|
|
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Возник вопрос: фрезеровщица высшего разряда Люся ушла в декретный отпуск.... Работница Валя, работающая рядом, на время ее отпуска должна продолжить ее работу чтобы отряд не заметил потери бойца Что должен сделать начальник цеха Петр Васильевич: - чтоб боец валя продолжила работы по делам Люси - дела Люси по-прежнему бы числились за ней, но Валя могла их выполнять --> делегировать права Вале на некоторый срок? --> переназначить создателя всех документов с Люси на Валю? (но тогда люсе не зачтут очки за начатые проекты и не выдадут долгожданную грамоту!) как поступают в сурьезных рабочих коллективах? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 13:07 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
да еще и возможно, что Валя не фрезеровщик, а лудильщица, но на время родов Люси мОжет подработать и фрезировщицей!)) (Перт Васильевич сразу смекнул что это разные роли, но во благо производства промолчал....) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 13:13 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Если не очень усложнять, то 'создатель' может быть не Люся и не Валя, а 'Люся в роли Люси' или 'Люся в роли Вали'. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 14:31 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp, Люся сообщает Вале свой пароль, и Валя работает под ее учеткой. У нас так бывает, пока мы "Вале" права настраиваем. Иногда нам об этом не сообщают до выхода Люси из декретного отпуска. Между прочим, когда несколько человек под одной учеткой работают, лицензии экономятся:) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 15:37 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
DirksDRsp, Люся сообщает Вале свой пароль, и Валя работает под ее учеткой. У нас так бывает, пока мы "Вале" права настраиваем. Иногда нам об этом не сообщают до выхода Люси из декретного отпуска. Между прочим, когда несколько человек под одной учеткой работают, лицензии экономятся:) у многих еще висит стиккер с паролем на мониторе...)) это полное отсутствие системы прав! Нафиг настраивать после этого права Вале???? - она просто пароль Люси уже знает??? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 17:27 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
OFFTOP про "лицензии экономятся" DirksDRsp, Люся сообщает Вале свой пароль, и Валя работает под ее учеткой. У нас так бывает, пока мы "Вале" права настраиваем. Иногда нам об этом не сообщают до выхода Люси из декретного отпуска. Между прочим, когда несколько человек под одной учеткой работают, лицензии экономятся:) Обічно это обманчивое впечатление, которое позволяет обойти технические средства контроля лицензий, но часто является юридическим нарушением лицензионного соглашение конкретного продукта ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 17:33 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Большая просьба не переходить на тему о лицензиях! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 17:42 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
spВозник вопрос: фрезеровщица высшего разряда Люся ушла в декретный отпуск.... Работница Валя, работающая рядом, на время ее отпуска должна продолжить ее работу чтобы отряд не заметил потери бойца Что должен сделать начальник цеха Петр Васильевич: - чтоб боец валя продолжила работы по делам Люси - дела Люси по-прежнему бы числились за ней, но Валя могла их выполнять --> делегировать права Вале на некоторый срок? --> переназначить создателя всех документов с Люси на Валю? (но тогда люсе не зачтут очки за начатые проекты и не выдадут долгожданную грамоту!) как поступают в сурьезных рабочих коллективах? :) 1. Если Валя согласна за работу Люси получать неофициальную компенсацию (т.е. согласна с тем что будет делать работу от имени Люси, не требуя фиксации этого факта в системе) - поменяли пароль Люси, дали его Вале, чтобы Валя работала от имени Люси. По выходу Люси поменяли пароль ещё раз. Три задействованных лица - сурьёзная конспирация для серьёзного коллектива :). 2. Если система позволяет: а) поменять ответственных в делах Люси на роль/группу "ЛюсяВаля". б) в контрольную точку ("время подсчёта очков за начатые проекты" или "возврат Люси") поменять исполнителей с Вали на Люсю, где назначение было на "ЛюсяВаля". 3. Вариант "Валя в роли Люси" обычно требует "закладок" в архитектуру при проектировании системы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 17:50 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
АнатоЛой3. Вариант "Валя в роли Люси" обычно требует "закладок" в архитектуру при проектировании системы. sp, извините, вариант 3 как раз и есть самый приемлемый, я прочитал текст первого топика, на не учёл название темы. Имхо, Inkelyad прав, это наиболее подходящий вариант... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 17:53 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Мне кажется, тут смешиваются разные вещи - система прав доступа и система документооборота. К первому пункту не имеют отношения понятия "создатель документа", "ответственный" и т.п. Есть объекты, есть действия, которые можно делать над объектами, есть роли, которым доступны те или иные объекты и действия над объектами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 18:29 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Кот МатроскинМне кажется, тут смешиваются разные вещи - система прав доступа и система документооборота. К первому пункту не имеют отношения понятия "создатель документа", "ответственный" и т.п. Есть объекты, есть действия, которые можно делать над объектами, есть роли, которым доступны те или иные объекты и действия над объектами. 1. Система прав доступа определяет право доступа на текущий момент времени для группы лиц. 2. Кто-то из группы лиц, имеющей право на выполнение действия, выполняет это действие, что фиксируется системой (в журналах системы, журналах выполнения операций, журналах аудита, реквизитах объектов, ...). 3. Права доступа на объект и дальнейшие действия с ним могут измениться при выполнении действий над ними (по правилам, использующих фактических исполнителей предыдущих действий или значения реквизитов документов в качестве аргументов). 4. Аналитическая отчётность (по исполнительской дисциплине, по исполнительской производительности, ...) может использовать как права доступа, так и журналы выполнения операций для выдачи информации по принятию решения. Задача ТС как раз и затрагивает все эти нюансы работающей системы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 19:12 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Вы чего хотите, sp? Если структуру данных для регистрации временного исполнения обязанностей, то это как бы тривиальная задача с очевидным решением. Если структуру или методологию регистрации требований ТК, то вы занимаетесь фигней. > дела Люси по-прежнему бы числились за ней, но Валя могла их выполнять Нормальный подход - деперсонифицированные задачи. Люся три года в декретном отпуске, она уже и таблицу умножения забыла, а вы еще ждете, что она что-то будет решать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 19:15 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp--> переназначить создателя всех документов с Люси на Валю? (но тогда люсе не зачтут очки за начатые проекты и не выдадут долгожданную грамоту!) 1) Валя не против, что ей "не зачтут очки" за работу, фактически выполненную ею? 2) если "справедливость" требует учесть заслуги обеих "девочек", может поправить систему расчёта очков? :) Вывод: стоит фиксировать не только создателя документа, но историю действий (с исполнителями), выполнявшихся над документом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 19:23 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
АнатоЛой1. Система прав доступа определяет право доступа на текущий момент времени для группы лиц. 2. Кто-то из группы лиц, имеющей право на выполнение действия, выполняет это действие, что фиксируется системой (в журналах системы, журналах выполнения операций, журналах аудита, реквизитах объектов, ...). 3. Права доступа на объект и дальнейшие действия с ним могут измениться при выполнении действий над ними (по правилам, использующих фактических исполнителей предыдущих действий или значения реквизитов документов в качестве аргументов). 4. Аналитическая отчётность (по исполнительской дисциплине, по исполнительской производительности, ...) может использовать как права доступа, так и журналы выполнения операций для выдачи информации по принятию решения. Задача ТС как раз и затрагивает все эти нюансы работающей системы. В обычных системах, к документу, который создал я , никто кроме админа не имеет права прикасаться - иначе будет бардак! Если я создал и веду клиента, то мой сосед не имеет права чего-то в нем менять - но если я ушел в отпуск мой коллега должен его вести. но при этом этот клиент после отпуска опять должен остаться моим! Как в такой ситуации поступать? А как быть в такой ситуации когда шеф ни бум-бум в информационных системах или ему просто лень что-то делать и он поручает вести его работу своей секретарше!!! Как в такой ситуации быть (это не шутка! у нас такое наблюдается не только на самом верху но и по вертикали у каждого начальничка :) ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 23:24 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
guest_20040621Вы чего хотите, sp? Если структуру данных для регистрации временного исполнения обязанностей, то это как бы тривиальная задача с очевидным решением. Если структуру или методологию регистрации требований ТК, то вы занимаетесь фигней. меня методология процесса guest_20040621> дела Люси по-прежнему бы числились за ней, но Валя могла их выполнять Нормальный подход - деперсонифицированные задачи. Люся три года в декретном отпуске, она уже и таблицу умножения забыла, а вы еще ждете, что она что-то будет решать? Деперсонифицировать задачи - это значит любой чел из данной роли может делать все что хочет - бардака не избежать! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.10.2012, 23:29 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
> меня методология процесса В данном случае дешевле построить частное решение, вы утонете в нюансах, например, государственных должностей. > это значит любой чел из данной роли может делать все что хочет Почему вы так решили? Представьте, что у вас в штатном расписании есть три менеджера. Одинаковые у них только должностные обязанности. А задачи естественным образом соответствуют экземпляру штатной единицы. Не должностному лицу. При наличии списка должностных обязанностей вы еще можете явно перечислить делегируемые при замещении. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 00:27 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
spкак поступают в сурьезных рабочих коллективах? :)--> делегировать права Вале на некоторый срок? Если говорить именно про систему доступа, то только так. Естественно, "права" - это просто назначение роли, а не прописывание тысяч прав :-) Система доступа должна фиксировать факты как они есть, а не делать вид, что ничего не изменилось. По идее, если начальник подошёл к компу и помог сотруднику, то система должна это отразить, а не делать вид, что действия сделал сотрудник... Хотя технически это непросто. spВ обычных системах, к документу, который создал я , никто кроме админа не имеет права прикасаться - иначе будет бардак! Если я создал и веду клиента, то мой сосед не имеет права чего-то в нем менять - но если я ушел в отпуск мой коллега должен его вести. но при этом этот клиент после отпуска опять должен остаться моим! Как в такой ситуации поступать?Это не имеет отношения к системе доступа. Доступ - это разрешение на действия какоиу то человеку и ведение логов, кто что сделал. Если вы разрешили делать действия своему коллеге на время отпуска, значит, система доступа должна зафиксировать ваше разрешение, позволить в течении какого то срока делать ему эти действия, и запомнить, кто и что делал. Как же иначе? Сидеть-то вы не будете за него, если что? Насчёт самого факта замещения отсутствующего человека - немонятно, о чём вы спрашиваете? Да, часто конкретные длительные задачи/проекты персонифицированы, и часто они временно передаются другим людям. Вы спрашиваете, можно это делать или нельзя, или что? spА как быть в такой ситуации когда шеф ни бум-бум в информационных системах или ему просто лень что-то делать и он поручает вести его работу своей секретарше!!!Так не бывает. Работа шефа - это принимать управленческие решения, вряд ли секретарша может сделать что то серьёзное (ей не разрешат). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 00:55 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
alexeyvgspА как быть в такой ситуации когда шеф ни бум-бум в информационных системах или ему просто лень что-то делать и он поручает вести его работу своей секретарше!!!Так не бывает. Работа шефа - это принимать управленческие решения, вряд ли секретарша может сделать что то серьёзное (ей не разрешат). К сожалению в компанейках, а не серьезных компаниях, такое - сплошь и рядом! Кроме делегирования Вале роли Люси на некоторое время ей как-то надо разрешить работать с объектами, закрепленными за Люсей, которые таковыми и должны оставаться и далее (кроме случаев когда Люся уволилась и "передала" дела другому сотруднику - тут просто меняем владельца всех этих объектов на нового) Вот в этом у меня пока логический затык... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 01:21 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
> Вот в этом у меня пока логический затык Различайте штатные и персональные задачи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 01:32 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp, Вы рассматриваете систему прав доступа исключительно с ролевой модели. Посмотрите в сторону мандатной системы и/или ключей доступа к данным. Например, каждый объект "защищен" своим типом ключа доступа. Дали ключ Вале - объект доступен её, отобрали, дали Люсе - фсё. Теперича тока Люся. Момсент смены ключей - фиксиируется для учетки "хто тут был терапевтом"... Ключи доступа, позволяют разуливать ситуевины на уровне отдельной записи... Где-то в инете, была хорошая диссертация на тему типов и систем прав доступа... большая часть реализована в нашей СРМ... есть автор, модератор, роли и допустимые наборы действий для ролей. Есть ключи доступа, которые могут делегироваться, в том числе и на время (отбираются по времени автоматом - ничего ваще делать не надо), есть классы прав и мандаты. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 07:05 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
spК сожалению в компанейках, а не серьезных компаниях, такое - сплошь и рядом!О да, секретарша директора безусловно может закрыть фирму, отдать всё имущество в аренду или уволить всех сотрудников :-) spКроме делегирования Вале роли Люси на некоторое время ей как-то надо разрешить работать с объектами, закрепленными за Люсей, которые таковыми и должны оставаться и далее (кроме случаев когда Люся уволилась и "передала" дела другому сотруднику - тут просто меняем владельца всех этих объектов на нового) Вот в этом у меня пока логический затык...Непонятна причина затыка. За Люсей закреплены объекты только потому, что они закреплены за ролью, которую выполняет Люся. Если это так, то включение в эту роль Вали даёт всё, что вам надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 10:54 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Arhat109Например, каждый объект "защищен" своим типом ключа доступа. Дали ключ Вале - объект доступен её, отобрали, дали Люсе - фсё. Теперича тока Люся. Момсент смены ключей - фиксиируется для учетки "хто тут был терапевтом"...Это всё хорошо, но объектов может быть много, будет неудобно управлять ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 10:55 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
spВ обычных системах, к документу, который создал я , никто кроме админа не имеет права прикасаться - иначе будет бардак! Это как раз попытка сделать из правил документооборота и прав доступа единую малоуправляемую смесь. Неудобства Вы видите сами. Ведь ладно там отпуск - человек может быть просто на обеде, а внести изменения нужно срочно. Разумеется, это должно происходить без привлечения админов - и только лишь потом, если Люся удивится, откуда в ее документе правка, а Валя сама забудет/не признается - отчеты по аудиту покажут, кто есть ху. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 11:01 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Не забываем, что в некоторых случях сложных прав доступа в системе можно вообще не делать. Только хорошую систему аудита. А права доступа внушать административными мерами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 11:05 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
alexeyvg, Как раз когда "объектов много", ключи доступа помогают реализовать разделение доступа. Ключей - намного меньше чем объектов. Все объекты, защищенные одним ключом - легко управляются/передаются "туда/обратно". Минимально - каждый юзверь обладает двумя ключами - "моё" и "для прочих". Причем, сгенерировать/делегировать ключ может сама Валя, или Люся в части своих полномочий для своих ключей... Там есть другая "бяда" - юзверь, имеющий широкий доступ должен обладать обширной связкой ключей... но, в современных системах - тоже "не проблема" на самом деле. "Валя, я тут на 5 минут на обед сбегаю, но ты не забывай каждые полчаса отгрузки фиксить! На тебе ключик на пару часов..." :) А вот система аудита - и должна фиксить кто был терапевтом у этой правки/вставки/удаления этого объекта. Как пример, где-то уже приводил ситуевину, когда у нас оператор, у которого в подчинении были курьеры (по факту работы - формирование заданий, фиксация отчетов в системе), после "ссоры вечерком за рюмкой чая" по приходу с утреца взяла да и вынесла из системы отчетик курьера... и покудова носом не ткнули в запись аудита (не афишировалось что он есть) - не признавалась. Типа "начальство" - право-то есть, а вот аудит и должен фиксить изменения, и позволять откат "в случае чего". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 11:53 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
InkelyadНе забываем, что в некоторых случях сложных прав доступа в системе можно вообще не делать. Только хорошую систему аудита. А права доступа внушать административными мерами. Прелестно. Оператор по ошибке влезет в чужой документ, и груз поплывет не на тот континент. Зато когда приплывет, мы узнаем, кто это сделал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 12:03 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Cane Cat FisherПрелестно. Оператор по ошибке влезет в чужой документ, и груз поплывет не на тот континент. Зато когда приплывет, мы узнаем, кто это сделал. Это значит, что оператору плохо видно, что именно он редактирует. Надо интерфейс править, а не права развешивать. А то когда-нибудь законный владелец документы двух своих клиентов перепутает. Которые на разных континентах. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 12:19 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
guest_20040621> Вот в этом у меня пока логический затык Различайте штатные и персональные задачи. Спасибо, попробую подумать в таком разрезе ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 12:41 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Arhat109sp, Вы рассматриваете систему прав доступа исключительно с ролевой модели. Посмотрите в сторону мандатной системы и/или ключей доступа к данным. Например, каждый объект "защищен" своим типом ключа доступа. Дали ключ Вале - объект доступен её, отобрали, дали Люсе - фсё. Теперича тока Люся. Момсент смены ключей - фиксиируется для учетки "хто тут был терапевтом"... Ключи доступа, позволяют разуливать ситуевины на уровне отдельной записи... Где-то в инете, была хорошая диссертация на тему типов и систем прав доступа... большая часть реализована в нашей СРМ... есть автор, модератор, роли и допустимые наборы действий для ролей. Есть ключи доступа, которые могут делегироваться, в том числе и на время (отбираются по времени автоматом - ничего ваще делать не надо), есть классы прав и мандаты. Вот, вот... где б статейку почитать? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 12:42 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Cane Cat FisherПрелестно. Оператор по ошибке влезет в чужой документ, и груз поплывет не на тот континент. Найдите десять отличий от "оператор по ошибке влез в не тот свой документ и груз поплывёт не на тот континент". Вывод: к вопросу ограничения прав проблема отношения не имеет, её следует решать другими методами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 13:42 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp, ой я находил года 2 (если не больше) назад, когда пытался понять, что наш первый архитектор СРМ имел ввиду под тем или иным термином... это когда ещё принимал под своё крыло это чудо... вот не храню ссылок на найденное (никакого места не хватит)... О! попробуйте погуглить по терминам: "мандатная модель", "дискреционная модель" ... Достаточно редкие термины. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 13:59 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Arhat109sp, ой я находил года 2 (если не больше) назад, когда пытался понять, что наш первый архитектор СРМ имел ввиду под тем или иным термином... это когда ещё принимал под своё крыло это чудо... вот не храню ссылок на найденное (никакого места не хватит)... О! попробуйте погуглить по терминам: "мандатная модель", "дискреционная модель" ... Достаточно редкие термины. Нашел несколько статей, почитал, но остались вопросы: Люся создала 250 документов, владельцем которых она является - как в мандатной или другой системе передать право редактировать эети документы какому-то другому лицу (а другим - низзя!!)?? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 16:03 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
softwarerCane Cat FisherПрелестно. Оператор по ошибке влезет в чужой документ, и груз поплывет не на тот континент. Найдите десять отличий от "оператор по ошибке влез в не тот свой документ и груз поплывёт не на тот континент". Вывод: к вопросу ограничения прав проблема отношения не имеет, её следует решать другими методами. Хорошо. А как насчет "Оператор не по ошибке влезет в чужой документ"? А, скажем, чтобы навредить руководству перед увольнением? Груз уже задолбался плавать между континентами, виновника торжественно нашли через аудит, и что? Ему все равно через две недели увольняться, а взыскать с него ущерб за кругосветные океанские круизы сухогруза, свыше оклада, как мы недавно выясняли, вряд ли реально. Да, система ограничения прав не может предотвращать ошибки оператора при работе в рамках своих прав. Зато она прекрасно может предотвращать другие ошибки и злоупотребления. Так что мысль выкинуть ее, и заменить только лишь системой аудита, кажется мне несколько экстремистской. Во всяком случае, мне тяжело представить, где это было бы уместно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 19:08 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
spЛюся создала 250 документов, владельцем которых она является - как в мандатной или другой системе передать право редактировать эети документы какому-то другому лицу (а другим - низзя!!)?? Я не совсем понимаю, в чем затык. Ведь речь идет о создании собственной системы раздачи прав? Так что мешает: 1. Создать таблицу USER_PERMISSION_SUBSTITUTE (USER_ID_OWNER, USER_ID_SUBSTITUTE, DATE_FROM, DATE_TO, NOTES) 2. Сделать для начальника/админа морду к ней "Кто ушел", "Кто за него", "С какого", "По какое", "Вообще какого ..." 3. При проверке права на работу документа, рядом с AllowPermissin := IsOwner() добавить or HasSubstitutePermission() = select from USER_PERMISSION_SUBSTITUTE. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 19:20 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Cane Cat FisherЯ не совсем понимаю, в чем затык. Ведь речь идет о создании собственной системы раздачи прав? Так что мешает: 1. Создать таблицу USER_PERMISSION_SUBSTITUTE (USER_ID_OWNER, USER_ID_SUBSTITUTE, DATE_FROM, DATE_TO, NOTES) 2. Сделать для начальника/админа морду к ней "Кто ушел", "Кто за него", "С какого", "По какое", "Вообще какого ..." 3. При проверке права на работу документа, рядом с AllowPermissin := IsOwner() добавить or HasSubstitutePermission() = select from USER_PERMISSION_SUBSTITUTE. Мешает пока только нынешняя структура :) у нас ролевые игры на уровне доступа к классам документов и персонифицированный доступ на уровне экземпляров (в документах везде OwnerID) Спасибо за практический совет! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 19:37 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp, ага, проектирование прав доступа в уже существующей системе. Совсем другой коленкор :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 19:51 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
АнатоЛойsp, ага, проектирование прав доступа в уже существующей системе. Совсем другой коленкор :) в существующей дорабатываемой :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 19:54 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
sp, С конкретно мандатной системой сильно не разбирался. Но, насколько понимаю, это сильно похоже на раздачу прав в Юниксах: каждый файл имеет маску прав "автор, группа/роль и прочие" = класс доступа документа. Каждый юзверь имеет "мандат" (или группу мандатов - ролей) со своим классом доступа. Делегирование прав возможно двумя путями (как и в никсах): 1. Расширение прав документа(ов) - аналог команды chown/chmod 2. Присоединение юзверя к группе (мандату), к которой у документа(ов) есть соответствующие разрешения. В системе с ключами - писал уже. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 20:36 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Cane Cat Fisher, это всё понятно. Но ведь и в одиночку никакая система разграничения прав не спасает на 100%. Тока совместными усилиями системы доступа, системы аудита и начальственными подзатыльниками. Мир - триедин. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 20:40 |
|
||
|
Проектирование системы доступа
|
|||
|---|---|---|---|
|
#18+
Cane Cat FisherДа, система ограничения прав не может предотвращать ошибки оператора при работе в рамках своих прав. Зато она прекрасно может предотвращать другие ошибки и злоупотребления. Так что мысль выкинуть ее, и заменить только лишь системой аудита, кажется мне несколько экстремистской. Во всяком случае, мне тяжело представить, где это было бы уместно.Это уместно для небольших фирм, в которых по факту все имеют доступ. Реально я часто встречаю фирмы с системами со сложными средствами управления доступом, при этом было настроено "доступ всех ко всему", а вот аудита как раз не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.10.2012, 21:53 |
|
||
|
|
start [/forum/topic.php?all=1&fid=32&tid=1541523]: |
0ms |
get settings: |
6ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
155ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
74ms |
get tp. blocked users: |
1ms |
| others: | 203ms |
| total: | 470ms |
| 0 / 0 |
