公司人员的管理系统的终极解决方案是RBAC
1.那么什么是RBAC呢?
RBAC允许您通过分配一组权限来创建和实施高级访问。权限基于特定用户类别执行其职责所需的访问级别。换句话说,公司中的不同人员可以完全基于其工作职能和职责等因素拥有完全不同的访问权限级别和类型。
例如,人力资源部员工可以查看员工记录,但不能查看客户数据。人力资源经理可以删除或更改人力资源记录,而较低级别的人力资源专家只能查看这些记录。
美国国家标准与技术研究院(NIST)引入了RBAC方法,作为自主访问控制(DAC)的更好替代方案。使用RBAC,可以为每个用户分配一个或多个角色,然后为这些角色分配允许的权限。用户可以是员工、承包商、业务合作伙伴等,这些类别中的每个角色都具有预定义的权限。当个人的职责或职能发生变化时,例如,由于晋升或部门调动,该人员被分配到RBAC系统中的新角色。
2.什么是RBAC中的角色?
在RBAC框架中,角色是用于构建权限的语义结构。角色可以由任意数量的标准定义,包括权限、职责、成本中心和业务部门。
角色本质上是指用户权限的集合。这与传统的用户群不同,后者是用户的集合。在RBAC的上下文中,权限与角色绑定,而不是与身份直接连接。
角色比组更稳定,因为角色是围绕访问管理组织的,在一个典型的组织中,功能和活动的变化不像身份那样频繁。
3.什么是RBAC中的权限?
权限(permission)即授予对受保护对象执行操作的批准的权限集。这里的受保护对象指的可以是应用中所有的内容,包括数据、模块、菜单、页面、字段、操作功能(增删改查)等等。同时,对于不同的权限可以使用不同的RBAC模型,分别管理或同一管理(即在一个系统中不一定仅使用一种RBAC模型)。例如在可以将页面访问权限与页面内的增删改查的操作权限一起基于RBAC0管理,数据权限(数据隔离)基于RBAC1实现,再为用户分配几种权限的组合。
