FlexWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
erbac:erbac

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
erbac:erbac [2015/12/11 09:48] hanneserbac:erbac [2017/04/13 10:55] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 ===== Erweitertes rollenbasiertes Zugriffskontrollmodell - eRBAC ===== ===== Erweitertes rollenbasiertes Zugriffskontrollmodell - eRBAC =====
  
-<WRAP justify> Das eRBAC ist ein auf dem RBAC basierendes, erweitertes Zugriffskontrollmodell. Es erweitert das RBAC um die Elemente: Objekttypen, Rollentypen, Delegation von Zugriffsrechten und Parametrisierung bzw. Personalisierung von Rollen.</WRAP>+<WRAP justify> Das eRBAC ist ein auf dem RBAC basierendes, erweitertes Zugriffskontrollmodell. Es erweitert das RBAC um die Elemente: Objekttypen, Rollentypen und Parametrisierung bzw. Personalisierung von Rollen.</WRAP>
  
  
Zeile 22: Zeile 22:
   * Virtuelle Rollen   * Virtuelle Rollen
   * Administrationsrollen   * Administrationsrollen
-  * Delegationsrollen 
  
 **Anwendungsrollen** bündeln die Zugriffsrechte vom öffnen der Anwendung bis hin zur Überprüfung jedes  Zugriffs auf von außen zugreifbare Funktionen eines Anwendungssystems. Sie können sowohl einem Subjekt direkt zugeordnet als auch in einer Rollenhierachie eingebunden werden. **Anwendungsrollen** bündeln die Zugriffsrechte vom öffnen der Anwendung bis hin zur Überprüfung jedes  Zugriffs auf von außen zugreifbare Funktionen eines Anwendungssystems. Sie können sowohl einem Subjekt direkt zugeordnet als auch in einer Rollenhierachie eingebunden werden.
  
 **Virtuelle Rollen** sind Anwendungsrollen zum kapseln von Zugriffsrechten welche von mehreren Rollen benötigt werden. Dieser Rollentyp wird keinem Subjekt zugeordnet, sondern wird nur in der Rollenhierachie verwendet **Virtuelle Rollen** sind Anwendungsrollen zum kapseln von Zugriffsrechten welche von mehreren Rollen benötigt werden. Dieser Rollentyp wird keinem Subjekt zugeordnet, sondern wird nur in der Rollenhierachie verwendet
- 
-**Delegationsrollen** werden benutzt, um einen vorher durch die Administration als delegierbar gekennzeichnete Teilmenge der Zugriffsrechte einer Anwendungsrolle zu delegieren. Delegationsrollen sind disjunkt zu Administrations-/ und Anwendungsrollen. Delegation ist ein Mittel, Zugriffsrechte über Rollen auf Zeit an ein anderes Subjekt zu übertragen. Folgende Konzepte gelten für die Delegation: 
- 
-  * Dauer: Die Subjektzuordnung kann mit einer Zeitangabe versehen werden, falls die Delegation nur zeitlich beschränkt werden soll. 
-  * Monotonie: Es wird das Konzept der monotonen Delegation umgesetzt. Der Delegierende behält seine Zugriffsrechte. 
-  * Gesamtheit: Es müssen die Zugriffsrechte der zu delegierenden Rolle nicht in ihrer Gesamtheit delegiert werden. 
-  * Administration: Die Delegation wird vom Besitzer der Rolle vorgenommen. 
-  * Delegationsstufen: Es wird eine einstufige Delegation unterstützt. 
-  * Mehrfache Delegation: Es kann eine Rolle vom Delegierenden an mehr als ein Subjekt delegiert werden oder ein Subjekt kann für mehr als einen Delegierenden Delegierter sein. 
-  * Vereinbarung: Der Delegierende entscheidet alleine über die Delegation. 
  
 **Administrationsrollen** bündel die Zugriffsrechte, die für die Rechteverwaltung notwendig sind. Die Administrationsrolle ist disjunkt von den Rollen der anderen Rollentypen. Die Basiskomponenten dieser Rolle Vorbedingung und Rollenbereiche orientieren sich nicht an der bestehenden Subjekt- bzw. Zugriffsrechtszuordnung, sondern an davon separat definierten Subjekt- bzw. Zugriffsrechtepools, die sich am Aufbau der Organisation orientieren. Den Administrationsrollen zugeordneten Subjekte können folgende Aufgaben wahrnehmen: **Administrationsrollen** bündel die Zugriffsrechte, die für die Rechteverwaltung notwendig sind. Die Administrationsrolle ist disjunkt von den Rollen der anderen Rollentypen. Die Basiskomponenten dieser Rolle Vorbedingung und Rollenbereiche orientieren sich nicht an der bestehenden Subjekt- bzw. Zugriffsrechtszuordnung, sondern an davon separat definierten Subjekt- bzw. Zugriffsrechtepools, die sich am Aufbau der Organisation orientieren. Den Administrationsrollen zugeordneten Subjekte können folgende Aufgaben wahrnehmen:
Zeile 43: Zeile 32:
   * Rollenverwaltung: Rollen anlegen, Zugriffsrechte zuordnen, Aufgabentrennung festlegen und Rollen in eine Rollenhierarchie einordnen.   * Rollenverwaltung: Rollen anlegen, Zugriffsrechte zuordnen, Aufgabentrennung festlegen und Rollen in eine Rollenhierarchie einordnen.
   * Subjektverwaltung: Subjekte mit ihren Zugangsdaten anlegen und die Subjektzuordnung vornehmen.   * Subjektverwaltung: Subjekte mit ihren Zugangsdaten anlegen und die Subjektzuordnung vornehmen.
-  * Delegationsverwaltung: Festlegen, welche Zugriffsrechte und Rollen delegierbar sind. 
   * Domänenverwaltung: Zuordnen von Schlüsselwerten aus dem Anwendungssystem zur Festlegung der Attribute für die Personalisierung und die Domänenbeschränkung.   * Domänenverwaltung: Zuordnen von Schlüsselwerten aus dem Anwendungssystem zur Festlegung der Attribute für die Personalisierung und die Domänenbeschränkung.
- +</WRAP>
-In eRBAC wird nur eine einstufige Delegations unterstützt, man kann daher nicht eine Delegationsrolle weiter delegieren. Es ist aber eine Mehrfachdelegation,das heißt dass mehrere Subjekte Delegationsrollen haben können, erlaubt. Ein Rücknahme der Delegation ist durch den Delegierenden und der Administration möglich.</WRAP>+
  
 ==== Personalisierung von Rollen ==== ==== Personalisierung von Rollen ====
Zeile 64: Zeile 51:
 Für eine Fallstudie zur Modellierung von Rollen, Domänenbeschränkung und personalisierten Rollen klicken Sie [[fallstudie:modellierung_rollen_in_erbac|hier]]. Für eine Fallstudie zur Modellierung von Rollen, Domänenbeschränkung und personalisierten Rollen klicken Sie [[fallstudie:modellierung_rollen_in_erbac|hier]].
  
 +==== Literatur ====
 +
 +Fischer, Gerlinde (2015) Ein Zugriffskontrollmodell für aufgabenbezogene Rollen. Optus, Bamberg. urn:nbn:de:bvb:473-opus4-456743 
  
  
erbac/erbac.1449823713.txt.gz · Zuletzt geändert: 2017/04/13 10:47 (Externe Bearbeitung)