El control de acceso basado en gráficos ( GBAC ) es una forma declarativa de definir derechos de acceso , asignaciones de tareas, destinatarios y contenido en los sistemas de información. Los derechos de acceso se otorgan a objetos como archivos o documentos, pero también a objetos comerciales como una cuenta. También se puede utilizar para la asignación de agentes a tareas en entornos de flujo de trabajo. Las organizaciones se modelan como un tipo específico de gráfico semántico que comprende las unidades organizativas, los roles y funciones, así como los agentes humanos y automáticos (por ejemplo, personas, máquinas). En comparación con otros enfoques como el control de acceso basado en roles o el control de acceso basado en atributos, la principal diferencia es que en GBAC los derechos de acceso se definen utilizando un lenguaje de consulta organizacional en lugar de una enumeración total.
Historia
Los fundamentos de GBAC se remontan a un proyecto de investigación denominado CoCoSOrg (Sistema de cooperación configurable) [ [1] ] (en inglés, consulte [2] ) en la Universidad de Bamberg. En CoCoSOrg, una organización se representa como un gráfico semántico y se utiliza un lenguaje formal para especificar los agentes y sus derechos de acceso en un entorno de flujo de trabajo. Dentro del C-Org-Project en el Instituto de Sistemas de Información de la Universidad de Hof ( iisys ), el enfoque se amplió con características como separación de funciones, control de acceso en organizaciones virtuales [3] y control de acceso orientado al sujeto. [4]
Definición
El control de acceso basado en gráficos consta de dos bloques de construcción:
- Un gráfico semántico que modela una organización.
- Un lenguaje de consulta.
Gráfico organizacional
El gráfico organizativo se divide en un tipo y un nivel de instancia. A nivel de instancia, existen tipos de nodos para unidades organizativas, unidades funcionales y agentes. La estructura básica de una organización se define utilizando las llamadas "relaciones estructurales". Definen el "es parte de" - las relaciones entre las unidades funcionales y las unidades organizativas, así como el mapeo de los agentes a las unidades funcionales. Además, existen tipos de relación específicos como "diputado" o "informado por". El modelador puede ampliar estos tipos. Todas las relaciones pueden ser sensibles al contexto mediante el uso de predicados.
A nivel de tipo, las estructuras organizativas se describen de manera más general. Consiste en tipos de unidades organizativas, tipos de unidades funcionales y los mismos tipos de relaciones que en el nivel de instancia. Las definiciones de tipo se pueden utilizar para crear nuevas instancias o reutilizar el conocimiento de la organización en caso de excepciones (para más información, consulte [1] [2] ).
Lenguaje de consulta
En GBAC se utiliza un lenguaje de consulta para definir agentes que tienen ciertas características o habilidades. La siguiente tabla muestra el uso del lenguaje de consulta en el contexto de una matriz de control de acceso.
La primera consulta significa que todos los gerentes que trabajan para la empresa durante más de seis meses pueden leer el informe financiero, así como los gerentes que están clasificados por la bandera "ReadFinancialReport".
El informe financiero diario solo puede ser escrito por el gerente del departamento de control o los empleados del departamento que estén habilitados para hacerlo (WriteFinancialReport == TRUE).
Objeto de datos | Leer | Escribir |
---|---|---|
Informe financiero diario | Manager (*). (Now () - HiringYear> 0.5) O Manager.ReadFinancialReport == TRUE | Gerente (Control) O Empleado (Control) .WriteFinancialReport == TRUE |
Implementación
GBAC se implementó por primera vez en el entorno CoCoS dentro del servidor organizacional CoCoSOrg. [1] En el C-Org-Project se amplió con características más sofisticadas como separación de tareas o control de acceso en entornos distribuidos. También hay una implementación basada en la nube [5] en la plataforma Bluemix [6] de IBM .
En todas las implementaciones, el servidor toma una consulta de un sistema cliente y la resuelve en un conjunto de agentes. Este conjunto se envía de vuelta al cliente que llama como respuesta. Los clientes pueden ser sistemas de archivos, sistemas de administración de bases de datos, sistemas de administración de flujo de trabajo, sistemas de seguridad física o incluso servidores telefónicos.
Ver también
- Lista de control de acceso
- Control de acceso basado en atributos (ABAC)
- Seguridad basada en capacidad
- Control de acceso basado en contexto (CBAC)
- Control de acceso discrecional (DAC)
- Control de acceso basado en celosía (LBAC)
- Autenticación basada en la ubicación
- Control de acceso obligatorio (MAC)
- Control de acceso basado en organización (OrBAC)
- Autenticación basada en riesgos
- Control de acceso basado en roles (RBAC)
- Control de acceso basado en reglas (RSBAC)
Referencias
- ↑ a b c Schaller, Thomas (1998). Organisationsverwaltung in CSCW-Systemen - Disertación . Bamberg: Universidad de Bamberg.
- ^ a b Lawall, Schaller, Reichelt (2014). Arquitectura empresarial: un formalismo para modelar estructuras organizativas en sistemas de información . Thessaloniki: Modelado y simulación empresarial y organizacional: X Taller Internacional CAiSE2014.CS1 maint: varios nombres: lista de autores ( enlace )
- ^ Lawall, Schaller, Reichelt (2014). "Relaciones restringidas entre organizaciones para procesos transversales". 16ª Conferencia del IEEE sobre Informática Empresarial (CBI), Ginebra : 74–80.CS1 maint: varios nombres: lista de autores ( enlace )
- ^ Lawall, Schaller, Reichelt (2015). S-BPM en estado salvaje: gestión de roles y derechos (1 ed.). Berlín: Springer. págs. 171-186. ISBN 978-3-319-17541-6.CS1 maint: varios nombres: lista de autores ( enlace )
- ^ Lawall, Schaller, Reichelt (2015). Gestión de recursos y autorización para servicios en la nube . Actas de la 7ª Conferencia Internacional sobre Gestión de Procesos Empresariales Orientados a Temas, ACM. págs. 18: 1–18: 8.CS1 maint: varios nombres: lista de autores ( enlace )
- ^ Bluemix