ВУЗ:
Составители:
В рассматриваемом примере административная роль PSO1 позволяет включать в
множества авторизованных ролей пользователя роли PE1, QE1, Е1. При этом, для того
чтобы любая из перечисленных ролей могла быть включена в множество авторизованных
ролей пользователя, он уже должен обладать ролью ED.
Для администрирования множеств авторизованных ролей пользователей на множе-
стве административных ролей задаются следующие функции:
• can-assign: AR → CR × 2
R
– функция, определяющая для каждой административной
роли множество ролей, которые могут быть включены в множество авторизованных ро-
лей пользователя с использованием данной административной роли при выполнении за-
данных предварительных условий;
• can-revoke: AR → 2
R
– функция, определяющая для каждой административной ро-
ли множество ролей, которые могут быть исключены из множества авторизованных ро-
лей пользователя с использованием данной административной роли.
Как правило, множество ролей, являющееся значением функции can-assign() или
can-revoke(), задается интервалом ролей одного из четырех видов:
[, ] { ,где и };
(, ] { ,где и };
[, ) { ,где и };
(, ) { ,где и },где ,.
xy x R x x x y
xy x R x x x y
xy x R x x x y
x
yxR xxxy xyR
′′′
=
∈≤≤
′′′
=∈ < ≤
′′′
=∈ ≤ <
′′′
=
∈<< ∈
Иерархия ролей и иерархия административных ролей представлена в табл. 5.5 и 5.6.
5.5. Значение функцииcan-assign( )
5.6. Значение функции
can-revoke( )
Администра-
тивная роль
Предвари-
тельное
условие
Множество
ролей
Админист-
ративная
роль
Множество
ролей
PSO1
PSO2
DSO
DSO
ED
ED
ED and
(not PL1)
ED and
(not PL2)
[E1, PL1)
[E2, PL2)
[PL2, PL2]
[PL1, PL1]
PSO1
PSO2
DSO
[E1, PL1)
[E2, PL2)
(ED, DIR)
Таким образом, административная роль PSO1 позволяет включить для пользователя,
уже обладающего ролью ED, в множество его авторизованных ролей роли E1, РЕ1 и QE1.
Административная роль DSO позволяет включить для пользователя, уже обладающего
ролью ED, в множество его авторизованных ролей роль РL1; при этом данный пользова-
тель не должен обладать ролью PL2.
Следует отметить, что в общем случае значения функций сап-assign() и can-revoke()
определяются независимо друг от друга, т.е. удаление роли из множества авторизован-
ных ролей пользователя может быть выполнено независимо от того, каким образом эта
роль была включена в это множество, и наоборот.
Администрирование множеств прав доступа ролей. При администрировании
множеств прав доступа ролей изменяются значения функции PA(), для чего опреде-
ляются специальные административные роли из множества AR.
Подход к определению порядка администрирования множеств прав доступа ролей
аналогичен подходу, использованному для администрирования множеств авторизован-
ных ролей пользователя.
При этом предварительные условия определяются для прав доступа.
Для администрирования множеств прав доступа, которыми обладают роли, на мно-
жестве административных ролей задаются:
• can-assign
p
: AR → CR × 2
R
– функция, определяющая для каждой административ-
ной роли множество ролей, для которых разрешено включать права доступа в множества
прав доступа с использованием данной административной роли при выполнении задан-
ных предварительных условий;
• can-revoke
p
: AR → 2
R
– функция, определяющая для каждой административной ро-
ли множество ролей, для которых разрешено удаление прав доступа из множеств прав
доступа с использованием данной административной роли.
Иерархия ролей и иерархия административных ролей представлена в табл. 5.7 и 5.8.
Таким образом, административная роль DSO позволяет включить права доступа,
входящие в множество прав доступа роли DIR, в множества прав доступа ролей РL1, PL2.
Причем данные права доступа могут быть включены в множества прав доступа ролей,
находящихся ниже РL1, PL2 по иерархии. Административная роль PSO1 позволяет
Страницы
- « первая
- ‹ предыдущая
- …
- 54
- 55
- 56
- 57
- 58
- …
- следующая ›
- последняя »
