许可 概要¶
intra-mart Accel Platform将对于用户进行权限判断处理的部分分割出来作为许可机构,可基于统一的概念统一进行用户权限管理。
访问权模式¶
在此,对intra-mart Accel Platform中的访问权模式进行说明。
intra-mart Accel Platform中把“谁”“动作对象”“动作”这样的逻辑记述作为权限设定信息来进行许可或禁止管理。
据此,可如下例表现用户的权限。
例1 例2 谁 管理员身份的用户 营业部的职员 动作对象 菜单管理功能 营业日报 做什么 使用(执行) 参照/登记 许可/禁止 许可 许可
谁(Subject)¶
表示“谁”的信息被称为Subject。(许可管理画面上显示为“对象者”。)intra-mart Accel Platform中,表示“谁”的信息有多种。例如,在安装了IM共通主表的状态下,有下述种类。
- 来宾用户/已认证用户(认证状态)
- 身份
- 公司组织
- 职位
- 公共组别
- 职责
动作对象 (Resource)¶
表示“动作对象”的信息被称为资源。资源是用户进行某个操作的对象,由开发者或开发者生成的应用程序添加到系统中。例如,intra-mart Accel Platform中,路由器定义的URL是最基本的资源。管理某个页面的用户访问权时,由管理员来设定许可还是禁止访问此URL。
做什么 (Action)¶
表示“做什么”的信息被称为动作。 动作是用户对资源进行的操作。根据资源不同进行的动作也不同。例如,对于路由器定义的URL类型的资源,可使用的动作只有执行(execute)。管理菜单时生成菜单组别资源,此时定义了管理(admin)、参照(read)两种动作。
许可机构的构造¶
与基于上述模式进行的权限管理相应,intra-mart Accel Platform 的许可机构由下述3部分构成
- 管理许可设定信息(访问权设定)的管理员
- 要求对系统上的资源进行操作的用户
- 基于管理员准备的设定对该要求的许可/禁止进行许可判定的许可机构
。
管理许可设定信息(访问权设定)的功能¶
对于系统中存在的资源,许可管理员要做的是对什么样的Subject赋予什么样的权限来进行设定。
进行许可要求的功能¶
对系统进行访问的用户的功能。用户访问系统并进行各种各样的操作,此时会根据管理员的设定来检查其操作是否被许可,并限制其操作。
实际上,在用户要进行某种操作时,应用程序会向许可机构确认是否许可该用户进行的操作,并根据确认结果继续操作或中断操作。并非许可机构直接禁止用户的操作,而是想使用许可机构的应用程序代替用户提出许可要求,并根据其结果改变接下来的动作。
进行许可判定的功能¶
对于用户进行的操作及其操作对象,参照管理员设定的许可设定信息并判断是否许可该操作。执行这些功能的就是intra-mart Accel Platform 中的许可机构。