Подпишитесь на EveryTag в Telegram!
Подпишитесь на EveryTag в Telegram!
 
 

Разграничение прав доступа к объектам и системные роли в файлообменнике EveryTag VDR

Теперь в EveryTag VDR реализована эффективная модель разграничения прав между администраторами и пользователями программного продукта, позволяющая гибко распределять доступ к определенным функциям виртуальной комнаты данных и к её содержимому.
В качестве основного инструмента для управления учетными записями пользователей и настройки различных методов аутентификации, используется Keycloak. В нем заблаговременно создается отдельная область (realm), в которой происходит назначение системных ролей. Они применяются на необходимые учетные записи, которые могут быть созданы локально или же импортированы из внешнего LDAP каталога.

В EveryTag VDR присутствует возможность редактировать все имеющиеся шаблоны ACL и гибким образом распределять права на те, или иные действия. Так, например, может быть отредактирован шаблон распространяемый на пользователей с ролью «Гость», а в качестве дополнительных возможностей предоставлены права на загрузку и получение копий документов. Аналогичным образом можно запрещать выполнение конкретных действий в том случае, когда это требуется. Например, отдельному участнику ограничить доступ к определенной папке в рабочей области. При этом все запрещающие права будут превалировать над разрешающими.
Возможности EveryTtag VDR по разграничению прав доступа:
1. Независимое назначение системных ролей на учетные записи пользователей.

2. Назначение системных ролей на сотрудников различных отделов, которые должны выполнять различные функции, при этом не иметь доступа к определенному функционалу VDR.

3. Выделенная роль офицера безопасности, которая позволяет проводить экспертизы, но при этом ограничивает доступ ко всему содержимому виртуальной комнаты данных.

4. На уровне пользовательских шаблонов (ACL), гибкое распределение прав между всеми участниками рабочих областей.

5. Возможность распределения пользователей по группам в LDAP, с последующим применением на них необходимых пользовательских шаблонов. Применимо в случае импорта пользователей из внешнего каталога.

Возможности Everytag VDR по разграничению прав доступа:
1. Независимое назначение системных ролей на учетные записи пользователей.

2. Назначение системных ролей на сотрудников различных отделов, которые должны выполнять различные функции, при этом не иметь доступа к определенному функционалу VDR.

3. Выделенная роль офицера безопасности, которая позволяет проводить экспертизы, но при этом ограничивает доступ ко всему содержимому виртуальной комнаты данных.

4. На уровне пользовательских шаблонов (ACL), гибкое распределение прав между всеми участниками рабочих областей.

5. Возможность распределения пользователей по группам в LDAP, с последующим применением на них необходимых пользовательских шаблонов. Применимо в случае импорта пользователей из внешнего каталога.

Рассмотрим системные роли по отдельности:

Участник. Любой участник виртуальной комнаты данных со стандартным набором прав внутри системы.

Пользователь. Пользователь с расширенным набором прав, который позволяет создавать рабочие области в рамках EveryTag VDR.

Администратор рабочих областей. Помимо возможности создания рабочих областей, данная роль позволяет администрировать все рабочие области, созданные пользователями внутри виртуальной комнаты.

Эксперт. Данная роль открывает пользователю доступ к модулю «Экспертиза», в котором происходит определение источника утечки по найденным фрагментам документов
Рассмотрим системные роли по отдельности:

Участник. Любой участник виртуальной комнаты данных со стандартным набором прав внутри системы.

Пользователь. Пользователь с расширенным набором прав, который позволяет создавать рабочие области в рамках EveryTag VDR.

Администратор рабочих областей. Помимо возможности создания рабочих областей, данная роль позволяет администрировать все рабочие области, созданные пользователями внутри виртуальной комнаты.

Эксперт. Данная роль открывает пользователю доступ к модулю «Экспертиза», в котором происходит определение источника утечки по найденным фрагментам документов
Каждая отдельная системная роль не зависит от другой, т. е. на одну учетную запись пользователя может быть назначена выборочно одна роль, либо все вместе. Это позволяет заблаговременно определить сотрудников, которые будут иметь стандартный набор прав в системе, а кто сможет администрировать её.
Частный сценарий использования на практике:
Назначение роли «Investigator» на учетные записи сотрудников информационной безопасности, а роли администратора рабочих областей — на сотрудников IT или коммерческого блока.
Шаблоны пользователей на основе глобального списка управления доступом — Access Control List (ACL)
На всех пользователей в EveryTag VDR, независимо от их системных ролей, рассмотренных ранее, также распространяются шаблоны с набором прав, которые применяются сразу, как только пользователь становится участником любой рабочей области. По умолчанию данные шаблоны имеют три типа пользовательских ролей:

Гость. Пользователь рабочий области, имеющий права только на просмотр и скачивание документов.

Участник. Пользователь, имеющий стандартный набор прав, включая: возможность загрузки/скачивания файлов и документов, а также отправки документов на печать.

Совладелец. Пользователь с расширенным набором прав, которые позволяют также управлять доступом ко всем объектам (папки/файлы/документы) и редактировать их.

Владелец. Создатель рабочей области, который имеет полный набор прав, включая: создание копий документов, удаление различных объектов, а также применение опции наследования прав, если необходимо их распространять на все дочерние объекты.

Шаблоны пользователей на основе глобального списка управления доступом — Access Control List (ACL)
На всех пользователей в EveryTag VDR, независимо от их системных ролей, рассмотренных ранее, также распространяются шаблоны с набором прав, которые применяются сразу, как только пользователь становится участником любой рабочей области. По умолчанию данные шаблоны имеют три типа пользовательских ролей:

Гость. Пользователь рабочий области, имеющий права только на просмотр и скачивание документов.

Участник. Пользователь, имеющий стандартный набор прав, включая: возможность загрузки/скачивания файлов и документов, а также отправки документов на печать.

Совладелец. Пользователь с расширенным набором прав, которые позволяют также управлять доступом ко всем объектам (папки/файлы/документы) и редактировать их.

Владелец. Создатель рабочей области, который имеет полный набор прав, включая: создание копий документов, удаление различных объектов, а также применение опции наследования прав, если необходимо их распространять на все дочерние объекты.

07/ 12/ 2022
Другие новости