Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- rbac:rollenbasiertes_zugriffsmodell [2015/12/11 08:49] – hannes
+++ rbac:rollenbasiertes_zugriffsmodell [2017/04/13 10:55] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ===== Rollenbasiertes Zugriffskontrollmodell (RBAC) =====
-<WRAP justify>Das RBAC ist ein Modell zur Beschreibung der Zugriffskontrolle, in dem Subjekten Rollen zugewiesen werden, an welche wiederum Zugriffsrechte gebunden sind. Dadurch erben die Subjekte die für ihre Aufgaben notwendigen Zugriffsrechte. Das Referenzmodell des RBAC umfasst das Kerndmodell, die Rollenhierachie und die Aufgabentrennung. Dabei muss ein Zugriffskontrollsystem mindestens das Kernmodell enthalten (ANSI INCITS 359-2004 2004).</WRAP>
+<WRAP justify>Das RBAC ist ein Modell zur Beschreibung der Zugriffskontrolle, in dem Subjekten Rollen zugewiesen werden, an welche wiederum Zugriffsrechte gebunden sind. Dadurch erben die Subjekte die für ihre Aufgaben notwendigen Zugriffsrechte. Das Referenzmodell des RBAC umfasst das Kernmodell, die Rollenhierachie und die Aufgabentrennung. Dabei muss ein Zugriffskontrollsystem mindestens das Kernmodell enthalten (ANSI INCITS 359-2004 2004).</WRAP>
 ==== Kernmodell ====
-<WRAP justify>Im Kernmodell wird mit dem Subjekt der personelle Aufgabenträger im betrieblichen Informationssystem verstanden. Disem werden Rollen zugewiesen, welche Funktionen und damit Zugriffsrechte innerhalb einer Organisation entsprechen. Zugriffsrechte sind Genehmigungen einen Operator (z.B. lesen oder schreiben) auf vom RBAC geschütze Objekte(z.B. eine Text-Datei) anzuwenden. Eine Sitzung ist eine Verbindung zwischen dem Subjekt und einer Teilmenge der Rollen die ihm zugeordnet sind. Ein Subjekt kann beliebig viele Sitzungen öffnen. Daraus folgt, das ein Subjekt zu einem bestimmten Zeitpunkt die Wahl hat, welche der  ihm über die Rollen zugewisenden Zugriffsrechte er benutzt. Das erweiterte Rollenbasiertes Zugriffskontrollmodell fügt dem RBAC noch die Unterschiedung zwischen verschiedenen Objekt-/ und Rollentypen [[erbac:erbac#Objekttypen|Objekt-/ und Rollentypen]] hinzu.  </WRAP>
+<WRAP justify>Im Kernmodell wird unter dem Subjekt der personelle Aufgabenträger im betrieblichen Informationssystem verstanden. Diesem werden Rollen zugewiesen, welche Funktionen und damit Zugriffsrechte innerhalb einer Organisation entsprechen. Zugriffsrechte sind Genehmigungen einen Operator (z.B. lesen oder schreiben) auf vom RBAC geschütze Objekte (z.B. eine Text-Datei) anzuwenden. Eine Sitzung ist eine Verbindung zwischen dem Subjekt und einer Teilmenge der Rollen die ihm zugeordnet sind. Ein Subjekt kann beliebig viele Sitzungen öffnen. Daraus folgt, das ein Subjekt zu einem bestimmten Zeitpunkt die Wahl hat, welche der  ihm über die Rollen zugewisenden Zugriffsrechte er benutzt. Das erweiterte Rollenbasiertes Zugriffskontrollmodell fügt dem RBAC noch die Unterschiedung zwischen verschiedenen Objekt-/ und Rollentypen [[erbac:erbac#Objekttypen|Objekt-/ und Rollentypen]] hinzu.  </WRAP>
 {{ ::2015-11-20_rbac_kernmodell.png?2000 |}}
@@ Zeile 18: / Zeile 18: @@
 {{ :2015-11-20_rbac_rollenhierachie.png?2000 |}}
-<WRAP justify>Rollenhierachien können nochmals in beschränkte und allgemeine Rollenhierachien unterschieden werden. Dabei versteht man unter einer allgmeinen Rollenhierachie eine beliebige partielle Ordnung. Sie unterstütz eine Mehrfachvererbung, um Zugriffsrechte bzw. Subjektmitgliedschaften von zwei oder mehr Quellen zu erben. </WRAP>
+<WRAP justify>Rollenhierachien können nochmals in beschränkte und allgemeine Rollenhierachien unterschieden werden. Dabei versteht man unter einer allgemeinen Rollenhierachie eine beliebige partielle Ordnung. Sie unterstütz eine Mehrfachvererbung, um Zugriffsrechte bzw. Subjektmitgliedschaften von zwei oder mehr Quellen zu erben. </WRAP>
 {{ :2015-11-20_rbac_allgemeine_rollenhierachie.png?2000 |}}
-<WRAP justify>Eine Rolle kann bei der beschränkten Rollenhierarchie einen oder mehrere direkteNachfahren haben, aber die Rolle ist beschränkt auf einen einzigen unmittelbaren Vorgänger. Das eRBAC fügt der Rollenhierachie noch die Spezialisierung der Rollen durch [[erbac:erbac#Personalisierung von Rollen|Parametrisierung und Personalisierung]] hinzu. </WRAP>
+<WRAP justify>Eine Rolle kann bei der beschränkten Rollenhierarchie einen oder mehrere direkte Nachfahren haben, aber die Rolle ist beschränkt auf einen einzigen unmittelbaren Vorgänger. Das eRBAC fügt der Rollenhierachie noch die Spezialisierung der Rollen durch [[erbac:erbac#Personalisierung von Rollen|Parametrisierung und Personalisierung]] hinzu. </WRAP>
 {{ ::2015-11-20_12_beschraenkte_rollenhierachie.png? 2000 |}}
@@ Zeile 31: / Zeile 31: @@
 ==== Aufgabentrennung ====
-<WRAP justify>Die Azfgabentrennung kann dem RBAC-Kernmodell als zusätzliche Komponente orthogonal zur Rollenhierachie hinzugefügt werden man unterscheidet zwischen der statische (SAT) und eine dynamische Aufgabentrennung (DAT).
+<WRAP justify>Die Aufgabentrennung kann dem RBAC-Kernmodell als zusätzliche Komponente orthogonal zur Rollenhierachie hinzugefügt werden, man unterscheidet zwischen der statische (SAT) und einer dynamische Aufgabentrennung (DAT).
-Das SAT stellt das Konzept der sich ausschließenden Rollen zur Verfügung. Damit wird bereits bei der Subjektzuordnung geprüft, dass keine Konfliktären Rollen vorhanden sind. Damit kann eine Betriebsweite organisatorische Aufgabentrennung bzw. Datenschutz besser durchgesetzt werden. Diese Art der Beschränkung ist auf der administrativen Ebene angesiedelt, da somit verhindert werden soll das bei der Veerbung in der
+Das SAT stellt das Konzept der sich ausschließenden Rollen zur Verfügung. Damit wird bereits bei der Subjektzuordnung geprüft, dass keine konfliktären Rollen vorhanden sind. Damit kann eine betriebsweite organisatorische Aufgabentrennung bzw. der Datenschutz besser durchgesetzt werden. Diese Art der Beschränkung ist auf der administrativen Ebene angesiedelt, da somit verhindert werden soll, dass bei der Vererbung in der
 Rollenhierachie die SAT verletzt wird.</WRAP>
 {{ ::2015-11-20_rbac_aufgabentrennung_statisch.png?2000 |}}
-<WRAP justify>Die DAT (dynamische Aufgabentrennung) begrenzt ebenfalls wie SAT die verfügbaren Zugriffsrechte. Sie definiert eine Bedingung auf die Beziehung sitzung_Rolle und verhindert so das bestimmte Rollen in der gleichen Sitzung aktiviert sind. Im Vergleich zur SAT bietet die DAT eine größere administrative Flexibilität.</WRAP>
+<WRAP justify>Die DAT (dynamische Aufgabentrennung) begrenzt ebenfalls wie die SAT die verfügbaren Zugriffsrechte. Sie definiert eine Bedingung auf die Beziehung sitzung_rollen und verhindert so das bestimmte Rollen in der gleichen Sitzung aktiviert sind. Im Vergleich zur SAT bietet die DAT eine größere administrative flexibilität.</WRAP>
 {{ ::2015-11-20_rbac_aufgabentrennung_dynamisch.png?2000 |}}
@@ Zeile 45: / Zeile 45: @@
-<WRAP justify>Neben dem drei Elemente der RBAC werden im Standard auch Funktionen für jede der Komponenten in den Bereichen Administration, Rechteprüfung und Protokollierung definiert. Dabei sind die einzigen zwischenden Funktionen, jene die sich auf das Kernmodul beziehen. Alle Funktionen des Kernmoduls und bei Bedarf der Erweiterungen müssen durch die Implementierung übernommen werden.</WRAP>
+<WRAP justify>Neben den drei Elementen der RBAC werden im Standard auch Funktionen für jede der Komponenten in den Bereichen Administration, Rechteprüfung und Protokollierung definiert.</WRAP>
 ==== Literatur ====