ВУЗ:
Составители:
включить права доступа, входящие в множество прав доступа роли РL1, в множества
прав доступа ролей РЕ1 и QE1, но только в каждую по отдельности. Административная
роль DSO позволяет удалять права доступа из множеств прав доступа ролей, находящих-
ся в иерархии между ролями ED и DIR, а административная роль PSO1 позволяет удалять
права доступа из множеств прав доступа ролей РЕ1 и QE1.
5.7. Значение функцииcan-assign( )
5.8. Значение функ-
ции can-revoke( )
Админист-
ративная
роль
Предвари-
тельное
условие
Множество
ролей
Админист-
ративная
роль
Множе-
ство
ролей
DSO
DSO
PSO1
PSO1
PSO2
PSO2
DIR
DIR
PL1 and
(not QE1)
PL1 and
(not PE1)
PL2 and
(not QE2)
PL2 and
(not PE2)
[PL1, PL1]
[PL2, PL2]
[PE1, PE1]
[QE1, QE1]
[PE2, PE2]
[QE2, QE2
DSO
PSO1
PSO1
PSO2
PSO2
(ED,
DIR)
[QE1,
QE1]
[PE1,
PE1]
[QE2,
QE2]
[PE2,
PE2]
В общем случае значения функции can-revoke
p
() определяются без учета иерархии
ролей. В связи с этим необходимо решать проблему удаления прав доступа ролей, анало-
гичную рассмотренной ранее проблеме удаления ролей из множеств авторизованных ролей
пользователей.
Администрирование иерархии ролей. Определение правил администрирования,
позволяющих изменять иерархию ролей, является самой сложной задачей, рассмат-
риваемой в модели администрирования РРД. Для решения данной задачи исполь-
зуются подходы, реализованные при определении правил администрирования мно-
жеств авторизованных ролей пользователей и прав доступа ролей. Задаются три
иерархии, элементами которых соответственно являются:
• возможности – множества прав доступа и других возможностей;
• группы – множества пользователей и других групп;
• объединения – множества пользователей, прав доступа, групп, возможностей и
других объединений.
Иерархия объединений является наиболее общей и может включать в себя иерархии
возможностей и групп. Определение возможностей и групп требуется для обеспечения
соответствия правил администрирования ролей в модели и используемых на практике
технологий обработки информации и создания административных структур организаций.
Например, для выполнения своих функций пользователю может быть необходим некото-
рый набор прав доступа, причем отсутствие в этом наборе некоторого права доступа мо-
жет сделать бессмысленным обладание имеющимися правами.
На основе иерархий возможностей, групп и объединений задается иерархия ролей,
элементами которой являются (UР-роли):
• роли-возможности – роли, которые обладают только определенными в соответст-
вующей возможности правами доступа;
• роли-группы – роли, на которые могут быть авторизованы одновременно только
все пользователи соответствующей группы;
• роли-объединения – роли, которые обладают возможностями, правами доступа и
на которые могут быть авторизованы группы пользователей и отдельные пользователи.
Роли-объединения являются общим случаем ролей, рассматриваемых в модели ад-
министрирования РРД.
Для администрирования возможностей и групп пользователей на множестве адми-
нистративных ролей задаются:
• can-assign
a
: AR → CR × 2
UPR
– функция, определяющая для каждой администра-
тивной роли множество ролей-объединений, в множество прав доступа которых разре-
шено включать возможности с использованием данной административной роли при вы-
полнении заданных предварительных условий;
• can-revoke
a
: AR → 2
UPR
– функция, определяющая для каждой административной
роли множество ролей-объединений, из множества прав доступа которых разрешено уда-
ление возможностей с использованием данной административной роли;
• can-assign
g
: AR → CR × 2
UPR
– функция, определяющая для каждой администра-
тивной роли множество ролей-объединений, которые разрешено включать в множество
авторизованных ролей групп пользователей с использованием данной административной
Страницы
- « первая
- ‹ предыдущая
- …
- 55
- 56
- 57
- 58
- 59
- …
- следующая ›
- последняя »
