラカシュ

Answer 1

を聞いてきますいくつかのより多くの質問がありますが、このモデルは許されますか？

ロールベースの認証では、アクターは1つ以上のロールで動作しています。あなたは、継承に基づいてロールをモデル化するかどうかを問わず、ロールに分割することができます。

あなたはどのような役割を持っている人を決定するために使用すべき基準は何である

1. は良い俳優に過剰乱用可能な権限の最小量で悪役を残しながら、彼らは自分の仕事をするために必要な力を与えます。権限の乱用は管理者がに資格情報を共有するために誘惑されないように、悪役がもっともらしく
2. が十分な委任を可能にする権限の乱用の責任を否定することはできませんよう
3. は簡単に十分に理解されて調べることができるよう
4. は、ロギングとよく合いますあなたは（役割ではないユーザーに権限を割り当てるほか）に違反することはありませんRBACシステムを設計する際にジョブが唯一のルール

を成し遂げるこのです：俳優はそれらが許可されているよりも少ないの役割を想定して権限を昇格することはできません。銀行経営者や会計士として行動することを許可されている人は、会計士であり、銀行経営者ではない、あるいはその逆であることをシステムに納得させることができれば、より多くの権限を行使することはできません。否定的なアクセス許可では、奇妙なコーナーケースを推論し、導入するのが非常に難しくなります。