Управление полномочиями
Управление полномочиями
Управление полномочиями - это общий термин для таких понятий, как авторизация, контроль доступа, управление правами, управление разрешениями, управление возможностями и т.п. В определенной среде для конкретных субъектов или групп субъектов должны быть заданы политики (иногда называемые правилами) или назначены роли субъектов. Политики регламентируют разрешенные и недопустимые действия этих субъектов или групп субъектов. Управление полномочиями - это разработка и применение таких политик с целью обеспечения ежедневной деловой активности (или иной деятельности) организации при поддержке желаемого уровня безопасности.
Важно различать концепции аутентификации и авторизации и понимать их взаимное влияние. Аутентификация устанавливает, кем является субъект, то есть связывает идентичность с субъектом. Авторизация выявляет полномочия данной идентичности. Авторизация не подтверждает, что субъектом, запрашивающим удаленный доступ к сети, является пользователь А ; она просто работает по принципу, что если это - пользователь А, то ему разрешен доступ. Следовательно, аутентификация и авторизация во многих обстоятельствах должны работать вместе. Аутентификация без авторизации может быть полезна, например, для идентификации источника данных. И наоборот, авторизация без аутентификации может использоваться, например, для получения доступа к web-сайту только жителей определенной страны, когда необходимо иметь возможность доказать гражданство, не идентифицируя себя персонально. Однако аутентификация и авторизация часто связаны, потому что полномочия индивида или группы невозможно реализовать, пока не определено, что данный субъект обладает определенной идентичностью, ролью или принадлежит к определенной группе.
В сфере электронных коммуникаций должны еще существовать центры авторизации, связывающие определенные полномочия с определенными индивидами, группами и ролями в данной среде. Идеально, если эта связь реализована на базе криптографических методов, хотя в некоторых средах это требование может быть избыточным. Центры авторизации могут быть централизованными (с одним центром авторизации для всех субъектов среды) и распределенными (с несколькими центрами авторизации). Распределенная схема, возможно, более точно моделирует знакомый нам физический мир, но применение находят обе схемы.
Понятие полномочия или права часто приводит к понятию делегирования [57]. Если пользователь А обладает определенным полномочием, то может передать это право другому субъекту - пользователю В (возможно, с некоторыми ограничениями). Пусть, например, пользователь А имеет неограниченный доступ к некоторому web-сайту для выполнения определенной рабочей функции. В ряде случаев ему бывает необходимо, чтобы его коллега, пользователь В, получил доступ к этому сайту для выполнения работы вместо него (например, в отсутствие пользователя А ). Делегирование бывает скрытое и явное. Скрытое делегирование происходит тогда, когда пользователь А делегировал некоторое полномочие пользователю В, а субъект, проверяющий авторизацию В, не может определить, что делегирование имело место. С точки зрения проверяющего, пользователь В получил полномочия от надежного центра авторизации и пользователь А никак не участвовал в этом процессе.
При явном делегировании субъекту ясно, что пользователь А изначально имел это полномочие и передал его на некоторое время пользователю В. Такое делегирование иногда называется контролируемым ( делегирование с контрольным журналом), потому что полная цепочка передачи полномочий от центра авторизации до конечного обладателя полномочия очевидна для проверяющего субъекта. Оба типа делегирования имеют свои достоинства, но явное делегирование более точно соответствует требованиям ведения бизнеса в корпоративной и финансовой сферах, потому что здесь имеется большая определенность в отношении ответственности за причинение финансового ущерба.
Как обсуждалось ранее, управление полномочиями требует предварительной аутентификации. Теоретически может использоваться любой механизм аутентификации, хотя очевидны преимущества сервиса аутентификации, базирующегося на PKI: его надежность (по сравнению с паролями пользователей) и удобство однократной регистрации вместе с дополнительными свойствами хорошей инфраструктуры авторизации.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
18.5.3. Управление кэшем
18.5.3. Управление кэшем За управление кэшем отвечают следующие директивы:? cache_mem <число> — задает размер оперативной памяти, отводимой под кэш. Размер этот указывается в байтах, килобайтах, мегабайтах (MB) или гигабайтах (GB). По умолчанию используется значение 8 MB;? cache_dir
20.4.3. Управление RAMDISK
20.4.3. Управление RAMDISK При создании загрузочных дискет для ОС Linux необходимо, чтобы на эти дискеты было помещено нужное программное обеспечение и чтобы для этого программного обеспечения хватило места. Обычно поступают следующим образом: создают сжатый архив всего
Управление версиями
Управление версиями Вики-узлы в службах Windows SharePoint реализованы как библиотеки документов, а значит, имеют все функции библиотеки документов, такие как журнал изменений и управление версиями. Следовательно, никакие изменения не теряются безвозвратно. При создании
1.5.1 Управление пользователями
1.5.1 Управление пользователями Linux - Это многопользовательская система. Вы можете создать несколько учетных записей, если кто-то еще кроме вас использует данный компьютер, например, члены семьи или коллеги по работе. Конечно, можно работать и под одной учетной записью, но
7.7.5. Управление SELinux
7.7.5. Управление SELinux Для управления системой контроля доступом используется конфигуратор system-config-selinux (рис. 7.18). С помощью этого конфигуратора можно полностью настроить SELinux, но чаще всего вы будете посещать раздел Boolean, в котором задаются возможности той или иной сетевой
14.1 Управление терминалом
14.1 Управление терминалом Давайте выполним какую-нибудь командочку, например:lsb_release -a 2> /dev/null | grep -P "(?<=Codename:)(.*)"Вот что должно было получиться: Рис. 14.2: Кодовое имя вашего дистрибутива. Рис. 14.2: Кодовое имя вашего дистрибутива.Набирать такие команды с клавиатуры
22.1 Управление репозиториями
22.1 Управление репозиториями Для управления репозиториями предназначена программа «Источники приложений», находящаяся в меню Система?Администрирование. Для запуска этого приложения вам естественно понадобятся административные привилегии[89]. Кстати, в это же
Управление транзакциями
Управление транзакциями Необходимо помнить, что любое действие с базой данных происходит в рамках той или иной транзакции. Работа с InterBase основана на явном управлении транзакциями, а поскольку библиотека IBX - это обертка вокруг соответствующих функций InterBase API, то
Управление транзакциями
Управление транзакциями Фактически любые действия с данными должны происходить в контексте той или иной транзакции. Управление транзакциями в FIBPlus осуществляется при помощи компонентов класса TpFIBTransacdon. Все транзакции в FIBPlus являются "явными" (explicit) и запускаются при
Управление транзакциями
Управление транзакциями Поскольку корректное использование транзакций является важным условием разработки эффективных приложений баз данных, то IBProvider по умолчанию требует явного участия пользователя в процессе управления транзакциями.Причинами отказа от
Управление кешированием.
Управление кешированием. Если вы самостоятельно решили оперировать большими объемами информации – без кеширования не обойтись. Виртуальный список помогает оперировать процессом кеширования, посылая приложению уведомления LVN_ODCACHEHINT, в которых передает информацию о
Управление ресурсами
Управление ресурсами Еще одна проблема поддержки нескольких интерфейсов из одного объекта становится яснее, если исследовать схему использования клиентом метода DynamicCast. Рассмотрим следующую клиентскую программу:void f(void){IFastString *pfs = 0;IPersistentObject *ppo = 0;pfs = CreateFastString(«Feed BOB»);if
Управление связями
Управление связями Теперь пользователям доступна более подробная информация о связях с другими книгами Excel. Можно быстро проверять состояние связей, исправлять их, обновлять и разрывать. Для этого предназначены кнопки группы Подключения вкладки
Управление ключами
Управление ключами Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от
Механизмы инфраструктуры управления полномочиями
Механизмы инфраструктуры управления полномочиями Существует ряд механизмов реализации инфраструктуры управления полномочиями (Privilege Management Infrastructure - PMI). Они делятся на три категории:* механизмы на базе Kerberos [135], такие как SESAME (a Secure European System for Applications in a Multi-vendor Environment) [125] и