ГОСТ Р ИСО/ТС 22600-2-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 2. Формальные модели

     4.6 Модель авторизации - назначение ролей и полномочий

Авторизация, проверка свидетельств и полномочий выполняются путем связывания ролей с политиками.

Роли представляют собой средство косвенного назначения полномочий отдельным лицам. Лицам выдаются сертификаты назначения роли, у которых в атрибутах роли указаны одна или несколько ролей. Полномочия назначаются не лицам, а ролям, для чего используются сертификаты спецификации роли. Такое косвенное назначение полномочий позволяет изменять полномочия, назначенные данной роли, не затрагивая сертификаты, назначающие роли отдельным лицам. Сертификаты назначения ролей могут быть сертификатами атрибутов или сертификатами открытого ключа. Сертификаты спецификации ролей не могут быть сертификатами открытого ключа, но должны быть сертификатами атрибутов. Если сертификаты спецификации ролей не используются, то назначение полномочий роли может быть выполнено другими средствами (например, может быть локально сконфигурировано контролером полномочий).

Возможны все следующие сценарии:

- любое число ролей может быть задано уполномоченным лицом по атрибутам (УЛА);

- сама роль и члены роли могут задаваться и администрироваться отдельно, разными УЛА; при этом подразумевается, что роли могут быть локальными в рамках зоны, например на уровне организации, региона или страны;

- членство в роли, как и любое другое полномочие, может делегироваться;

- роли и членству в роли может быть назначен любой требуемый срок действия.

Если сертификат назначения роли является сертификатом атрибута, то атрибут "role" содержится в компоненте "attributes" сертификата атрибута. Если сертификат назначения роли является сертификатом открытого ключа, то атрибут "role" содержится в расширении "subjectDirectoryAttributes". В последнем случае любые дополнительные полномочия, содержащиеся в сертификате открытого ключа, являются полномочиями, непосредственно назначаемыми держателю сертификата. Таким образом, заявитель полномочий может предъявить контролеру полномочий сертификат назначения роли, подтверждающий, что ему назначена данная роль (например, "менеджер" или "покупатель"). Контролер полномочий может знать заранее или установить каким-либо способом, какие полномочия связаны с заявленной ролью, и, соответственно, принять, отклонить или модифицировать запрос на предоставление полномочий. Информацию о полномочиях, назначенных для роли, можно взять из сертификата спецификации роли.

Контролер полномочий должен знать о полномочиях, назначенных роли. Назначение полномочий роли может осуществляться внутри инфраструктуры управления полномочиями (ИУП) посредством сертификата спецификации роли или вне ИУП (например, конфигурируемое локально). Для варианта заявления полномочий в сертификате спецификации роли в настоящем стандарте определены механизмы, позволяющие связать данный сертификат с релевантным сертификатом назначения роли заявителя полномочий. Издатель сертификата назначения роли может отличаться от издателя сертификата спецификации роли, который выдает приписывающий роль сертификат, и эти сертификаты администрируются (например, создаются, заканчиваются, отзываются) совершенно отдельно. Один и тот же сертификат (сертификат атрибута или сертификат открытого ключа) может содержать сертификат назначения роли, а также прямое назначение лицу других полномочий. Однако сертификат спецификации роли должен быть отдельным сертификатом.

Примечание - Использование ролей в системе авторизации может усложнить процесс обработки пути, поскольку такая функциональность существенным образом задает другой путь делегирования, которому надо следовать. Путь делегирования для сертификата назначения роли может быть связан с разными УЛА и может не зависеть от УЛА, выдавшего сертификат спецификации роли.

Общая модель управления полномочиями описывает три сущности: объект, заявителя полномочий и контролера полномочий. Запрос на предоставление полномочий может быть авторизован, отклонен или модифицирован.