Ограничения/правила: добавление ролей к субъекту

При добавлении роли к субъекту применяются правила, связывающие тип и роль субъекта, инициирующего изменения, с целевым типом субъекта, к которому добавляется роль.

Добавление ролей позволяет динамически (во время исполнения) расширять права субъектов.

Элемент add_role может содержать несколько правил. Правила применяются последовательно (порядок важен) до тех пор, пока не будет найдено первое, непротиворечащее комбинации значений source_type, source_role, и target_type. Другими словами, для применения правила необходимо, чтобы:

• тип субъекта-инициатора совпал с одним из указанных в source_type.
• одна из ролей субъекта-инициатора совпала с одной из указанных в source_role.
• тип изменяемого субъекта совпал одним из типов, указанных в target_type.

Варианты задания типа субъекта, инициирующего добавление ролей (элемент source_type):

• конкретный тип: source_type: core
• список типов: source_type: [core, dispatcher]
• любой тип: source_type: @any

Варианты задания роли субъекта, инициирующего добавление ролей (элемент source_role):

• конкретная роль: source_role: system
• список ролей: source_role: [system, user]
• любая роль: source_role: @any

Варианты задания исходного типа целевого субъекта (элемент target_type):

• конкретный тип: original_type: core
• тип, совпадающий с типом сущности-инициатора: original_type : @source_type
• список типов: original_type: [core, dispatcher, @source_type]
• любой тип: original_type: @any

Варианты задания допустимых ролей для целевого субъекта (элемент target_role):

• конкретная роль: target_role: core
• роли, совпадающие с ролями сущности-инициатора: target_role: @source_role
• список ролей: target_role: [core, dispatcher]
• *любая роль: target_role: @any

Пример

add_role : [

{ source_type: dispatcher

, source_role: system

, target_type: [auditservice, fileservice]

, target_role: [user, admin]

},

]

В начало