|
|
|
RBAC es el sistema de control de acceso basado en roles de CA AppLogic. Proporciona control granular sobre qué usuarios pueden realizar acciones específicas en objetos determinados en un grid. La finalidad general de RBAC es permitir que varios usuarios trabajen en un solo grid sin entorpecer el trabajo de otros usuarios. RBAC no está diseñado para proporcionar la funcionalidad de acceso multicliente. Por ejemplo, todos los usuarios pueden consultar la lista de todas las aplicaciones, de forma similar a como sucede en Linux, donde los usuarios pueden enumerar los archivos a los cuales no tienen acceso (no se segregan los espacios de nombres de los objetos).
RBAC admite tanto usuarios como grupos para autorizar acciones de usuario. Los grupos pueden incluir usuarios u otros grupos como miembros. Se pueden crear usuarios y grupos que sean específicos de un grid determinado mediante la interfaz de línea de comandos (CLI) de CA AppLogic. La información de usuario y de grupo se mantiene en un servicio de directorio que se incluye en el controlador del grid.
RBAC es compatible con el uso opcional de un servicio de directorio externo como Active Directory de Microsoft® Windows®. En este caso, la información de usuario y grupo se obtiene del servicio de directorio externo cuando un usuario se autentica mediante este servicio.
CA AppLogic utiliza el término locales para referirse a los usuarios y grupos que son específicos de un grid. Los usuarios y grupos que se mantienen en un servicio de directorio externo se consideran globales. Los respectivos servicios de directorio se distinguen también como locales o globales. Se pueden configurar el grid de modo que sólo utilice usuarios y grupos locales, o bien que utilice tanto usuarios y grupos locales como globales.
A los usuarios y los grupos también se les puede llamar elementos principales. Para identificar de forma única los elementos principales, se asigna a cada uno de ellos un identificador único, o ID de elemento principal. Si el elemento principal es un usuario, nos solemos referir al ID del elemento principal como ID de usuario. De forma similar, si el elemento principal es un grupo, nos solemos referir al ID del elemento principal como ID de grupo. Se puede utilizar el ID del elemento principal para buscar el ámbito, el tipo y el nombre del elemento principal. El ámbito del elemento principal indica si el elemento principal es local o global. El tipo del elemento principal indica si éste es un usuario o un grupo. El nombre del elemento principal es un nombre común que resulte fácil de utilizar para los usuarios. Por ejemplo, el usuario local John es un elemento principal con alcance local, del tipo usuario y con el nombre John.
La función principal de RBAC es encargarse de la autorización de usuario. Para cumplir este propósito, RBAC utiliza listas de control de acceso (ACL). Hay tres tipos de objeto de grid que tienen asociada una lista de control de acceso: las aplicaciones, los catálogos globales y el grid propiamente dicho. Las ACL están formadas por un propietario y una lista de entradas. El propietario es un elemento principal y tiene el derecho implícito de modificación de la lista de control de acceso. Cada entrada está compuesta por un elemento principal y el nivel de acceso correspondiente que determina el tipo de autorización que tiene el elemento principal para realizar acciones sobre el objeto. Los niveles de acceso son recopilaciones de permisos a las cuales se da nombre. Por ejemplo, el objeto del grid tiene un nivel de acceso con el nombre grid_administrator, y uno de los permisos incluidos en este nivel de acceso es el permiso para iniciar sesión en el grid. Cada uno de los elementos principales dentro de una ACL se representa por medio de un ID de elemento principal.
RBAC no elimina el acceso del encargado del mantenimiento en el grid. Las operaciones realizadas por los encargados del mantenimiento no están sujetas a autorización.
| Copyright © 2012 CA. Todos los derechos reservados. |
|