Kiến trúc bảo mật: Hệ thống hai mức độ phân quyền truy cập
Bitrix site manager thực hiện một hệ thống hai mức của sự phân quyền truy cập.
Mức 1: truy cập các tệp tin và danh mục
Mức 2: truy cập các module và các hoạt động logic của chúng.
Mức 1: truy cập đến tất cả các tệp tin và danh mục có thể được chuyển đổi bởi Site Explorer->Explorer. Nó đủ quyền để chọn một hay nhiều danh mục hay tệp tin và nhấn Access(truy cập) để xác định nhóm người dùng được phép truy cập đến các tài liệu đó.
Các tệp tin hay các đường dẫn con kế thừa sự cho phép truy cập được gán tới các danh mục cha( parent). Ví dụ, đủ quyền để gán quyền chỉ cho phép đọc tới các đối tác/thư mục để nhóm người dùng là đối tác hủy bỏ sự cho phép truy cập đọc từ mỗi thành viên trong nhóm người dùng. Do đó các khách hàng thông thường có thể truy cập các thư mục và họ sẽ được yêu cầu để ủy quyền.
Nếu một người dùng bị giới hạn nhiều hơn một nhóm, người dùng đó sẽ được gán quyền cho phép truy cập tối đa giữa các nhóm.
Nếu sự cấp phép không được chỉ định rõ ràng tới các tệp tin hay thư mục hiện thời, thì sẽ lấy các đường dẫn cha.
Mức 2: cung cấp sự phân quyền truy cập tới các module và các hoạt động logic của chúng. Các trang công bố tĩnh được gán mức truy cập đầu tiên chỉ tới các tệp tin hay thư mục.
Nếu người dùng được gán quyền cho phép ít nhất là sự cho phép đọc tới một tệp tin và nếu tệp tin được đưa ra có các chức năng API. Mức truy cập thứ 2 được kiểm tra, được gán trong cài đặt của module tương ứng.
Ví dụ:
Khi duyệt các thẻ Trouble trong trang hỗ trợ kỹ thuật, người quản trị sẽ được phép duyệt tất cả các thẻ, trong khi đó các thành viên hỗ trợ kỹ thuật chỉ được phép duyệt phần mà những thành viên đó phụ trách. Những người dùng thông thường chỉ có quyền xem những thẻ của họ. Sự cho phép này vận hành theo cách thức logic của module hỗ trợ kỹ thuật.
Có hai chiến lược của sự phân quyền truy cập mức hai:
- Các quyền cho phép.
- Các vai trò.
Sự khác nhau như sau: nếu một người dùng có nhiều hơn một quyền cho phép, người dùng đó được gán quyền truy cập tối đa, nhưng nếu người dùng được gán nhiều hơn một vai trò, những vai trò của người dùng đó được tổng kết.
Các vai trò hiên tại được hỗ trợ bởi hai module: module hỗ trợ kỹ thuật và module quảng cáo. Toàn bộ các module khác sử dụng các quyền cho phép.
Ví dụ:
Các quyền cho phép: nếu bạn thuộc các nhóm trong logic của module thống kê bạn sẽ được gán “toàn quyền”, ví dụ như duyệt các thống kê không có các chỉ số tài chính. Bạn được gán quyền truy cập tối đa là “toàn quyền”.
Các vai trò: nếu bạn thuộc các nhóm trong logic của module hỗ trợ kỹ thuật, ban được gán các vai trò là khách hàng của hỗ trợ kỹ thuật và truy cập demo( truy cập minh họa). bạn sẽ nắm được chức năng của hai vai trò đó cùng một lúc. Đó là bạn có thể xem được tất cả các thẻ trong loại truy cập demo, cũng thời điểm đó bạn có thể tạo các thẻ cho riêng bạn như là một khách hàng hỗ trợ kỹ thuật
| Chăm sóc khách hàng | ||
 | ||
| Kinh doanh & Đối tác | ||
| | ||
 | |
 | |
 | |
 | |
 |
