认证与访问控制（崔永泉）访问控制第六章-RBAC模型的角色层次分析.pptVIP

* 还是来看医院的例子，这家医院除了在市区医院提供核心医疗服务外，还在两个区域诊所提供儿科和化疗服务。当需要维护牵涉病人诊治、应收账款和现金收入等本地记录时，每个诊所都要访问医院病人的病历 下图说明了提供儿科和化疗服务的诊所的角色情况 地理区域划分与角色层次之间关系分析 * * 对于很多分布式企业，每个地点或行政部门都可能有同样角色的雇员，但是每个雇员访问的资源只与其所在地的那部分有关 比如银行各个分支机构的出纳员、主管或跨银行分支的财务顾问或跨部门的秘书。对于这些角色，存在一些与特定位置有关的办公室人员可以访问的文件服务器、打印机或客户数据。如果有某个普通角色（通常是跨地域的）与特定地点有关，那这就是所谓的角色类型 地理区域划分与角色层次——角色类型 * 为了避免出纳员获得分散的、与任务无关的角色权限，一种情况是，可以为角色加上修饰词 常见的修饰词就是地名、分支机构、行政部门或区域名称，冠以这样的名称的角色只须完成指定的功能 这一机制提供了一种依据用户特征而指派给角色的许可权限的定制方法，仅用于某些角色权限的指派（因为可能存在指派给指定类型所有角色的企业级权限-通用权限） 地理区域划分与角色层次——角色类型 * 图4.9给出了三种类型的信贷员角色-东北、东南和西 根据区域修饰词，每种角色类型被唯一地指派了相应的权限。Tom和John被指派到东区信贷员角色，获得其成员资格