Ролевая модель RBAC
Зона ответственности: Printum
Коротко: В Printum реализована гибкая ролевая модель (RBAC), позволяющая разграничивать доступ пользователей к функциям системы, данным, локациям и административным интерфейсам в соответствии с их должностными обязанностями.
Требование
Система должна обеспечивать разграничение прав доступа пользователей и администраторов в соответствии с их полномочиями.
Ролевая модель позволяет реализовать принцип минимальных привилегий, ограничить доступ к функциям системы и данным пользователей, а также разделить административные обязанности между различными категориями сотрудников.
Как это реализовано в Printum
В Printum используется ролевая модель управления доступом (RBAC), в рамках которой пользователю назначается роль, определяющая его полномочия в системе.
При настройке роли администратор может управлять доступом по нескольким направлениям:
- набор доступных функций;
- уровень доступа к данным пользователей;
- уровень доступа к локациям;
- права администрирования филиалов;
- доступ к административным панелям системы.
При установке системы создаются базовые роли:
- Пользователь;
- Оператор;
- Инженер;
- Администратор;
- Сотрудник СБ.
В зависимости от назначенной роли пользователю могут предоставляться права на:
- работу с устройствами;
- работу со складом;
- просмотр журналов;
- работу с заданиями печати;
- просмотр журнала информационной безопасности;
- управление пользователями;
- управление принтерами;
- управление правилами печати;
- управление интеграциями;
- управление агентами мониторинга;
- управление системными настройками;
- управление импортом и экспортом данных;
- управление локациями и филиалами.
При импорте пользователей из службы каталогов для них может автоматически назначаться роль по умолчанию, определённая администратором системы.
Администратор может изменить роль по умолчанию или назначить импортированным пользователям другие роли в соответствии с принятой моделью разграничения доступа.
Администратор системы может создавать собственные роли, комбинируя необходимые функции и уровни доступа, а также назначать роль по умолчанию для новых пользователей.
Ограничения и особенности
Фактический набор доступных функций определяется назначенной пользователю ролью.
При изменении роли пользователя новые полномочия начинают действовать после повторной авторизации пользователя в системе.