2. Выполнение функций (см. http://contribute2moreq.eu/portal/conceptpart3?pointId=1282127101455 )
Общие положения
Выполняемые СЭД функции будут определяться исключительно на основе функциональных требований MoReq2010. Процесс определения функций описан в другом месте.
Большинство функций выполняется непосредственно пользователем, получающим доступ к СЭД. Остальные функции выполняются автоматически самой СЭД.
Выполнение функций системой
Если функция выполняется автоматически самой СЭД, то из контрольной информации (audit trail) и других метаданных должно быть ясно видно, что функция была выполнена системой, а не пользователем.
Идентификация и аутентификация пользователя
Всякий раз, когда пользователь получает доступ к СЭД, он должен быть идентифицирован и аутентифицирован. Для этой цели СЭД использует службу аутентификации.
Управление доступом
Всякий раз, когда пользователь инициирует выполнение какой-либо функции, СЭД должна проверить, есть ли у пользователя право доступа к объектами СЭД, над которыми выполняется функция. Доступ к объектам для выполнения функций предоставляется путем установления для пользователя одной или нескольких ролей. Подробнее это описано в дальнейших разделах этого документа.
Атомарность функций
Внутренняя согласованность СЭД опирается на атомарность всех функций. Это означает, что функции либо выполняются в полном объёме (включая запись сведений об итогах выполнения в контрольную информацию) – либо СЭД восстанавливается к состоянию до выполнения функции. Функция не может быть выполнена частично.
Контрольная информация (Audit trail)
Итоги выполнения всех функций сохраняются в составе контрольной информации (журнала аудита). СЭД должны задокументировать итоги в контрольной информации независимо от того, завершилось ли выполнение функции успешной или неудачно. В составе контрольной информации СЭД должна документировать сведения о пользователе, получаемые из службы каталогов.
3. Пользователи и группы (см. http://contribute2moreq.eu/portal/conceptpart3?pointId=1282127126762 )
Общие положения
Пользователи и группы являются необходимыми элементами при описании функциональных возможностей СЭД, однако, с точки зрения MoReq2010, они создаются и управляются вне рамок функциональных требований к СЭД. Именно поэтому в высокоуровневой модели СЭД пользователи и группы помечены как «внешние» по отношению к СЭД.
Модель пользователей и групп в MoReq2010
В MoReq2010 будет использоваться упрощённая модель пользователей и групп, схематически показанная на рис.:
В этой модели каждый объект «пользователь» может принадлежать к одной или нескольким группам, либо не принадлежать ни к одной из них. Каждая группа рассматривается как набор объектов «пользователь». Управление как пользователями, так и группами осуществляется вне СЭД.
Вложенные группы (nested groups)
Следует иметь в виду, что многие распространенные службы каталогов позволяют группам принадлежать к другим группам, таким образом, пользователь «наследует» членство в супер-группе через включение в члены подгруппы. Вопрос о том, используется ли такой механизм, и каким образом, выходит за рамки MoReq2010.
С точки зрения MoReq2010, однако, для каждого объекта «пользователь» просто будет существовать (возможно, пустой) «плоский» список групп, к которым пользователь принадлежит. Этот список будет предоставляться службой каталогов по требованию, и не будут храниться в СЭД. По этой причине на приведенной выше диаграмме группы не содержат внутри себя другие группы.
Назначение ролей группам
В MoReq2010 роли могут назначаться как пользователям, так и группам. Назначение роли группе является способом коллективного назначения этой роли всем пользователям, принадлежащим к этой группе.
Когда новый пользователь включается в группу (то, как это происходит, выходит за рамки MoReq2010, поскольку эта операция полностью выполняется во внешней службе каталогов), он автоматически наследует все роли, назначенные этой группы. В случае исключения пользователя из группы, он уже не сможет выполнять какие-либо роли, назначенные этой группе.
Следует отметить, что хотя MoReq2010 допускает назначение ролей как отдельным пользователям, так и группам, хорошей практикой является назначение ролей, по возможности, группам.
Универсальная группа (universal group)
MoReq2010 будет предусматривать отдельную группу, называемую «универсальной группой», не определяемую во внешней службе каталогов. Универсальная группа будет использоваться как быстрый способ назначения роли сразу всем пользователям, имеющим доступ в СЭД, избавляя от необходимости создавать такую группу во внешней службе каталогов.
Следует отметить, что за установление прав доступа конкретного пользователя к СЭД по-прежнему отвечает внешняя служба каталогов, однако любой пользователь, действительно имеющий доступ к СЭД, автоматически считается членом универсальной группы.
(продолжение следует, см. http://rusrim.blogspot.com/2010/08/moreq2010-3.html )
Источник: Портал публичного обсуждения MoReq2010
http://contribute2moreq.eu/portal/
Комментариев нет:
Отправить комментарий