Чтобы использовать диспетчер авторизации для эффективного контроля доступа к ресурсам, сначала необходимо определить роли, задачи и операции.

  • Роль - это набор разрешений, необходимых пользователю для работы. Хорошо спроектированные роли соответствуют категории работы или уровню ответственности (например, секретарь, сотрудник отдела кадров или хранитель архива) и имеют соответствующие имена. С помощью диспетчера авторизации можно назначать роли пользователям, чтобы открыть им доступ для выполнения работы.

  • Задача - это набор операций и, возможно, других задач. Хорошо спроектированная задача содержит понятные рабочие элементы (например, «сменить пароль» или «отправить заказ»).

  • Операция - это набор разрешений, которые связаны с процедурами безопасности системного уровня или уровня API, такими как WriteAttributes или ReadAttributes. Операции являются составными блоками задач.

Роли, задачи и операции можно определять только в режиме разработчика, но не в режиме администратора. Инструкции по включению режима разработчика см. в разделе Установка параметров диспетчера авторизации.

Определение ролей

Определения ролей создаются в соответствии со структурой и целями организации. Роли поддерживают наследование от других ролей.

Для определения роли необходимо указать соответствующее имя, понятное описание, а также задачи, роли и операции более низкого уровня, входящие в данную роль. Это позволяет использовать механизм наследования ролей. Например, роль «Служба поддержки» может включать в себя роль «Поддержка продукта».

Можно указать правило авторизации - сценарий VBScript или JScript. Дополнительные сведения см. на веб-сайте VBScript (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=65964) и JScript (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=65963).

Если с определением роли связано несколько правил авторизации (например, несколько субролей и задач), то правила авторизации выполняются синхронно. Порядок выполнения правил в диспетчере авторизации не влияет на авторизацию.

Определения задач

Определение задачи компактнее определения роли и может быть использовано для определения ролей и других задач.

С помощью диспетчера авторизации задачи связываются с ролями на интуитивном уровне. Например, роль «Сотрудник по найму» может содержать задачу «Собеседование».

Задачи, как и роли, определяются в соответствии с потребностями организации. Для определения задачи необходимо указать имя, описание, а также задачи и операции более низкого уровня, входящие в данную задачу. Также можно указать правило авторизации - сценарий VBScript или JScript.

Определение операций

Операции - это небольшие действия на уровне компьютера, которые используются для определения задач и обычно не имеют важного значения для администратора. Определение операций возможно только в режиме разработчика.

Определения операций можно создавать на уровне приложений, но не на уровнях хранилища данных авторизации или области.

Определение операции содержит имя, описание и номер операции. Номер операции X должен быть целым числом в диапазоне от 1 до 2 147 483 647 (то есть 1 ≤ X ≤ 2^31 - 1). Он используется приложением для идентификации операции, поэтому ввод неверного номера операции приведет к неверному предоставлению или отказу в доступе. Это, в свою очередь, может привести к нарушениям безопасности или нежелательному поведению клиентского приложения.


Содержание