|
|
|
RBAC è un sistema di controllo di accesso di CA AppLogic basato sui ruoli. Fornisce controllo granulare degli utenti e delle azioni che tali utenti possono eseguire per determinati oggetti di una griglia. Lo scopo generale di RBAC consiste nel consentire a più utenti di lavorare su una stessa griglia senza ostacolare il lavoro degli altri utenti. RBAC non fornisce funzionalità multi-tenant. Ad esempio, tutti gli utenti possono visualizzare l'elenco di tutte le applicazioni nello stesso modo in cui gli utenti di Linux possono elencare i file per cui non dispongono dell'accesso (gli spazi dei nomi oggetto non vengono separati).
RBAC supporta sia gli utenti che i gruppi per l'autorizzazione di un'azione dell'utente. I gruppi possono includere utenti o altri gruppi come membri. È possibile creare utenti e gruppi specifici per una determinata griglia mediante l'interfaccia della riga di comando di CA AppLogic. Le informazioni relative agli utenti e ai gruppi sono contenute in un servizio della directory incluso nel controller di griglia.
RBAC supporta l'uso facoltativo di un servizio della directory esterno come Microsoft® Windows® Active Directory®. In questo caso, le informazioni relative agli utenti e ai gruppi vengono ottenute a partire da un servizio della directory esterno quando un utente esegue l'autenticazione mediante il servizio.
CA AppLogic fa riferimento a utenti e gruppi specifici per una griglia come utenti locali. Gli utenti e i gruppi che vengono memorizzati in un servizio di directory esterna sono denominati globali. Il servizi di directory corrispondenti possono inoltre essere categorizzati come locali o globali. È possibile configurare una griglia per utilizzare solamente utenti e gruppi locali, oppure utilizzare utenti e gruppi sia locali che globali.
Gli utenti e i gruppi possono inoltre essere categorizzati come entità principali. Per identificare un'entità principale, ciascuna di esse viene assegnata a un identificatore univoco o a un ID principale. Se l'entità principale corrisponde a un utente, l'ID dell'entità principale viene solitamente denominato ID utente. Se l'entità principale corrisponde invece a un gruppo, I'ID dell'entità principale verrà denominato ID gruppo. L'ID dell'entità principale consente di ricercare l'ambito dell'entità principale, il tipo e il nome. L'ambito principale indica se l'entità principale è locale o globale. Il tipo principale indica se l'entità principale è un utente o un gruppo. Il nome principale corrisponde a un nome proprio. Ad esempio, l'utente locale John è un'entità principale il cui ambito corrisponde a locale, a un tipo di utente ed al nome di John.
La funzione principale di RBAC è fornire le autorizzazioni agli utenti. Per eseguire questa operazione, RBAC utilizza gli elenchi di controllo di accesso. Tre tipi di oggetto della griglia dispongono di elenchi di controllo di accesso: le applicazioni, i cataloghi globali e la griglia stessa. Un ACL è composto da un titolare e da un elenco di voci. Il titolare corrisponde a un'entità principale e dispone di diritto impliciti per la modifica dell'ACL. Ciascuna voce è composta da un'entità principale e da un livello di accesso corrispondente che controlla i diritti di azione dell'entità principale sull'oggetto. Un livello di accesso è una raccolta denominata di autorizzazioni. Ad esempio, l'oggetto della griglia dispone di un livello di accesso denominato grid_administrator e una delle autorizzazioni incluse in tale livello di accesso corrisponde all'autorizzazione per l'accesso alla griglia. Ciascuna entità principale corrisponde a un ACL rappresentato da un ID dell'entità principale.
RBAC non elimina l'accesso del gestore alla griglia. Le operazioni eseguite da un gestore non sono soggette all'autorizzazione.
| Copyright © 2012 CA. Tutti i diritti riservati. |
|