Чтобы использовать диспетчер авторизации для эффективного контроля доступа к ресурсам, сначала необходимо определить роли, задачи и операции.
- Роль - это набор разрешений, необходимых
пользователю для работы. Хорошо спроектированные роли соответствуют
категории работы или уровню ответственности (например, секретарь,
сотрудник отдела кадров или хранитель архива) и имеют
соответствующие имена. С помощью диспетчера авторизации можно
назначать роли пользователям, чтобы открыть им доступ для
выполнения работы.
- Задача - это набор операций и, возможно,
других задач. Хорошо спроектированная задача содержит понятные
рабочие элементы (например, «сменить пароль» или «отправить
заказ»).
- Операция - это набор разрешений, которые
связаны с процедурами безопасности системного уровня или уровня
API, такими как WriteAttributes или ReadAttributes. Операции
являются составными блоками задач.
Роли, задачи и операции можно определять только в режиме разработчика, но не в режиме администратора. Инструкции по включению режима разработчика см. в разделе Установка параметров диспетчера авторизации.
Определение ролей
Определения ролей создаются в соответствии со структурой и целями организации. Роли поддерживают наследование от других ролей.
Для определения роли необходимо указать соответствующее имя, понятное описание, а также задачи, роли и операции более низкого уровня, входящие в данную роль. Это позволяет использовать механизм наследования ролей. Например, роль «Служба поддержки» может включать в себя роль «Поддержка продукта».
Можно указать правило авторизации - сценарий VBScript или JScript. Дополнительные сведения см. на веб-сайте VBScript (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=65964) и JScript (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=65963).
Если с определением роли связано несколько правил авторизации (например, несколько субролей и задач), то правила авторизации выполняются синхронно. Порядок выполнения правил в диспетчере авторизации не влияет на авторизацию.
Определения задач
Определение задачи компактнее определения роли и может быть использовано для определения ролей и других задач.
С помощью диспетчера авторизации задачи связываются с ролями на интуитивном уровне. Например, роль «Сотрудник по найму» может содержать задачу «Собеседование».
Задачи, как и роли, определяются в соответствии с потребностями организации. Для определения задачи необходимо указать имя, описание, а также задачи и операции более низкого уровня, входящие в данную задачу. Также можно указать правило авторизации - сценарий VBScript или JScript.
Определение операций
Операции - это небольшие действия на уровне компьютера, которые используются для определения задач и обычно не имеют важного значения для администратора. Определение операций возможно только в режиме разработчика.
Определения операций можно создавать на уровне приложений, но не на уровнях хранилища данных авторизации или области.
Определение операции содержит имя, описание и номер операции. Номер операции X должен быть целым числом в диапазоне от 1 до 2 147 483 647 (то есть 1 ≤ X ≤ 2^31 - 1). Он используется приложением для идентификации операции, поэтому ввод неверного номера операции приведет к неверному предоставлению или отказу в доступе. Это, в свою очередь, может привести к нарушениям безопасности или нежелательному поведению клиентского приложения.