Члены административных ролей могут изменять некоторые диапазоны ролей в иерархии ролей. Такие диапазоны называются диапазонами полномочий.
Определение 10. Любой диапазон, упомянутый в отношении can-modify – диапазон полномочий.
Чтобы гарантировать, что административные полномочия по диапазонам полномочий не накладываются, введем следующее ограничение.
Определение 11. В RRA97 диапазоны полномочий не являются частично перекрываемыми.
Обратите внимание, что административная роль может иметь больше одного диапазона полномочий. В таблице 1 показано, что DSO имеет полномочия по диапазону (ED, DIR). На рисунке 1 диапазон полномочий (ED, DIR) имеет два младших диапазона полномочий (E1, PL1) и (E2, PL2). Так как эти младшие диапазоны полностью содержатся в пределах диапазона полномочий для DSO, DSO имеет полномочия по этим младшим диапазонам. Другими словами DSO унаследовал полномочия по диапазонам (E1, PL1) и (E2, PL2).
Наша модель позволяет административной роли иметь полномочия по более, чем одному несравнимому диапазону полномочий. Таблица 1 показывает, что PSO1 имеет полномочия по более, чем двум несравнимым диапазонам полномочий, а именно по (E1, PL1) и (E2, PL2).
Снова обратимся к рисунку 3. Мы отметили, что или DSO нельзя разрешить создавать роли X или Y в иерархии ролей, или PSO1 нельзя позволить сделать PE1 младшей для QE1. В последнем случае автономия PSO1, по управлению его диапазоном полномочий, нарушается действиями DSO'S. Децентрализация полномочий и автономия требует, чтобы все входящие и исходящие грани из диапазона полномочий были только направлены к конечным точкам и от конечных точек диапазона полномочий.
Рис. 5 Вложенный диапазон (x, y)
Рис. 6 Не-вложенный диапазон Range (x, y)
Определение 12. Диапазон (x, y) называется вложенным, если "r1 Î (x; y) Ù "r2 Ï (x; y) при этом r2 > r1 Û r2 > y и r2 < r1 Û r2 < x.
Вложенный диапазон – тот, в котором все роли имеют идентичное отношение к ролям вне диапазона. В RRA97 вложенный диапазон является подходящим для автономного управления отношения роль-роль в пределах диапазона. Все диапазоны полномочий в RRA97 должны быть вложенными. Рисунки 5 и 6 соответственно примеры скрытого и не-скрытого диапазона (x, y).
Рис. 7 диапазона создания
Создание роли
Создание роли требует указания для новой роли непосредственного родителя и ребенка. Если непосредственный родитель и ребенок - конечные точки диапазона полномочий, не возникает никаких трудностей. Таким образом, PSO1 может создавать новую роль с родительским PL1 и дочерним PE1. Однако, если вмешается DSO может возникнуть неприятная ситуация, как на рисунке 3. Для предотвращения этого введем следующие понятия.
Определение 13. Непосредственный диапазон полномочий роли r, записывается как ARimmediate(r) – это такой диапазон полномочий (x, y), что rÎ (x; y) и для всех диапазонов полномочий (x', y') младших (x, y) у нас r Ï (x’, y’).
Определение 14. Диапазон (x, y) – диапазон создания, если ARimmediate(x) = ARimmediate(y) или x конечная точка ARimmediate(y) или y конечная точка ARimmediate(x).
Заметьте, что только сравнимые роли составляют диапазон создания.
Рассмотрим рисунок 6. Пусть (B, A) и (x, y) – диапазоны полномочий и (x', y') – не диапазон полномочий. Диапазоны, отмеченные пунктирной линией - (r3, A), (x, A) и (B, y) – диапазоны создания. Однако (r1, A) или (r2, A) не удовлетворяют условию и поэтому – не являются диапазонами создания.
В RRA97 мы требуем, чтобы непосредственные родитель и ребенок новой роли были диапазоном создания в иерархии до создания новой роли.
Роли могут быть созданы вне диапазонов полномочий или без родителя или ребенка только главным офицером охраны. В целом, главный офицер охраны может делать произвольные модификации.
Удаление роли
Удаление ролей в иерархии - сложный процесс. Мы предполагаем, что роль в диапазоне полномочий может быть удалена администратором этого диапазона. Не имеет значение, как эта роль там оказалась.
ARBAC97 определяет некоторые разрешающих отношений типа: can-assign, can-revoke и can-modify. Если роли, указанные как конечные точки диапазонов ролей этих отношений удалены, мы оставим повисшие связи на несуществующие роли. Диапазоны с этими удаленными конечными точками станут бессмысленными. Избежание этой проблемы RRA97 обеспечивают две альтернативы.
1. Роли, участвующие в отношениях can-assign, can-revoke and can-modify, не могут быть удалены. Это необходимо, чтобы сохранить целостность диапазона.
2. Роли, отнесенные выше к 1, могут быть дезактивированными всякий раз, когда это необходимо, чтобы удалить их. Преимущество дезактивации ролей состоит в избежании ссылок на несуществующие роли и в то же самое время достигается цели удаления.
Роль, называют дезактивированной, если пользователь, соотнесенный с ней, не может активировать ее. Грани к дезактивированной роли и от дезактивированной роли, связанные с ней разрешения и пользователей остаются неизменными. В то время как пользователь назначен на дезактивированную роль, разрешения, связанные с этой ролью все еще наследуется старшими ролями. Таким образом, иерархия не изменяется, но в то же время частично получен результат удаления.
В RRA97 возможны обе из вышеупомянутых альтернатив. Регулярные пользователи не могут вызывать дезактивированные роли, но администраторы могут удалять пользователей и разрешения из этих ролей. Эти роли могут быть сделаны пустыми, но не могут быть удалены из иерархии, пока ссылки, предотвращающие стирание не откорректированы. Другие роли в иерархии ролей могут быть удалены.
В случае удаления роли мы должны сохранить разрешения и пользователей, назначенных на роль. RRA97 обеспечивает обе альтернативы удаления ролей.
Рис. 8 До удаления грани идущей из SQE1 к JQE1
Рис. 9 После удаления грани
1. Роли могут быть удалены, если они пустые.
2. Удаляйте роль, но в то же самое время заботьтесь о назначенных разрешениях и связанных с ней пользователях следующим образом: назначьте разрешения на непосредственные старшие роли, и назначите пользователей на непосредственные младшие роли.
Добавление грани
Теперь позвольте нам объяснять, как модель имеет дело с добавлением граней в отношения роль к роли. Вставка транзитивных граней не имеет никакого эффекта, так что мы только рассматриваем грани, вставленные между несравнимыми ролями. Когда грань вставлена, мы должны гарантировать, что диапазон полномочий не нарушен. Имеются следующие правила.
· Роли, между которыми грань вставлена, должны иметь один и тот же непосредственный диапазон полномочий, или
· если новая грань соединяет роль из одного диапазона полномочия с ролью вне диапазона вложенности, диапазон полномочий не должен быть нарушен.
Например, на рисунке 6 предполагается, что грани (y, r3) и (r3, x) - первоначально не существуют, и что (x, y) и. (B, A) - диапазоны полномочий. Вставка грани (y, r3) не вызывает проблем. Однако при существовании этой грани, вставка грани (r3, x) нарушает диапазона полномочий (x, y), следовательно - это запрещено. Так же, в присутствии (r3, x) - вставка грани (y, r3) была бы запрещена. Исходя из этого, дадим следующее определение добавления грани.
Определение 15. Новая грань AB может быть вставлена между несравнимыми ролями A и B
· если ARimmediate(A) =ARimmediate(B) или
o если (x, y) диапазон полномочий такой, что (A = y Ù B > x) V (B = x Ù A < y), тогда добавление AB должно сохранить вложенность (x, y).
Удаление грани
Удаление транзитивных граней не изменяет иерархию, так что их удаление бессмысленно. В RRA97 мы рассматриваем только те грани, которые находятся на транзитивном приведении иерархии. Например, на рисунке 8 удаление грани от SQE1 к JQE1 изменит иерархию. Удаление грани применяется к единственной грани и не переносится на подразумеваемые транзитивные грани. Как отмечено в общих правилах для удаления грани, RRA97 сохраняет неповрежденные транзитивные грани после удаления. Например, удаление грани от SQE1 к JQE1 делает SQE1 и JQE1 несравнимыми, но SQE1 продолжает быть старшим для E1, и JQE1 младшим для PL1, рисунок 9.
Есть один частный случай, который нужно рассмотреть. Если удаляемая грань - между конечными точками диапазона полномочий, удаление грани разрушит диапазон полномочий и вызовет несогласованность в модели. Следовательно, эта операция запрещена.