Confidentialité et ergonomie, personnaliser l'accès au SIRH avec RBAC( Télécharger le fichier original )par Christophe THOMAS Université Paris 1 Panthéon Sorbonne - MASTER M2 Management Système d'information et de Connaissances 2008 |
Les contraintes endogènesElles sont complètement contraintes en ce qui concernent les propriétés intrinsèques d'un modèle R-BAC et intrinsèquement affectées à la structure et à la construction d'une instance d'un modèle R-BAC. Par exemple, une obligation de séparation statique (SSD) pesant sur deux permissions mutuellement exclusives interdit l'assignation de ces permissions pour le même rôle. En outre, il influe également sur la définition du rôle respectif de la hiérarchie, car il interdit en outre que deux rôles distincts qui possèdent les autorisations correspondantes puissent avoir un rôle senior commun. Sinon, ce rôle senior pourrait acquérir deux permissions (mutuellement exclusif) violant de ce fait la contrainte SSD correspondante [voir, par exemple, (Ferraiolo, Kuhn et Chandramouli 2003)]. Les contraintes exogènesElles sont des contraintes qui sont exclusivement des attributs qui n'appartiennent pas aux éléments essentiels d'un modèle R-BAC (par exemple, les contraintes de temps qui limitent l'activation d'un rôle à un intervalle spécifique de temps ou qui permettent l'accès à des opérations sur une ressource seulement un jour de la semaine), ou qui font référence à des attributs extérieur (c'est-à-dire extérieurs au modèle R-BAC ) ou des propriétés d'un élément du modèle R-BAC spécifiques (par exemple, l'emplacement actuel du projet ou la cession d'un sujet spécifique). En général, les contraintes exogènes sont définies comme étant des conditions qui prennent en compte des données externes pour certaines opérations ou les décisions d'un contrôle d'accès au service. A côté de la catégorisation statique / dynamique et endogène / exogène, les contraintes peuvent aussi être subdivisée en contraintes d'autorisation et en contraintes d'assignation : Les contraintes d'autorisationElles sont des contraintes qui placent des contrôles supplémentaires sur les décisions de contrôle d'accès. Ainsi, même si le sujet est en possession d'une autorisation qui accorde une certaine demande d'accès, l'accès ne peut être permis que si d'autres contraintes d'autorisation correspondante sont remplies en même temps. Par exemple, c'est le cas des accès par abonnement par exemple. Quand l'abonnement est terminé, l'accès devient interdit. Les contraintes d'assignationCe sont les contraintes qui contrôlent l'assignation ou l'activation des permissions et des rôles (par exemple, la contrainte de séparation des fonctions). En fait ces contraintes d'assignation sont le coeur de notre problématique. Il s'agit de choisir et de déterminer de façon manuelle ou automatique les incohérences et les incompatibilités entre différentes permissions et/ou différents rôles et/ou différents couples. Les catégories ci-dessus ne sont pas complètement orthodoxes, et n'ont pas la prétention de fournir un cadre de classification pour tous les types possibles de contraintes R-BAC. Néanmoins, ces catégories permettent d'examiner les différents aspects qui peuvent être observés individuellement, et faciliter la définition des contraintes contextuelles R-BAC. Figure 27 : Les permissions R-BAC avec des contraintes contextuelles En premier lieu, une contrainte contextuelle est un concept abstrait au niveau de la modélisation (à l'instar des autres types de contraintes, ou le concept de rôle). Une contrainte contextuelle aide à préciser certains attributs du contexte. Ils doivent remplir comme conditions de permettre une opération. En respectant ce qui concerne les catégories mentionnées précédemment, nous avons donc à définir les contraintes contextuelles comme des contraintes d'autorisation dynamique exogènes. Toutes les contraintes contextuelles peuvent (en principe) être également appliquée à l'assignation ou l'activation des contraintes (cf. 0 ci-dessus), jusqu'à présent, notre expérience sur la modélisation et l'application des contraintes contextuelles sont principalement basées sur leur utilisation comme des contraintes d'autorisation dynamique exogènes. Comme les décisions d'autorisation sont basés sur les permissions d'un sujet particulier possédant un rôle, les des contraintes contextuelles sont associé aux autorisations R-BAC (voir la Figure 27 : Les permissions R-BAC avec des contraintes contextuelles). |
|