Translate

RBAC с доменами

Определение роли с владельцами доменов

Роли RBAC в Касбине могут быть глобальными или специфичными для домена. Домен-указывать роли означают, что роли для пользователя могут отличаться в том случае, когда пользователь находится в разных доменах/арендаторах. Это очень полезно для больших систем, таких как облако, так как пользователи обычно находятся в разных арендаторах.

Определение роли с доменами/арендаторами должно быть следующим:

[role_definition]
г = _, _, _

Третий _ означает, что имя домена/арендатора эта часть не должна быть изменена. Тогда политика может быть:

p, admin, tenant1, data1, read
p, admin, tenant2, data2, read

g, alice, admin, tenant1
g, alice, user, tenant2

Это означает, роли администратора в арендатор1 могут читать данных1. И alice имеет роль администратора в арендатор1, и имеет роль в арендатор2. Поэтому она может прочитать данные1. Однако, поскольку alice не является администратором в tenant2, она не может прочитать данные2.

Затем в матче, вы должны проверить роль, как показано ниже:

[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

Пожалуйста, ознакомьтесь с примерами rbac_with_domains_model.conf.

RBAC with PatternCasbin RBAC v.s. RBAC96