erbac:erbac
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
erbac:erbac [2015/11/26 14:24] – hannes | erbac:erbac [2016/01/05 09:28] – hannes | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
===== Erweitertes rollenbasiertes Zugriffskontrollmodell - eRBAC ===== | ===== Erweitertes rollenbasiertes Zugriffskontrollmodell - eRBAC ===== | ||
- | Das eRBAC ist ein auf dem RBAC basierendes erweitertes Zugriffskontrollmodell. | + | <WRAP justify> |
- | <insert Einleitungsbla> | + | |
==== Objekttypen ==== | ==== Objekttypen ==== | ||
- | Neben den Entitäten Objekt, Operator und Zugriffsrecht wird die zusätzliche Entität Objekttyp eingeführt. Durch eine Typisierung von Objekten, wird im eRBAC zwischen dem Öffnen einer Anwendungssoftware und dem Aufruf von Objekten innerhalb einer Anwendungssoftware | + | <WRAP justify> |
* Anwendung für Objekte, die den Einstiegspunkt in eine Anwendungssoftware darstellen und | * Anwendung für Objekte, die den Einstiegspunkt in eine Anwendungssoftware darstellen und | ||
- | * Klasse für Objekte, die Klassen innerhalb einer Anwenungssoftware | + | * Klasse für Objekte, die Klassen innerhalb einer Anwendungssoftware |
- | Jeder Rolle sind mindestens ein Objekt des Typs Anwendung und beliebig viele Objekte des Typs Klasse zugeordnet. Durch diese Einteilung zwischen Anwendung und Klasse kann eine Aufrufstruktur durch eine, eine automatische Weiterleitung zwischen Authentifizierung und Zugriffskontrolle, implementiert werden. Dazu besitzt ein Objekt des Typs Anwendung noch zusätzlich | + | zur Verfügung gestellt. |
- | Objekte und Operatoren können in eRBAC unabhängig voneinander definiert werden. Durch expliziete | + | Objekte und Operatoren können in eRBAC unabhängig voneinander definiert werden. Durch explizite |
==== Rollentypen und Rollen in eRBAC ==== | ==== Rollentypen und Rollen in eRBAC ==== | ||
- | In eRBAC werden Rollen in Rollentypen mit getrennten Sicherheitsrichtlinine eingeteilt. Die folgenden Rollentypen sind in eRBAC definiert: | + | <WRAP justify> |
* Anwendungsrollen | * Anwendungsrollen | ||
* Virtuelle Rollen | * Virtuelle Rollen | ||
* Administrationsrollen | * Administrationsrollen | ||
- | * Delegationsrollen | ||
- | **Anwendungsrollen** bündeln die Zugriffsrechte vom öffnen der Anwendung bis hin zur Überprüfung jedes einzelnen | + | **Anwendungsrollen** bündeln die Zugriffsrechte vom öffnen der Anwendung bis hin zur Überprüfung jedes Zugriffs auf von außen zugreifbare Funktionen eines Anwendungssystems. Sie können sowohl einem Subjekt direkt zugeordnet als auch in einer Rollenhierachie eingebunden werden. |
**Virtuelle Rollen** sind Anwendungsrollen zum kapseln von Zugriffsrechten welche von mehreren Rollen benötigt werden. Dieser Rollentyp wird keinem Subjekt zugeordnet, sondern wird nur in der Rollenhierachie verwendet | **Virtuelle Rollen** sind Anwendungsrollen zum kapseln von Zugriffsrechten welche von mehreren Rollen benötigt werden. Dieser Rollentyp wird keinem Subjekt zugeordnet, sondern wird nur in der Rollenhierachie verwendet | ||
- | **Administratorrollen** bündel die Zugriffsrechte, | + | **Administrationsrollen** bündel die Zugriffsrechte, |
+ | |||
+ | * Grundlagen: Objekte, Operatoren und Zugriffsrechte neu anlegen. | ||
+ | * Rollenverwaltung: | ||
+ | * Subjektverwaltung: | ||
+ | * Domänenverwaltung: | ||
+ | </ | ||
+ | |||
+ | ==== Personalisierung von Rollen ==== | ||
+ | |||
+ | <WRAP justify> Durch eine Single-Sign-On-Authentifizierung wird zwar die Identität eines Subjektes unternehmensweit festgelegt, es kann aber notwendig sein, weitere Attribute des Subjektes bekannt zu machen. Die Daten zur Personalisierung müssen im Zugriffskontrollsystem hinterlegt werden um an das Anwendungssystem übergeben werden zu können. Dabei wird bei der Rolle hinterlegt, welche Datenobjekte aus dem Zielanwendungssystem für die Personalisierung eines Subjektes herangezogen werden. Für jedes Subjekt werden die Primärschlüssel des entsprechenden Datenobjektes hinterlegt. | ||
+ | |||
+ | //In FlexNow werden anhand der Organisationseinheit die zu bearbeitenden Lehrveranstaltungen und Prüfungen eines Prüfenden festgelegt. Es reicht in FN2RBAC der Schlüssel der Organisationseinheit aus, um diesen an das Anwendungssystem FlexNow zu übergeben und damit die entsprechenden Daten filtern und anzeigen zu können. Die anzuzeigenden Daten werden von der Geschäftslogik ermittelt. Ein mögliches Nutzungsszenario an Hochschulen ist, dass Mitarbeiter für mehrere Lehrstühle arbeiten. Durch dieses Konzept kann ein Mitarbeiter für verschiedene Lehrstühle Notenlisten bearbeiten, ohne dafür unterschiedliche Zugangsdaten zu benötigen.//</ | ||
+ | |||
+ | ==== Domänenbeschränkung durch parametrisierte Rollen ==== | ||
+ | |||
+ | <WRAP justify> Alle Subjekte einer zugeordneten Rolle besitzend dieselben Zugriffsrechte, | ||
+ | Für eine formale Zusammenfassung des eRBAC klicken Sie [[erbac: | ||
+ | </ | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Für eine Fallstudie zur Modellierung von Rollen, Domänenbeschränkung und personalisierten Rollen klicken Sie [[fallstudie: | ||
+ | |||
+ | ==== Literatur ==== | ||
+ | Fischer, Gerlinde (2015) Ein Zugriffskontrollmodell für aufgabenbezogene Rollen. Optus, Bamberg. urn: | ||
erbac/erbac.txt · Zuletzt geändert: 2017/04/13 10:55 von 127.0.0.1