|
|
@@ -58,15 +58,75 @@ _Основа_: Субъекты должны обладать лишь мини
|
|
|
**Модель ABAC (Attribute-Based Access Control)**
|
|
|
Модель ABAC определяет права доступа субъекта на основе атрибутов субъекта, объекта и окружения. Это более гибкий способ управления доступом, так как он учитывает множество факторов.
|
|
|
|
|
|
-**Мандатная модель**
|
|
|
+# Мандатная модель
|
|
|
В этой модели доступ основывается на классификации субъектов и объектов, и устанавливаются правила, согласно которым субъекты могут получать доступ к объектам.
|
|
|
|
|
|
|
|
|
|
|
|
-**Ролевая модель**
|
|
|
+_**Достоинства**_:
|
|
|
+
|
|
|
+- _простата построения общей схемы доступа_
|
|
|
+- _простата администрирования_
|
|
|
+
|
|
|
+_**Недостатки**_:
|
|
|
+
|
|
|
+- _проблема разграничения пользователей одного уровня_
|
|
|
+- _пользователь не может назначать доступ к объекту_
|
|
|
+
|
|
|
+Мандатная модель не реализована в Windows, но можно поставить дополнительные средства защиты (например: Secret Net, Аккорд и т.д.).
|
|
|
+
|
|
|
+# Ролевая модель
|
|
|
В этой модели субъектам присваиваются роли, а роли имеют определенные права доступа. Это упрощает управление доступом в больших организациях.
|
|
|
|
|
|
-**Протокол OAuth**
|
|
|
+Развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.
|
|
|
+
|
|
|
+**В модели присутствуют:**
|
|
|
+
|
|
|
+- _пользователи_
|
|
|
+
|
|
|
+- _роли_
|
|
|
+
|
|
|
+- _объекты_
|
|
|
+
|
|
|
+Рассмотрим модель на примере MOODLE.
|
|
|
+
|
|
|
+**Роли в MOODLE:**
|
|
|
+
|
|
|
+- _**Manager**_ - манеджеры может создавать и изменять курсы.
|
|
|
+
|
|
|
+- _**Создатели курса**_ - могут создать курс и преподавать в нем.
|
|
|
+
|
|
|
+- _**Преподаватель**_ - могут делать все в курсе (но не могут создать курс).
|
|
|
+
|
|
|
+- _**Non-editing teacher**_ - (ассистент) могут преподавать, но не могут изменять.
|
|
|
+
|
|
|
+- _**Студент**_ - могут обучатся на курсе (записанный на курс).
|
|
|
+
|
|
|
+- _**Guest**_ - пользователи без авторизации.
|
|
|
+
|
|
|
+- _**Authenticated user**_ - пользователи прошедшие аутентификацию (не записанный на курс).
|
|
|
+
|
|
|
+
|
|
|
+Роли могут быть **глобальными** или **локальными**.
|
|
|
+
|
|
|
+
|
|
|
+Типы контекста, где роли могут быть назначены:
|
|
|
+
|
|
|
+- _Manager_ - Система, Категория, Курс.
|
|
|
+
|
|
|
+- _Создатели курса_ - Система, Категория.
|
|
|
+
|
|
|
+- _Преподаватель_ - Курс, Модуль элемента курса.
|
|
|
+
|
|
|
+- _Non-editing teacher_ - Курс, Модуль элемента курса.
|
|
|
+
|
|
|
+- _Студент_ - Курс, Модуль элемента курса..
|
|
|
+
|
|
|
+- _Guest_ - нигде.
|
|
|
+
|
|
|
+- _Authenticated user_ - нигде.
|
|
|
+
|
|
|
+# Протокол OAuth
|
|
|
OAuth - это открытый стандарт для авторизации, который позволяет субъектам предоставлять временный доступ к своим ресурсам другим субъектам без предоставления паролей.
|
|
|
|
|
|
|
