กลุ่มและบทบาท (ความแตกต่างจริงหรือไม่)


126

ใครช่วยบอกหน่อยความแตกต่างที่แท้จริงระหว่างกลุ่มและบทบาทคืออะไร? ฉันพยายามหาข้อมูลนี้มาระยะหนึ่งแล้วและยิ่งฉันอ่านข้อมูลมากเท่าไหร่ฉันก็ยิ่งรู้สึกได้ว่าสิ่งนี้ถูกนำมาใช้เพื่อสร้างความสับสนให้กับผู้คนและไม่มีความแตกต่างอย่างแท้จริง ทั้งสองสามารถทำงานของอีกฝ่ายได้ ฉันใช้กลุ่มเพื่อจัดการผู้ใช้และสิทธิ์การเข้าถึงมาโดยตลอด

เมื่อเร็ว ๆ นี้ฉันเจอซอฟต์แวร์การดูแลระบบซึ่งมีผู้ใช้จำนวนมากอยู่ที่ไหน ผู้ใช้แต่ละคนสามารถกำหนดโมดูลได้ (ทั้งระบบแบ่งออกเป็นสองสามส่วนที่เรียกว่าโมดูลเช่นโมดูลการดูแลระบบโมดูลแบบสำรวจโมดูลคำสั่งซื้อโมดูลลูกค้า) นอกจากนี้แต่ละโมดูลยังมีรายการฟังก์ชันที่สามารถอนุญาตหรือปฏิเสธได้สำหรับผู้ใช้แต่ละคน สมมติว่าผู้ใช้ John Smith สามารถเข้าถึงคำสั่งซื้อของโมดูลและสามารถแก้ไขคำสั่งซื้อใด ๆ แต่ไม่ได้รับสิทธิ์ในการลบคำสั่งซื้อใด ๆ

หากมีผู้ใช้ที่มีความสามารถเดียวกันมากขึ้นฉันจะใช้กลุ่มเพื่อจัดการสิ่งนั้น ฉันจะรวมผู้ใช้ดังกล่าวเป็นกลุ่มเดียวกันและกำหนดสิทธิ์การเข้าถึงโมดูลและฟังก์ชันให้กับกลุ่ม ผู้ใช้ทั้งหมดในกลุ่มเดียวกันจะมีสิทธิ์เข้าถึงเหมือนกัน

ทำไมถึงเรียกว่ากลุ่มไม่ใช่บทบาท? ฉันไม่รู้ฉันแค่รู้สึกแบบนั้น สำหรับฉันแล้วดูเหมือนว่ามันไม่สำคัญจริงๆ:] แต่ฉันก็ยังอยากจะรู้ความแตกต่างที่แท้จริง

ข้อเสนอแนะใด ๆ ที่ทำไมจึงควรเรียกว่าบทบาทมากกว่ากลุ่มหรือในทางกลับกัน?



ดู DUPLICATE ที่กล่าวถึงข้างต้น คำตอบสั้น ๆ สองอันดับแรกนั้นดีกว่าคำตอบใด ๆ ที่นี่ (+ ในทางเทคนิคกลุ่มและบทบาทจะทำงานเหมือนกันกับวิธีการใช้งาน)
FastAl

2
ฉันไม่เห็นด้วยกับ @FastAl ฉันพบคำตอบสำหรับคำถามนี้ดีกว่าคำถามที่ซ้ำกัน
Alex Oliveira

คำตอบ:


148

Google คือเพื่อนของคุณ :)

อย่างไรก็ตามการแบ่งระหว่างบทบาทและกลุ่มมาจากแนวคิดเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ (ตรงข้ามกับการจัดการทรัพยากรเพียงอย่างเดียว) ศ. ราวีแซนด์ฮูให้เนื้อหาเกี่ยวกับความแตกต่างทางความหมายระหว่างบทบาทและกลุ่มต่างๆ

http://profsandhu.com/workshop/role-group.pdf

กลุ่มคือกลุ่มของผู้ใช้ที่มีชุดของสิทธิ์ที่กำหนดให้กับกลุ่ม (และส่งผ่านไปยังผู้ใช้) บทบาทคือชุดของสิทธิ์และผู้ใช้จะสืบทอดสิทธิ์เหล่านั้นได้อย่างมีประสิทธิภาพเมื่อเขาดำเนินการภายใต้บทบาทนั้น

โดยปกติการเป็นสมาชิกกลุ่มของคุณจะยังคงอยู่ในช่วงระยะเวลาของการเข้าสู่ระบบของคุณ ในทางกลับกันบทบาทสามารถเปิดใช้งานได้ตามเงื่อนไขเฉพาะ หากหน้าที่ปัจจุบันของคุณคือ "บุคลากรทางการแพทย์" คุณอาจสามารถดูเวชระเบียนของผู้ป่วยรายหนึ่งได้ อย่างไรก็ตามหากบทบาทของคุณคือ 'แพทย์' เช่นกันคุณอาจสามารถดูข้อมูลทางการแพทย์เพิ่มเติมนอกเหนือจากที่บุคคลที่มีบทบาทเพียงแค่ 'เจ้าหน้าที่ทางการแพทย์' สามารถมองเห็นได้

สามารถเปิดใช้งานบทบาทได้ตามช่วงเวลาของวันสถานที่เข้าถึง นอกจากนี้ยังสามารถเพิ่มบทบาท / เชื่อมโยงกับแอตทริบิวต์ คุณอาจดำเนินการในฐานะ "แพทย์" แต่ถ้าคุณไม่มีคุณลักษณะหรือความสัมพันธ์ "แพทย์หลัก" กับฉัน (ผู้ใช้ที่มีบทบาท "ผู้ป่วย") คุณจะไม่เห็นประวัติทางการแพทย์ทั้งหมดของฉัน

คุณสามารถทำทุกอย่างกับกลุ่มได้ แต่อีกครั้งกลุ่มมักจะมุ่งเน้นไปที่ตัวตนไม่ใช่บทบาทหรือกิจกรรม และประเภทของแง่มุมด้านความปลอดภัยที่อธิบายไว้มักจะสอดคล้องกับความปลอดภัยมากกว่าในอดีต

สำหรับหลาย ๆ กรณีสำหรับการใช้การจัดประเภทสิ่งต่าง ๆ เข้าด้วยกัน (และไม่มีอะไรเพิ่มเติม) กลุ่มและบทบาทจะทำงานเหมือนกัน อย่างไรก็ตามกลุ่มจะขึ้นอยู่กับเอกลักษณ์ในขณะที่บทบาทมีไว้เพื่อแบ่งเขตกิจกรรม น่าเสียดายที่ระบบปฏิบัติการมักจะเบลอความแตกต่างโดยปฏิบัติตามบทบาทเป็นกลุ่ม

คุณจะเห็นความแตกต่างที่ชัดเจนมากขึ้นกับแอปพลิเคชันหรือบทบาทระดับระบบซึ่งถือแอปพลิเคชันหรือความหมายเฉพาะระบบ (เช่นในบทบาทของ Oracle ) ซึ่งตรงข้ามกับ 'บทบาท' ที่ใช้งานในระดับระบบปฏิบัติการ (ซึ่งโดยทั่วไปจะมีความหมายเหมือนกันกับกลุ่ม)

อาจมีข้อ จำกัด สำหรับบทบาทและรูปแบบการควบคุมการเข้าถึงตามบทบาท (เช่นเดียวกับทุกอย่าง):

http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx

ประมาณทศวรรษที่แล้วฉันได้เห็นงานวิจัยเกี่ยวกับการควบคุมการเข้าถึงตามแอตทริบิวต์และตามความสัมพันธ์ซึ่งให้รายละเอียดที่ดีกว่าการควบคุมการเข้าถึงตามบทบาท น่าเสียดายที่ฉันไม่ได้เห็นกิจกรรมมากมายในดินแดนนั้นมาหลายปีแล้ว

ความแตกต่างที่สำคัญที่สุดระหว่างบทบาทและกลุ่มคือโดยทั่วไปแล้วบทบาทจะใช้กลไกบังคับการเข้าถึง (MAC) คุณไม่ต้องมอบหมายบทบาทให้ตัวเอง (หรือคนอื่น ๆ ) ผู้ดูแลบทบาทหรือวิศวกรบทบาททำเช่นนั้น

สิ่งนี้คล้ายกับกลุ่ม UNIX อย่างผิวเผินที่ผู้ใช้สามารถ / อาจสามารถกำหนดตัวเองให้กับกลุ่มได้ (ผ่าน sudo แน่นอน) เมื่อกลุ่มถูกกำหนดตามกระบวนการวิศวกรรมความปลอดภัยความแตกต่างจะพร่าเลือนเล็กน้อย

ลักษณะสำคัญอีกประการหนึ่งคือแบบจำลอง RBAC ที่แท้จริงสามารถให้แนวคิดของบทบาทที่ไม่เหมือนกัน ในทางตรงกันข้ามกลุ่มตามเอกลักษณ์เป็นส่วนเสริม - เอกลักษณ์ของหลักคือผลรวม (หรือการรวม) ของกลุ่ม

ลักษณะเฉพาะอีกประการหนึ่งของรูปแบบการรักษาความปลอดภัยที่ใช้ true-RBAC คือองค์ประกอบที่สร้างขึ้นสำหรับบทบาทเฉพาะโดยทั่วไปไม่สามารถเข้าถึงได้โดยบุคคลที่ไม่ได้ทำหน้าที่ภายใต้บทบาทนั้น

ในทางกลับกันภายใต้โมเดลการควบคุมการเข้าถึง (DAC) ตามดุลยพินิจ (โมเดลเริ่มต้นใน Unix) คุณไม่สามารถรับการรับประกันประเภทนั้นด้วยกลุ่มเพียงอย่างเดียว BTW นี่ไม่ใช่ข้อ จำกัด ของกลุ่มหรือ Unix แต่เป็นข้อ จำกัด ของโมเดล DAC ตามเอกลักษณ์ (และสกรรมกริยากับกลุ่มตามเอกลักษณ์)

หวังว่าจะช่วยได้

=======================

เพิ่มอีกบางส่วนหลังจากเห็นการตอบสนองที่ดีของ Simon บทบาทช่วยคุณจัดการสิทธิ์ กลุ่มช่วยคุณจัดการวัตถุและหัวเรื่อง ยิ่งไปกว่านั้นเราอาจคิดว่าบทบาทเป็น 'บริบท' บทบาท 'X' สามารถอธิบายบริบทความปลอดภัยที่กำหนดวิธีการเข้าถึงวัตถุ Y (หรือไม่เข้าถึง) วัตถุ Z

ความแตกต่างที่สำคัญอีกประการหนึ่ง (หรือในอุดมคติ) คือมีบทบาทวิศวกรบุคคลที่วิศวกรกำหนดบทบาทบริบทที่จำเป็นและ / หรือเห็นได้ชัดในแอปพลิเคชันระบบหรือระบบปฏิบัติการ โดยทั่วไปแล้ว Role Engineer จะเป็น (แต่ไม่จำเป็นต้องเป็น) เช่นเดียวกับผู้ดูแลระบบ (หรือ sysadmin) ยิ่งไปกว่านั้นบทบาทที่แท้จริง (ไม่ได้ตั้งใจจะเล่นสำนวน) ของวิศวกรที่มีบทบาทอยู่ในขอบเขตของวิศวกรรมความปลอดภัยไม่ใช่การบริหาร

นี่คือกลุ่มนวนิยายที่เป็นทางการโดย RBAC (แม้ว่าจะไม่ค่อยมีใครใช้) ซึ่งโดยทั่วไปแล้วจะไม่ปรากฏในระบบที่รองรับกลุ่มได้


4
โดยพื้นฐานแล้วสิ่งที่คุณพูดคือ: หากคุณได้รับรายการสิทธิ์ของกลุ่มคุณกำลังดูบทบาทและหากคุณได้รับรายชื่อผู้ใช้ของบทบาทคุณกำลังดูกลุ่ม
Natim

ไม่สิ่งที่เกิดขึ้นคือระบบจำนวนมากใช้บทบาทเป็นกลุ่ม (หรือที่แย่กว่านั้นคือเรียกกลุ่ม "บทบาท") เมื่อสิ่งนั้นเกิดขึ้นคุณจะเห็นความเท่าเทียมที่คุณเพิ่งอธิบาย ให้ฉันดูว่าฉันสามารถอธิบายสิ่งนี้ได้ดีขึ้นด้วยการตอบกลับติดตามผลหรือไม่
luis.espinal

ความแตกต่างหลักประการหนึ่งคือการเป็นสมาชิกกลุ่มยังคงเป็นอิสระจากเซสชันของคุณ (เซสชันการบันทึกของคุณ) การเป็นสมาชิกกลุ่มของคุณจะเปลี่ยนแปลงก็ต่อเมื่อมีคน (ของคุณหรือคนที่มีสิทธิ์เพียงพอ) เปลี่ยนแปลงเท่านั้น
luis.espinal

บทบาทไม่ใช่แนวคิดของกลุ่มที่ขายเป็น "บทบาท" แต่เป็นบทบาทที่แท้จริงบทบาทนั้นจะเชื่อมโยงกับหลักการ (หรือที่เรียกว่า "บทบาทที่ใช้งานอยู่") เมื่อหลักเริ่มเซสชัน (เซสชันการเข้าสู่ระบบหรือเซสชันเฉพาะแอป) ภายใต้บทบาทนั้น
luis.espinal

1
ในทำนองเดียวกันเราสามารถพูดได้ว่ากลุ่มเป็นเหมือนต้นไม้และบทบาทก็เหมือนแท็ก?
ตัน

26

กลุ่มคือวิธีการจัดระเบียบผู้ใช้ในขณะที่บทบาทมักเป็นวิธีการจัดระเบียบสิทธิ์

สิ่งนี้มีประโยชน์หลายวิธี ตัวอย่างเช่นชุดของสิทธิ์ที่จัดกลุ่มเป็นบทบาทอาจถูกกำหนดให้กับกลุ่มหนึ่งหรือกลุ่มผู้ใช้โดยไม่ขึ้นอยู่กับกลุ่มของตน

ตัวอย่างเช่น CMS อาจมีสิทธิ์บางอย่างเช่นอ่านโพสต์สร้างโพสต์แก้ไขโพสต์ บทบาทผู้แก้ไขอาจสามารถอ่านและแก้ไขได้ แต่ไม่สามารถสร้างได้ (ไม่รู้ว่าทำไม!) โพสต์อาจสามารถสร้างและอ่านได้เป็นต้นกลุ่มผู้จัดการอาจมีบทบาทเป็นผู้แก้ไขในขณะที่ผู้ใช้ในฝ่ายไอทีซึ่งไม่ได้อยู่ในกลุ่มผู้จัดการอาจมีบทบาทเป็นบรรณาธิการด้วยแม้ว่าคนอื่น ๆ กลุ่มไม่

ดังนั้นในขณะที่อยู่ในกลุ่มระบบและบทบาทที่เรียบง่ายมักจะจัดวางอย่างใกล้ชิด แต่ก็ไม่ได้เป็นเช่นนั้นเสมอ


ดังนั้นถ้าฉันเข้าใจถูกคุณจะกำหนดบทบาทให้ผู้ใช้ไม่ได้ แต่สามารถกำหนดผู้ใช้ให้กับกลุ่มได้ หลังจากนั้นคุณสามารถกำหนดบทบาทให้กับกลุ่มผู้ใช้ได้
Ondrej

ไม่จำเป็นต้องเป็น Ondrej แอปพลิเคชันระบบหรือระบบปฏิบัติการสามารถใช้กลไกในการกำหนดบทบาทให้กับผู้ใช้ได้ (แม้ว่าจะมีปัญหาอย่างรวดเร็ว) คำตอบของ Simon นั้นตรงกับบทบาทในการจัดการสิทธิ์ (ซึ่งตรงข้ามกับกลุ่มเป็นวิธีการจัดการวัตถุและวัตถุ)
luis.espinal

ขอบคุณพวกคุณตอนนี้ฉันชัดเจนมากขึ้นแล้ว ในระบบที่อธิบายไว้ข้างต้นฉันเพิ่งสังเกตเห็นว่ามีกลไกอื่นในการแยกแยะผู้ใช้ ผู้ใช้แต่ละคนที่ได้รับมอบหมายให้กับโมดูลใด ๆ จะมีความโดดเด่นมากขึ้นตามความสามารถในฐานะผู้ใช้หัวหน้างานและผู้ดูแลระบบซึ่งฉันเดาว่านี่คือระบบ ROLE:] ดังนั้นขอขอบคุณทั้งสองท่านอีกครั้ง! ;)
Ondrej

ฉันชอบคำอธิบายของคุณ แต่ด้วยเหตุผลบางประการที่นี่ไม่มีใครเขียนเกี่ยวกับความเป็นไปได้ของผู้ใช้ที่อยู่ในกลุ่มมากกว่าหนึ่งกลุ่ม ... เป็นไปไม่ได้ที่กลุ่มจะอยู่ในกลุ่มและบทบาทอื่น ๆ ที่อนุญาตให้กำหนดบทบาทและอะไร เกี่ยวกับทรัพยากร? ทรัพยากรไม่สามารถอยู่ในกลุ่มได้หรือไม่? ทรัพยากรไม่มีบทบาท?
Inor

19

แม้ว่าจะมีความแตกต่างทางความหมายระหว่างบทบาทและกลุ่ม (ตามที่อธิบายไว้ข้างต้นโดยคำตอบอื่น ๆ ) ในทางเทคนิคบทบาทและกลุ่มก็เหมือนกัน ไม่มีสิ่งใดป้องกันไม่ให้คุณกำหนดสิทธิ์ให้กับผู้ใช้และกลุ่มโดยตรง (ถือได้ว่าเป็นการปรับการควบคุมการเข้าถึงแบบละเอียด) เมื่อผู้ใช้ถูกกำหนดบทบาทก็จะถือว่าเป็นสมาชิกของบทบาทในทำนองเดียวกันเมื่อผู้ใช้กลายเป็นสมาชิกของกลุ่ม

ดังนั้นเราจึงสามารถจบลงโดยไม่มีความแตกต่างอย่างแท้จริงระหว่างบทบาทและกลุ่ม สามารถพิจารณาทั้งสองอย่างสำหรับการจัดกลุ่มผู้ใช้และ / หรือสิทธิ์ ดังนั้นความแตกต่างจึงเป็นเพียงความหมายเท่านั้น: - หากใช้ในเชิงความหมายสำหรับการจัดกลุ่มสิทธิ์ก็จะเป็นบทบาท - หากใช้ในเชิงความหมายสำหรับการจัดกลุ่มผู้ใช้จะเป็นกลุ่ม ในทางเทคนิคไม่มีความแตกต่างกัน


จริงๆแล้วมีภาษาคอมพิวเตอร์ที่แตกต่างกันเช่น c # ในคลาสที่กำหนดให้เข้าถึงกลุ่มเทียบกับภาษาสำหรับเข้าถึงบทบาท พวกเขามีชื่อคุณสมบัติที่แตกต่างกันและวิธีการที่แตกต่างกันตามที่คาดไว้จากบทบาท (เป็นชุดของสิทธิ์) เทียบกับกลุ่ม (เป็นชุดของผู้ใช้)
pashute

หากคุณเพิ่มกลุ่มเป็นสมาชิกของกลุ่มอื่นและทั้งสองมีสิทธิ์ที่เกี่ยวข้องการอนุญาตเพิ่มเติมจะใช้ได้ดี นั่นคือวิธีการทำงานของ NTFS อย่างไรก็ตามเมื่อเราพูดถึงระบบฉันเชื่อว่าผู้ใช้คิดในแง่ของ "ให้ฉันเข้าสู่ระบบในฐานะการเงิน" "ให้ฉันเข้าสู่ระบบในฐานะผู้เยี่ยมชม" และในกรณีนี้ฉันคิดว่าบทบาทตามลำดับชั้นน่าจะสับสน ฉันไม่อนุญาตให้กลุ่มระดับบนสุดมีสิทธิ์ที่เกี่ยวข้อง
drizin

18

"กลุ่ม" คือกลุ่มผู้ใช้ "บทบาท" คือชุดของสิทธิ์ นั่นหมายความว่าเมื่ออัลฟ่ากลุ่มมีเบต้ากลุ่มอัลฟ่าจะได้รับผู้ใช้ทั้งหมดจากเบต้าและเบต้าจะได้รับสิทธิ์ทั้งหมดจากอัลฟ่า ในทางกลับกันคุณสามารถพูดได้ว่าเบต้าบทบาทมีอัลฟ่าและจะใช้ข้อสรุปเดียวกัน

ตัวอย่างที่เป็นรูปธรรมทำให้สิ่งที่ชัดเจนมากขึ้น พิจารณา "การสนับสนุนลูกค้า" และ "การสนับสนุนลูกค้าอาวุโส" หากคุณคิดว่าคอลเลกชันเหล่านั้นเป็นกลุ่มก็เป็นที่ชัดเจนว่าผู้ใช้สนับสนุนลูกค้า "รวมถึง" ผู้ใช้สนับสนุนลูกค้าอาวุโส อย่างไรก็ตามหากคุณมองว่าพวกเขาเป็นบทบาทก็เป็นที่ชัดเจนว่าสิทธิ์การสนับสนุนลูกค้าอาวุโส "รวม" สิทธิ์การสนับสนุนลูกค้า

ในทางทฤษฎีคุณสามารถมีประเภทคอลเลกชันเดียว แต่มันจะไม่ชัดเจนถ้าคุณจะบอกว่า "คอลเลกชันรวมถึงอัลฟาเบต้าคอลเลกชัน" ในกรณีนี้คุณไม่สามารถบอกได้ว่าผู้ใช้ในอัลฟ่าอยู่ในเบต้า (เช่นบทบาท) หรือผู้ใช้ในเบต้าอยู่ในอัลฟ่า (เช่นกลุ่ม) เพื่อให้คำศัพท์เช่น "รวม" และองค์ประกอบภาพเช่นมุมมองต้นไม้ไม่คลุมเครือระบบ rbac ส่วนใหญ่ต้องการให้คุณระบุว่าคอลเล็กชันที่เป็นปัญหานั้นเป็น "กลุ่ม" หรือ "บทบาท" อย่างน้อยก็เพื่อประโยชน์ในการสนทนา

การเปรียบเทียบบางอย่างอาจช่วยได้ กรอบในแง่ของทฤษฎีเซตเมื่อกลุ่มอัลฟ่าเป็นส่วนย่อยของเบต้ากลุ่มสิทธิ์อัลฟ่าจะเป็นส่วนเหนือของสิทธิ์เบต้า เมื่อเทียบกับลำดับวงศ์ตระกูลแล้วถ้ากลุ่มต่างๆเปรียบเสมือนต้นไม้แห่งลูกหลานบทบาทก็เหมือนต้นไม้แห่งบรรพบุรุษ


คำอธิบายของคุณครอบคลุมถึงสาเหตุที่เราไม่สามารถปฏิบัติต่อกลุ่มตามบทบาทได้ (ตามที่ Mileta คำตอบแนะนำ) ตัวอย่างที่สมบูรณ์แบบ
drizin

2
จริงๆแล้วเราสามารถปฏิบัติต่อกลุ่มได้ตามบทบาท (ตามที่Mileta Cekovic กล่าว ) ตัวอย่างเช่นเราสามารถกำหนดบทบาทเฉพาะสำหรับแต่ละกลุ่ม (ความสัมพันธ์แบบ 1: 1) แต่เราไม่สามารถตีความความสัมพันธ์ระหว่างกลุ่มว่าเป็นความสัมพันธ์ระหว่างบทบาทที่เกี่ยวข้องกัน ตัวอย่างเช่นหากกลุ่ม "การสนับสนุนลูกค้า" มี กลุ่ม "การสนับสนุนลูกค้าอาวุโส" - ไม่ได้หมายความว่าบทบาท "การสนับสนุนลูกค้า" จะรวมถึง บทบาท "การสนับสนุนลูกค้าอาวุโส"
ruvim

3

หมายเหตุ - การส่งเสียงดังต่อไปนี้จะสมเหตุสมผลก็ต่อเมื่อมีคนพยายามกำหนดความปลอดภัยภายในองค์กรกล่าวคือพยายาม จำกัด การเข้าถึงข้อมูล ...

กลุ่มเป็นเชิงประจักษ์ - ตอบคำถามว่า "อะไร" พวกเขาคือ "คือ" ในความหมายที่สะท้อนถึงความเป็นจริงที่มีอยู่ในการเข้าถึง คนไอทีชื่นชอบกลุ่มต่างๆ - พวกเขามีความหมายตามตัวอักษรและง่ายต่อการกำหนด ในที่สุดการควบคุมการเข้าถึงทั้งหมดก็เปลี่ยนไป (อย่างที่เราเรียนในสมัยมัธยมต้น ... ) เพื่อตอบคำถาม "คุณอยู่ในกลุ่มอะไร"

อย่างไรก็ตามบทบาทเป็นบรรทัดฐานมากกว่า - พวกเขาชี้แนะสิ่งที่ "ควรจะเป็น" ผู้จัดการและทรัพยากรบุคคลที่ดีชอบ "บทบาท" - ไม่ตอบ - ถามคำถามว่า "ทำไม" แต่น่าเสียดายที่บทบาทอาจคลุมเครือและ "ความคลุมเครือ" สามารถผลักดันให้ผู้คน (IT) บ้าคลั่งได้

การใช้ตัวอย่างทางการแพทย์ดังกล่าวข้างต้นถ้าบทบาทของ "แพทย์ดูแลหลัก" มีสิทธิมากขึ้น (การเข้าถึงเช่นไปยังกลุ่มอื่น ๆ อีกมากมายกว่า) บทบาทของ "x-ray ช่าง" นี้เป็นเพราะคน (ผู้บริหารและ HR) ตัดสินใจว่าทำไมว่า จำเป็นต้องเกิดขึ้น ในแง่นั้นพวกเขาคือ "ภูมิปัญญาร่วมกัน" ขององค์กร

สมมติว่าแพทย์ได้รับสิทธิ์ในการเข้าถึง (เป็นสมาชิกของกลุ่มที่สามารถเข้าถึงได้) เพื่อบันทึกทางการเงินของผู้ป่วย โดยปกติแล้วสิ่งนี้อยู่นอก "บทบาท" ของแพทย์และควรได้รับการถกเถียงกัน ดังนั้นจึงไม่มีใคร (ไม่ว่าจะมีคุณสมบัติเพียงใด) ที่จะสามารถเข้าถึงทุกกลุ่มได้อย่างเต็มที่ - มันเชิญชวนให้ใช้อำนาจในทางมิชอบ นี่คือเหตุผลว่าทำไม "วิศวกรรมบทบาท" จึงมีความสำคัญ - หากไม่มีสิ่งนี้คุณก็มีสิทธิ์เข้าถึงแบบกลุ่มเหมือนขนมมากมาย ผู้คนจะรวบรวมการเข้าถึงกลุ่ม (และบางครั้งเป็นฝูง) โดยไม่มีการอภิปรายเกี่ยวกับอันตรายของอำนาจที่มากเกินไป

สรุปได้ว่าภูมิปัญญาของบทบาทที่กำหนดไว้อย่างดีจะช่วยลดอันตรายจากการเข้าถึงกลุ่มที่หลบหนี ทุกคนในองค์กรสามารถโต้แย้งเพื่อเข้าถึงกลุ่มใดกลุ่มหนึ่งได้ แต่เมื่อมีการเข้าถึงแล้วก็แทบจะไม่ได้รับ วิศวกรรมบทบาท (พร้อมกับแนวทางปฏิบัติที่ดีที่สุดเช่นคำอธิบายกลุ่มที่กำหนดไว้อย่างดีและผู้จัดการการเข้าถึงกลุ่มที่ได้รับอำนาจ) สามารถ จำกัด ผลประโยชน์ทับซ้อนภายในองค์กรกระจายอำนาจการตัดสินใจและช่วยให้การจัดการความปลอดภัยมีเหตุผลมากขึ้น


3

คำตอบก่อนหน้านี้ล้วนยอดเยี่ยม ตามที่ระบุไว้แนวคิดของ Group vs Role เป็นแนวคิดมากกว่าทางเทคนิค เรามีจุดยืนที่ใช้กลุ่มสำหรับบรรจุผู้ใช้ (ผู้ใช้สามารถอยู่ในกลุ่มได้มากกว่าหนึ่งกลุ่มกล่าวคือโจอยู่ในกลุ่มผู้จัดการเช่นเดียวกับกลุ่มไอที [เขาเป็นผู้จัดการด้านไอที]) และในการกำหนดสิทธิ์แบบกว้าง ๆ (กล่าวคือระบบแม็กการ์ดของเราอนุญาตให้ผู้ใช้ทุกคนในกลุ่มไอทีเข้าถึงห้องเซิร์ฟเวอร์ได้) ขณะนี้มีการใช้บทบาทเพื่อเพิ่มสิทธิ์ให้กับผู้ใช้ที่ระบุ (เช่นบุคคลในกลุ่มไอทีสามารถ RDP ไปยังเซิร์ฟเวอร์ได้ แต่ไม่สามารถกำหนดผู้ใช้หรือเปลี่ยนสิทธิ์ได้บุคคลในกลุ่มไอทีที่มีบทบาทผู้ดูแลระบบสามารถกำหนดผู้ใช้และเปลี่ยนสิทธิ์ได้) บทบาทสามารถประกอบขึ้นจากบทบาทอื่น ๆ ได้เช่นกัน (Joe มีบทบาท Admin เพื่อเพิ่มผู้ใช้ / สิทธิ์และยังมีบทบาท DBA เพื่อทำการเปลี่ยนแปลงฐานข้อมูลไปยัง DBMS บนเซิร์ฟเวอร์) บทบาทอาจมีความเฉพาะเจาะจงมากเช่นกันที่เราสามารถสร้างบทบาทผู้ใช้แต่ละคน (เช่น JoesRole) ที่เฉพาะเจาะจงสำหรับผู้ใช้ ดังนั้นในการสรุปเราใช้ Groups เพื่อจัดการผู้ใช้และกำหนดบทบาทและบทบาททั่วไปเพื่อจัดการสิทธิ์ นี้ยังเป็นแบบสะสม กลุ่มที่ผู้ใช้อยู่อาจมีการกำหนดบทบาท (หรือรายการบทบาทที่มีอยู่) ซึ่งจะให้สิทธิพิเศษทั่วไป (เช่นผู้ใช้กลุ่มไอทีมีบทบาท ServerRDP ที่อนุญาตให้เข้าสู่ระบบเซิร์ฟเวอร์) เพื่อกำหนดให้กับผู้ใช้ จากนั้นบทบาทใด ๆ ที่ผู้ใช้เป็นสมาชิกจะถูกเพิ่มตามลำดับที่กำหนดด้วยบทบาทสุดท้ายที่มีคำพูดสุดท้าย (บทบาทสามารถอนุญาตปฏิเสธหรือไม่ใช้สิทธิ์เพื่อให้แต่ละบทบาทถูกนำไปใช้มันจะลบล้างการตั้งค่าก่อนหน้าสำหรับสิทธิ์ หรือไม่เปลี่ยนแปลง) เมื่อใช้บทบาทระดับกลุ่มและระดับผู้ใช้ทั้งหมดแล้ว


+1 เพื่อให้เป็นตัวอย่างที่แท้จริงเนื่องจากการทับซ้อนกันของแนวคิดเหล่านี้หมายความว่าไม่มีความแตกต่างที่แท้จริงยกเว้นในการนำไปใช้งานเฉพาะ แต่ก็ไม่ได้ทำให้ความชัดเจนมากข้อดีที่คุณที่ได้รับการเพิ่มบทบาท: ตัวอย่างของคุณของผู้ใช้ไอทีที่มีบทบาทผู้ดูแลระบบสามารถได้อย่างง่ายดายเพียงทำได้โดยการวางผู้ใช้ในผู้ใช้ไอทีและผู้ดูแลระบบกลุ่ม ไม่มีความแตกต่างที่แท้จริงระหว่าง "การอนุญาต" โดยนัยที่อนุญาตให้ RDP ถึง "และ" บทบาท ":" สามารถกำหนดผู้ใช้ " นอกจากนี้คุณยังบอกว่า Roles สามารถสร้างเป็นบทบาทอื่นได้ แต่ตัวอย่างของคุณคือ Joe ที่มี 2 บทบาทไม่ใช่บทบาทที่รวมคนอื่น
Rhubarb

1

ผู้ใช้จะได้รับมอบหมายบทบาทตามความรับผิดชอบที่เล่นในระบบใด ๆ ตัวอย่างเช่นผู้ใช้ในบทบาทผู้จัดการฝ่ายขายสามารถดำเนินการบางอย่างเช่นให้ส่วนลดเพิ่มเติมสำหรับผลิตภัณฑ์

กลุ่มใช้เพื่อ 'จัดกลุ่ม' ผู้ใช้หรือบทบาทในระบบเพื่อให้ง่ายต่อการจัดการความปลอดภัย ตัวอย่างเช่นกลุ่มที่ชื่อ "กลุ่มผู้นำ" สามารถมีสมาชิกจากบทบาทผู้จัดการผู้อำนวยการและสถาปนิกและผู้ใช้แต่ละคนที่พ้นจากบทบาทเหล่านี้ได้เช่นกัน ตอนนี้คุณควรจะสามารถกำหนดสิทธิ์บางอย่างให้กับกลุ่มนี้ได้


1

วัตถุประสงค์ของกลุ่มและบทบาทแตกต่างกันไปในแอปพลิเคชัน แต่ส่วนใหญ่สิ่งที่ฉันเข้าใจมีดังต่อไปนี้กลุ่ม (กลุ่มผู้ใช้) เป็นแบบคงที่ในขณะที่บทบาท (ชุดสิทธิ์) เป็นแบบไดนามิกที่มีนโยบายเช่นตามเวลา (9 ถึง 6) ก กลุ่มหรือผู้ใช้อาจมีบทบาทนี้ แต่ไม่ใช่อย่างนั้น


0

คุณสามารถกำหนดบทบาทให้กับกลุ่ม คุณสามารถกำหนดผู้ใช้ให้กับกลุ่มและคุณสามารถกำหนดบทบาทให้กับผู้ใช้แต่ละคนในผู้ใช้บทบาทใดก็ได้ ความหมาย Jean Doe สามารถอยู่ใน Group of SalesDeptartment โดยมี Role off ReportWritter ซึ่งอนุญาตให้พิมพ์รายงานของเราจาก SharePoint แต่ในกลุ่ม SalesDepartment คนอื่น ๆ อาจไม่มีบทบาทของ ReportWritter - กล่าวอีกนัยหนึ่งบทบาทคือสิทธิพิเศษกับกลุ่มที่ได้รับมอบหมาย หวังว่านี่จะทำให้เกิดฉากต่างๆ

ไชโย !!!

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.