Развитая система разграничения прав

В Tengri реализована развитая система разграничения прав доступа.

Поддерживаемые принципы

В Tengri поддержаны принципы DAC и RBAC.

DAC: Избирательное управление доступом: у каждого объекта есть владелец, который может предоставить права доступа (привилегии) на данный объект другим пользователям.
RBAC: Управление доступом на основе ролей: права доступа (привилегии) приписаны ролям, которые, в свою очередь, приписаны пользователям.

Ключевые концепты системы разграничения прав

Защищаемый объект

Сущность, к которой может быть предоставлен доступ (привилегии). Если доступ к данному защищаемому объекту не разрешен, он будет запрещен.

Роль

Сущность, которой могут быть предоставлены права доступа (привилегии). Роли могут назначаться пользователям или другим ролям. Назначение роли другой роли создает иерархию ролей.

Привилегия

Определенный уровень доступа к объекту. Назначаются пользователям или ролям. Привилегии, назначенные ролям или пользователям, позволяют получить доступ к объектам, подлежащим защите. Могут быть отозваны у ролей или пользователей.

Для управления детализацией предоставляемого доступа может одновременно использоваться несколько различных привилегий.

Пользователь

Идентификатор, связанный с человеком или службой. Пользователь является объектом, которому могут быть предоставлены привилегии.

Подробности о работе с системой разграничения прав можно узнать в разделах: