Sử dụng điều khiển truy cập dựa trên vai trò trong phiên (RBAC)

Question

Tôi đang cố gắng hiểu điều khiển truy cập dựa trên mô hình RBAC. Tôi đã đề cập đến liên kết sau.

NIST RBAC Data Model

tôi đã không hiểu phần này rõ ràng như đã đề cập trong đoạn trích -

* "Mỗi phiên là một ánh xạ của một người dùng để có thể nhiều vai trò, ví dụ, một người dùng thiết lập một phiên trong người dùng kích hoạt một số tập hợp con của các vai trò mà người đó được chỉ định Mỗi phiên được liên kết với một người dùng và mỗi người dùng được liên kết với một hoặc nhiều phiên. chúng tôi tập hợp các phiên được liên kết với người dùng. Các quyền có sẵn cho người dùng là các quyền được chỉ định cho các vai trò là ac được chia theo tất cả các phiên của người dùng. "*

Câu hỏi - Cách phiên có thể được sử dụng để kích hoạt vai trò? Mối quan hệ giữa người dùng/nhóm và vai trò được chèn dưới dạng dữ liệu quản trị viên. Vậy, phiên làm việc kích hoạt tập hợp con của các vai trò cho một người dùng như thế nào?

P.S -> Tôi đã hỏi câu hỏi này trước here nhưng không có câu trả lời. Có thể câu hỏi này là quá cơ bản để hỏi nhưng tôi rất muốn hiểu nó. Bất kỳ trường hợp sử dụng hoặc một liên kết chắc chắn sẽ hữu ích.

Cảm ơn thời gian của bạn.

Answer 1

Trong RBAC, quản trị viên cấp quyền bằng cách gán chúng cho vai trò và ngoài việc gán vai trò cho người dùng. Như bạn đã biết, để người dùng có thể sử dụng một quyền cụ thể, anh ta sẽ phải được chỉ định ít nhất một vai trò cung cấp giải pháp đã nói.

Vì vậy, mỗi người dùng có một nhóm vai trò được gán cho anh ấy. Trong một phiên, anh ta có thể chọn kích hoạt (hoặc hủy kích hoạt) bất kỳ vai trò nào trong số này, nhưng không có vai trò nào khác. Các vai trò được kích hoạt xác định các quyền nào có sẵn cho người dùng tại một thời điểm nhất định trong phiên. Điều này rất hữu ích, ví dụ, để phân tách động các ràng buộc về nhiệm vụ, trong đó hai vai trò A và B có thể được gán cho cùng một người dùng U, nhưng không thể được sử dụng cùng nhau. Do đó, nếu U muốn sử dụng A, anh ta sẽ phải tắt B trước khi kích hoạt A.

Answer 2

Từ kinh nghiệm của tôi trong việc triển khai RBAC, tôi khá tránh sử dụng quản lý động của nhiều phiên. Đầu tiên nó nghe như một ý tưởng khá gọn gàng và linh hoạt, nhưng khi bạn đặt câu hỏi về việc ai kích hoạt/hủy kích hoạt vai trò (và khi nào), tôi nhận thấy sự phức tạp và rủi ro bảo mật không đáng để nỗ lực (ý kiến ​​cá nhân của tôi).

Điều quan trọng cần hiểu ở đây và cho đó @Imontriux (ở trên) đề cập:

"này rất hữu ích, ví dụ, để tách động thuế trở ngại, nơi hai vai trò A và B có thể được gán cho cùng một người dùng U, nhưng không thể sử dụng cùng nhau. Do đó, nếu U muốn sử dụng A, anh ta sẽ phải tắt B trước khi kích hoạt A. "

Hầu hết thời gian, có các ràng buộc về thuế phải áp dụng và để tôn trọng điều này, tôi chỉ chọn có/quản lý một phiên hợp lệ cho mỗi người dùng một lúc. Nếu người dùng muốn xác thực theo các nhóm vai trò khác nhau, họ có trách nhiệm đăng xuất và đăng nhập lại.

Nó đơn giản hóa rất nhiều mã của tôi. Đó là một sự thỏa hiệp mà tôi đã chọn và có thể dễ dàng sống cùng.