Rozstrzyganie dostępu i priorytetyzacja

Gdy użytkownik ma dostęp do tego samego zasobu przez wiele sejfów lub przypisań grupowych, Fudo Enterprise ustala ścieżkę dostępu na podstawie zdefiniowanego priorytetu i zestawu reguł. Zapewnia to przewidywalne i bezpieczne zachowanie dostępu w złożonych scenariuszach uprawnień.

Użytkownik należy do wielu grup przypisanych do tego samego sejfu i zasobu

../../_images/rbac_groups_conditions_1.png

Jeśli użytkownik należy do dwóch lub więcej grup przypisanych do tego samego sejfu i zasobu, obowiązują następujące reguły:

  • Podgląd hasła: Jeśli w co najmniej jednej grupie włączono opcję podglądu hasła, użytkownik będzie mógł zobaczyć hasło dla całego sejfu.

  • Okres dostępu: Jeśli ramy czasowe ważności są skonfigurowane dla obu grup, Fudo Enterprise sprawdza, czy bieżący czas mieści się w dozwolonym zakresie dla każdej z grup. Jeśli warunek jest spełniony w co najmniej jednej grupie, sesja jest dozwolona.

  • Polityka dostępu dziennego: Jeśli dla użytkownika włączono politykę czasową, Fudo Enterprise ocenia polityki czasowe wszystkich powiązanych grup. Jeśli użytkownik znajduje się w dozwolonym przedziale czasowym w dowolnej grupie, dostęp jest przyznawany.

Użytkownik należy do wielu grup przypisanych do różnych sejfów z tym samym zasobem

../../_images/rbac_groups_conditions_2.png

Jeśli użytkownik ma dostęp do tego samego zasobu poprzez wiele sejfów za pośrednictwem różnych grup, rozstrzyganie odbywa się według następującej logiki:

  • Okres dostępu: Jeśli bieżący czas mieści się w zakresie ważności Grupy A, zostaje ona użyta. W przeciwnym razie oceniana jest Grupa B. Jeśli żadna z grup nie ma ograniczeń czasowych, system wybiera pierwszą grupę alfabetycznie.

  • Polityka dostępu dziennego: Jeśli obie grupy mają włączoną politykę czasową, Fudo Enterprise sprawdza, która grupa zezwala na dostęp w danym momencie. Dostęp przyznawany jest na podstawie pierwszej grupy w porządku alfabetycznym, której polityka obejmuje bieżący czas lub która nie ma skonfigurowanej polityki.

Użytkownik ma zarówno bezpośredni, jak i grupowy dostęp do tego samego sejfu i zasobu

../../_images/rbac_groups_conditions_3.png

Jeśli użytkownik ma przypisanie bezpośrednie do sejfu oraz dostęp grupowy do tego samego sejfu i zasobu, priorytet ma dostęp bezpośredni. Wszystkie ustawienia, takie jak Zablokowany, Podgląd hasła, Okres dostępu, Polityka dostępu dziennego są pobierane z przypisania użytkownik–sejf i mają pierwszeństwo przed ustawieniami grupowymi.

Użytkownik ma dostęp do tego samego zasobu przez bezpośrednie przypisanie do sejfu oraz przez grupę przypisaną do innego sejfu

../../_images/rbac_groups_conditions_4.png

W przypadku, gdy użytkownik ma dostęp do tego samego zasobu:

  • bezpośrednio przez przypisanie do sejfu oraz

  • pośrednio przez grupę przypisaną do innego sejfu,

Fudo Enterprise zawsze wybiera połączenie bezpośrednie. Ocena pomija przypisania grupowe i korzysta z bezpośredniego przypisania sejfu do kontroli dostępu.

Użytkownik ma dostęp do tego samego zasobu przez dwa sejfy o różnych pozycjach

../../_images/rbac_groups_conditions_5.png

W tym scenariuszu użytkownik ma dostęp do tego samego zasobu przez dwa różne sejfy. Jeden sejf ma przypisaną pozycję 1, a drugi pozycję 2.


Ponieważ wartości pozycji określają preferencje, system zawsze użyje sejfu o wyższej wartości pozycji — w tym przypadku sejfu z pozycją 1.

Uwaga

  • Najpierw Fudo Enterprise sprawdza, czy użytkownik ma bezpośrednie przypisanie do sejfów. Jeśli tak, przypisania grupowe są całkowicie ignorowane.

  • Następnie, spośród wszystkich dostępnych połączeń bezpośrednich, Fudo Enterprise ocenia atrybut pozycji i wybiera sejf z najwyższą wartością pozycji.


Zobacz także: