РУEN

Безопасность и разграничение доступа

В ERP Монолит предусмотрен широкий набор средств, отвечающих за контроль доступа к системе. Данные средства реализованы как на системном уровне, для обеспечения безопасности работы системы на уровне контроля доступа к ресурсам системы, так и на прикладном — для разграничения доступа к прикладным объектам системы.

Таким образом, доступ к системе контролируется на следующих уровнях:

  • уровень системного доступа пользователя к серверам или ресурсам ERP Монолит;
  • возможность доступа пользователя к отдельным модулям ERP Монолит;
  • правила доступа к данным, алгоритмам работы с данными внутри подсистемы (прикладной доступ).

Уровни контроля доступа в ERP Монолит:

 

Уровни контроля доступа в ERP Монолит

 

Первым этапом контроля доступа выступает аутентификация пользователя в системе. Возможны следующие типы аутентификации:

  • аутентификация в Active Directory;
  • аутентификация в Active Directory с имперсонализацией (текущая учетная запись пользователя может не совпадать с учетной записью для доступа к ERP Монолит);
  • аутентификация сервером авторизации ERP Монолит (основное назначение — регистрация удаленных пользователей, отсутствует необходимость наличия пользователя в Active Directory);

Второй этап — контроль доступа к ресурсам ERP Монолит (серверам и сервисам системы), осуществляемый встроенными средствами MS SQL Server.

Затем — аутентификация пользователя в одном из прикладных функциональных модулей ERP Монолит. И только в случае успешного прохождения этой стадии пользователю предоставляется доступ к рабочим местам модулей ERP Монолит в соответствии с назначенными правами пользователя.

После выполнения авторизации на системном уровне, в рамках каждого функционального модуля определяется, к каким прикладным объектам (таким, как классификаторы и документы) или данным пользователь имеет доступ, и какие операции над этими объектами он может выполнять. На прикладном уровне права доступа определяются в трех независимых разрезах:

  • разграничение доступа к функциям системы определяется с помощью подсистемы рабочих мест;
  • разграничение доступа к данным определяется посредством ограничения доступа к элементам справочников системы, которые в свою очередь являются атрибутами этих данных;
  • индивидуальный доступ к объектам системы определяется с помощью специальных настроек отдельно для каждой прикладной области.

На всех уровнях ведутся журналы доступа и выполнения операций над объектами системы. Также протоколируются все изменения настроек и изменения предоставляемых пользователям прав.

При настройке доступа права даются группам пользователей, которые могут быть проассоциированы с ролями пользователей в системе. Набор групп формирует «пространство ролей$raquo; и может быть определен с любой степенью детализации. В сложных случаях права доступа пользователя могут вычисляться на основании данных о его вхождении его в несколько групп пользователей.

Схема назначения доступа к функциям системы:

 

Схема назначения доступа к функциям системы