Авторизация
Авторизация - предоставление прав на выполнение операции/действия.
trends of authorization:
Define a data model, define data that adheres to that model, write declarative rules that consume that model, make a decision based on those rules.
Виды авторизации
- Ролевая модель. Пользователю назначается роль. На основе роли система разрешает или запрещает действия пользователя.
- Избирательная модель. Пользователю назначаются конкретные права на коткретное действие или объект системы.
- Мандатная модель. Каждому элементу системы назначается определенный уровень конфиденциальности. Пользователи получают уровень доступа, определяющий, с какими объектами они могут работать. Обычно такая модель является иерархической, то есть высокий уровень доступа включает в себя права на работу и со всеми младшими уровнями.
Authorization Concepts
Fine-Grained Authorization
Детальная авторизация (FGA) подразумевает возможность предоставления определенным пользоват�елям разрешения на выполнение определенных действий на определенных ресурсах.
Role-Based Access Control
При управлении доступом на основе ролей (RBAC) разрешения назначаются пользователям в зависимости от их роли в системе. Например, пользователю требуется роль редактора для редактирования содержимого.
Attribute-Based Access Control
При управлении доступом на основе атрибутов (ABAC) разрешения предоставляются на основе набора атрибутов, которыми обладает пользователь или ресурс. Например, пользователь, которому присвоены атрибуты "маркетинг" и "менеджер", имеет право публиковать и удалять записи, имеющие атрибут "маркетинг".
Policy-Based Access Control
Управление доступом на основе политик (PBAC) - это возможность централизованного управления политиками авторизации, которые являются внешними по отношению к коду приложения. Большинство реализаций ABAC также являются PBAC.
Relationship-Based Access Control
Управление доступом на основе взаимосвязей (ReBAC) позволяет устанавливать правила доступа пользователей в зависимости от отношений, которые данный пользователь имеет с данным объектом, и отношений этого объекта с другими объектами. Например, данный пользователь может просматривать данный документ, если у него есть доступ к родительской папке документа.
Discretionary access control
Discretionary access control (DAC) - restricting access to objects based on the identity of subjects and/or groups
Context-based access control
Context-based access control (CBAC) - is a feature of firewall software, which intelligently filters TCP and UDP packets based on application layer protocol session information.
Graph-based access control
Graph-based access control (GBAC) - is a declarative way to define access rights, task assignments, recipients and content in information systems. Access rights are granted to objects like files or documents, but also business objects such as an account.
Lattice-based access control
Lattice-based access control (LBAC) - In computer security complex access control model based on the interaction between any combination of objects (such as resources, computers, and applications) and subjects (such as individuals, groups or organizations). is used to define the levels of security that an object may have and that a subject may have access to. The subject is only allowed to access an object if the security level of the subject is greater than or equal to that of the object.
Mandatory access control
Mandatory access control (MAC) - security policy is centrally controlled by a policy administrator and is guaranteed (in principle) to be enforced for all users.
Organization-based access control (OrBAC)
Rule-set-based access control (RSBAC)
Capability-based security
eXtensible Access Control Markup Language (XACML)
XACML - an XML-based standard markup language for specifying access control policies.