Nhóm và vai trò (Có sự khác biệt thực sự nào không?)

Bất cứ ai có thể cho tôi biết, sự khác biệt thực sự giữa nhóm và vai trò là gì? Tôi đã cố gắng tìm ra điều này từ lâu rồi và càng đọc nhiều thông tin, tôi càng có cảm giác rằng điều này được đưa ra chỉ để gây nhầm lẫn cho mọi người và không có sự khác biệt thực sự. Cả hai đều có thể làm công việc của người kia. Tôi luôn sử dụng một nhóm để quản lý người dùng và quyền truy cập của họ.

Gần đây, tôi bắt gặp một phần mềm quản trị, nơi có rất nhiều người dùng. Mỗi người dùng có thể được gán một mô-đun (toàn bộ hệ thống được chia thành một vài phần gọi là mô-đun tức là. Phân hệ quản trị, phân hệ Khảo sát, phân hệ Đơn đặt hàng, phân hệ Khách hàng). Trên hết, mỗi mô-đun có một danh sách các chức năng, có thể được phép hoặc từ chối cho mỗi người dùng. Vì vậy, giả sử một người dùng John Smith có thể truy cập Đơn đặt hàng mô-đun và có thể chỉnh sửa bất kỳ đơn đặt hàng nào, nhưng không được cấp quyền xóa bất kỳ đơn đặt hàng nào.

Nếu có nhiều người dùng hơn với cùng năng lực, tôi sẽ sử dụng một nhóm để quản lý điều đó. Tôi sẽ tập hợp những người dùng đó vào cùng một nhóm và gán quyền truy cập vào các mô-đun và chức năng của họ cho nhóm. Tất cả người dùng trong cùng một nhóm sẽ có quyền truy cập như nhau.

Tại sao gọi nó là một nhóm mà không phải vai trò? Tôi không biết, tôi chỉ cảm thấy nó như vậy. Đối với tôi dường như đơn giản là điều đó không thực sự quan trọng:] Nhưng tôi vẫn muốn biết sự khác biệt thực sự.

Bất kỳ đề xuất tại sao điều này nên được gọi là vai trò hơn là nhóm hoặc theo cách khác?

Google là bạn của bạn :)

Dù sao đi nữa, sự phân chia giữa vai trò và nhóm xuất phát từ các khái niệm về bảo mật máy tính (trái ngược với chỉ đơn giản là quản lý tài nguyên). Giáo sư Ravi Sandhu cung cấp một phạm vi bao quát cụ thể về sự khác biệt ngữ nghĩa giữa vai trò và nhóm.

http://profsandhu.com/workshop/role-group.pdf

Nhóm là một tập hợp người dùng với một tập hợp các quyền nhất định được chỉ định cho nhóm (và tạm thời, cho người dùng). Vai trò là một tập hợp các quyền và người dùng kế thừa các quyền đó một cách hiệu quả khi anh ta hành động dưới vai trò đó.

Thông thường, tư cách thành viên nhóm của bạn vẫn còn trong suốt thời gian bạn đăng nhập. Mặt khác, một vai trò có thể được kích hoạt tùy theo các điều kiện cụ thể. Nếu vai trò hiện tại của bạn là 'nhân viên y tế', bạn có thể xem một số hồ sơ y tế của một bệnh nhân nhất định. Tuy nhiên, nếu vai trò của bạn cũng là 'bác sĩ', bạn có thể xem thêm thông tin y tế ngoài những gì một người chỉ có vai trò 'nhân viên y tế' có thể nhìn thấy.

Các vai trò có thể được kích hoạt theo thời gian trong ngày, vị trí truy cập. Vai trò cũng có thể được nâng cao / liên kết với các thuộc tính. Bạn có thể hoạt động với tư cách là 'bác sĩ', nhưng nếu bạn không có thuộc tính hoặc mối quan hệ 'bác sĩ chính' với tôi (người dùng có vai trò 'bệnh nhân'), thì bạn không thể xem toàn bộ tiền sử bệnh của tôi.

Bạn có thể làm tất cả điều đó với các nhóm, nhưng một lần nữa, các nhóm có xu hướng tập trung vào bản sắc chứ không phải vai trò hoặc hoạt động. Và loại khía cạnh bảo mật vừa được mô tả có xu hướng tự điều chỉnh tốt hơn với cái sau hơn là cái trước.

Trong nhiều trường hợp, đối với việc sử dụng phân loại mọi thứ cùng nhau (và không có gì khác), các nhóm và vai trò hoạt động giống nhau. Tuy nhiên, các nhóm dựa trên danh tính, trong khi vai trò được dùng để phân định hoạt động. Thật không may, các hệ điều hành có xu hướng làm mờ sự khác biệt, coi các vai trò như các nhóm.

Bạn sẽ thấy sự phân biệt rõ ràng hơn nhiều với các vai trò cấp ứng dụng hoặc cấp hệ thống - mang ứng dụng hoặc ngữ nghĩa hệ thống cụ thể (như trong các vai trò của Oracle ) - trái ngược với 'vai trò' được thực hiện ở cấp hệ điều hành (thường đồng nghĩa với nhóm.)

Có thể có những hạn chế đối với các vai trò và mô hình kiểm soát truy cập dựa trên vai trò (tất nhiên là như với bất kỳ điều gì):

http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx

Khoảng một thập kỷ trước, tôi đã thấy một số nghiên cứu về kiểm soát truy cập dựa trên thuộc tính và dựa trên mối quan hệ cung cấp mức độ chi tiết tốt hơn nhiều so với kiểm soát truy cập dựa trên vai trò. Thật không may, tôi đã không thấy nhiều hoạt động trên lĩnh vực đó trong nhiều năm.

Sự khác biệt quan trọng nhất giữa vai trò và nhóm là các vai trò thường thực hiện cơ chế kiểm soát truy cập bắt buộc (MAC). Bạn không thể chỉ định mình (hoặc người khác) vào các vai trò. Quản trị viên vai trò hoặc kỹ sư vai trò thực hiện điều đó.

Điều này bề ngoài tương tự như các nhóm UNIX trong đó người dùng có thể / có thể tự gán mình vào một nhóm (tất nhiên là thông qua sudo.) Khi các nhóm được chỉ định theo quy trình kỹ thuật bảo mật, tuy nhiên, sự khác biệt sẽ bị mờ đi một chút.

Một đặc điểm quan trọng khác là các mô hình RBAC thực sự có thể cung cấp khái niệm về các vai trò loại trừ lẫn nhau. Ngược lại, các nhóm dựa trên danh tính là cộng - danh tính của hiệu trưởng là tổng (hoặc kết hợp) của các nhóm.

Một đặc điểm khác của mô hình bảo mật dựa trên true-RBAC là các phần tử được tạo cho một vai trò cụ thể thường không thể được truy cập chuyển tiếp bởi một người không hoạt động theo vai trò đó.

Mặt khác, theo mô hình kiểm soát truy cập tùy ý (DAC) (mô hình mặc định trong Unix), bạn không thể nhận được loại bảo đảm đó chỉ với các nhóm. BTW, đây không phải là giới hạn của các nhóm hoặc Unix, mà là giới hạn của các mô hình DAC dựa trên danh tính (và tạm thời, với các nhóm dựa trên danh tính.)

Hy vọng nó giúp.

=======================

Thêm một số nữa sau khi thấy phản hồi tốt của Simon. Vai trò giúp bạn quản lý quyền. Nhóm giúp bạn quản lý các đối tượng và chủ thể. Hơn nữa, người ta có thể coi các vai trò là 'bối cảnh'. Vai trò 'X' có thể mô tả bối cảnh bảo mật quy định cách chủ thể Y truy cập (hoặc không truy cập) đối tượng Z.

Một sự khác biệt quan trọng khác (hoặc lý tưởng) là có một kỹ sư vai trò, một người kỹ sư các vai trò, bối cảnh, cần thiết và / hoặc hiển nhiên trong một ứng dụng, hệ thống hoặc hệ điều hành. Một kỹ sư vai trò thường (nhưng không nhất thiết phải là) cũng là một quản trị viên vai trò (hoặc sysadmin). Hơn nữa, vai trò thực sự (không có ý định chơi chữ) của một kỹ sư vai trò là trong lĩnh vực kỹ thuật an ninh, không phải quản trị.

Đây là một nhóm mới được RBAC chính thức hóa (ngay cả khi nó hiếm khi được sử dụng), một nhóm thường không có trong các hệ thống hỗ trợ nhóm.

Nhóm là phương tiện tổ chức người dùng, trong khi vai trò thường là phương tiện tổ chức quyền.

Điều này có thể hữu ích theo một số cách. Ví dụ: một tập hợp các quyền được nhóm thành một vai trò có thể được chỉ định cho một nhóm nhóm hoặc một tập hợp người dùng độc lập với nhóm của họ.

Ví dụ: CMS có thể có một số quyền như Đọc bài đăng, Tạo bài đăng, Chỉnh sửa bài đăng. Vai trò Biên tập viên có thể Đọc và Chỉnh sửa, nhưng không thể tạo (không biết tại sao!). Một bài đăng có thể có khả năng Tạo và Đọc, v.v. Một nhóm người quản lý có thể có vai trò biên tập viên, trong khi một người dùng trong CNTT, không thuộc nhóm người quản lý, cũng có thể có vai trò biên tập viên, mặc dù những người còn lại nhóm không.

Vì vậy, mặc dù trong một hệ thống đơn giản, các nhóm và vai trò thường liên kết chặt chẽ với nhau, nhưng điều này không phải lúc nào cũng đúng.

Mặc dù có sự khác biệt về ngữ nghĩa giữa Vai trò và Nhóm (như được mô tả ở trên bởi các câu trả lời khác), về mặt kỹ thuật, Vai trò và Nhóm dường như giống nhau. Không có gì ngăn cản bạn chỉ định Quyền trực tiếp cho Người dùng và Nhóm (đây có thể được coi là điều khiển truy cập tinh chỉnh). Tương tự, khi Người dùng được chỉ định một Vai trò, nó có thể được coi là một Thành viên vai trò, theo nghĩa tương tự khi người dùng trở thành Thành viên của Nhóm.

Vì vậy, chúng ta có thể không có sự khác biệt thực sự giữa Vai trò và Nhóm. Cả hai đều có thể được xem xét để phân nhóm Quyền VÀ / HOẶC Người dùng. Vì vậy, sự khác biệt chỉ là ngữ nghĩa: - nếu nó được sử dụng về mặt ngữ nghĩa để nhóm các Quyền, thì nó là Vai trò; - nếu nó được sử dụng về mặt ngữ nghĩa để nhóm Người dùng, thì nó là Nhóm. Về mặt kỹ thuật, không có sự khác biệt.

Một "nhóm" là một tập hợp những người dùng. "Vai trò" là một tập hợp các quyền. Điều đó có nghĩa là khi alpha nhóm bao gồm beta nhóm , alpha nhận tất cả người dùng từ beta và beta nhận tất cả các quyền từ alpha. Ngược lại, bạn có thể nói role beta bao gồm role alpha và các kết luận tương tự sẽ được áp dụng.

Một ví dụ cụ thể giúp mọi thứ rõ ràng hơn. Xem xét "hỗ trợ khách hàng" và "hỗ trợ khách hàng cấp cao". Nếu bạn coi các bộ sưu tập đó là các nhóm, thì rõ ràng người dùng hỗ trợ khách hàng "bao gồm" người dùng hỗ trợ khách hàng cao cấp. Tuy nhiên, nếu bạn xem chúng dưới dạng vai trò, thì rõ ràng quyền hỗ trợ khách hàng cấp cao "bao gồm" quyền hỗ trợ khách hàng.

Về lý thuyết, bạn chỉ có thể có một loại tập hợp. Tuy nhiên, sẽ là mơ hồ nếu bạn nói rằng "bộ sưu tập alpha bao gồm bản beta bộ sưu tập" . Trong trường hợp đó, bạn không thể biết liệu người dùng trong giai đoạn alpha đang ở giai đoạn beta (như một vai trò) hay người dùng trong bản beta đang ở giai đoạn alpha (như một nhóm). Để làm cho các thuật ngữ như "bao gồm" và các yếu tố trực quan như chế độ xem dạng cây trở nên rõ ràng, hầu hết các hệ thống rbac yêu cầu bạn chỉ định xem bộ sưu tập đang được đề cập là "nhóm" hay "vai trò" ít nhất là để thảo luận.

Một số phép loại suy có thể hữu ích. Được đóng khung về mặt lý thuyết tập hợp , khi nhóm alpha là một tập con của nhóm beta, thì quyền alpha là một tập hợp cấp quyền beta. So với phả hệ , nếu các nhóm giống như một cây của con cháu, thì các vai trò giống như một cây của tổ tiên.

LƯU Ý - những lời lan man sau đây chỉ có ý nghĩa nếu một người đang cố gắng áp đặt bảo mật trong một tổ chức - nghĩa là cố gắng hạn chế quyền truy cập thông tin ...

Các nhóm theo kinh nghiệm - họ trả lời câu hỏi "cái gì". Chúng là "là" theo nghĩa chúng phản ánh thực tế hiện có của truy cập. Dân IT yêu thích nhóm - chúng rất dễ hiểu và dễ định nghĩa. Cuối cùng, tất cả các quyền kiểm soát truy cập cuối cùng dành cho (như tất cả chúng ta đã học hồi cấp hai ...) để trả lời câu hỏi "Bạn thuộc nhóm nào?"

Các vai trò, tuy nhiên, mang tính quy chuẩn hơn - chúng hướng dẫn những gì "nên là". Các nhà quản lý giỏi và nhân sự yêu thích "vai trò" - họ không trả lời - họ đặt câu hỏi "Tại sao?" Thật không may, các vai trò cũng có thể mơ hồ và "sự mờ nhạt" có thể khiến mọi người (IT) phát điên.

Để sử dụng ví dụ y tế trên, nếu vai trò của "bác sĩ chăm sóc chính" có nhiều quyền (tức là tiếp cận với nhóm hơn) so với vai trò của một "kỹ thuật viên X-quang", đây là bởi vì mọi người (cán bộ quản lý và nhân sự) đã quyết định lý do tại sao mà cần thiết để xảy ra. Theo nghĩa đó họ là “trí tuệ tập thể” của một tổ chức.

Giả sử một bác sĩ được cấp quyền truy cập (thành viên của nhóm có quyền truy cập) vào hồ sơ tài chính của bệnh nhân. Điều này bình thường nằm ngoài "vai trò" của một bác sĩ và cần được tranh luận. Vì vậy, không ai (cho dù có trình độ như thế nào) được có toàn quyền truy cập vào tất cả các nhóm - điều đó dẫn đến những kẻ lạm quyền. Đây là lý do tại sao "kỹ thuật vai trò" lại quan trọng đến vậy - không có nó, bạn chỉ có quyền truy cập nhóm được phân phát như rất nhiều kẹo. Mọi người sẽ thu thập (và đôi khi cả đám) quyền truy cập nhóm mà không cần thảo luận về sự nguy hiểm của quá nhiều quyền lực.

Để kết luận, sự khôn ngoan của các vai trò được xác định rõ ràng giúp kiểm soát các mối nguy hiểm khi truy cập nhóm bỏ trốn. Bất kỳ ai trong một tổ chức đều có thể tranh cãi để có quyền truy cập vào một nhóm cụ thể. Nhưng một khi quyền truy cập đó được cung cấp, nó hiếm khi bị từ bỏ. Kỹ thuật vai trò (cùng với các phương pháp hay nhất như mô tả nhóm được xác định rõ ràng và người quản lý quyền truy cập nhóm được trao quyền) có thể hạn chế xung đột lợi ích trong tổ chức, phân quyền ra quyết định và giúp quản lý bảo mật hợp lý hơn.

Các câu trả lời trước đều tuyệt vời. Như đã nói, khái niệm Nhóm vs Vai trò mang tính khái niệm hơn là kỹ thuật. Chúng tôi đã đưa ra quan điểm rằng Nhóm được sử dụng để chứa người dùng (một người dùng có thể thuộc nhiều nhóm: tức là Joe thuộc nhóm Người quản lý cũng như nhóm CNTT [anh ấy là người quản lý trong lĩnh vực CNTT]) và để chỉ định các đặc quyền rộng rãi (tức là hệ thống thẻ mag của chúng tôi cho phép tất cả người dùng trong nhóm CNTT truy cập vào phòng máy chủ). Các vai trò được sử dụng để thêm đặc quyền cho những người dùng cụ thể (nghĩa là những người trong nhóm CNTT có thể RDP đến máy chủ nhưng không thể chỉ định người dùng hoặc thay đổi quyền, những người trong nhóm CNTT có vai trò Quản trị viên có thể chỉ định người dùng và thay đổi quyền). Các vai trò cũng có thể được tạo thành từ các vai trò khác (Joe có vai trò Quản trị viên để thêm người dùng / đặc quyền và cũng có vai trò DBA để thực hiện các thay đổi cơ sở dữ liệu đối với DBMS trên máy chủ). Các vai trò cũng có thể rất cụ thể ở chỗ chúng ta có thể tạo ra các Vai trò người dùng cá nhân (tức là JoesRole) có thể rất cụ thể cho một người dùng. Vì vậy, để tóm tắt lại, chúng tôi sử dụng Groups để quản lý người dùng và chỉ định các Vai trò và Vai trò chung để quản lý các đặc quyền. Điều này cũng là tích lũy. Nhóm mà người dùng đang tham gia có thể được gán các Vai trò (hoặc danh sách các Vai trò có sẵn) sẽ cung cấp các đặc quyền rất chung (nghĩa là người dùng nhóm CNTT có vai trò ServerRDP cho phép họ đăng nhập vào máy chủ) để được gán cho người dùng. Sau đó, bất kỳ Vai trò nào mà người dùng thuộc về sẽ được thêm vào theo thứ tự chúng được xác định với Vai trò cuối cùng có tiếng nói cuối cùng (Vai trò có thể Cho phép, Từ chối hoặc không áp dụng đặc quyền để khi mỗi Vai trò được áp dụng, nó sẽ ghi đè cài đặt trước đó để có đặc quyền hoặc không thay đổi nó). Khi tất cả các Vai trò cấp nhóm và Vai trò cấp người dùng đã được áp dụng,

Người dùng được gán cho các Vai trò dựa trên trách nhiệm mà họ đóng trong bất kỳ hệ thống nào. Ví dụ: người dùng trong vai trò Giám đốc bán hàng có thể thực hiện các hành động nhất định như cung cấp chiết khấu bổ sung cho một sản phẩm.

Nhóm được sử dụng để 'nhóm' người dùng hoặc vai trò trong hệ thống để dễ dàng quản lý bảo mật. Ví dụ: một nhóm có tên "Nhóm lãnh đạo" có thể có các thành viên từ các vai trò Người quản lý, Giám đốc & Kiến trúc sư và cả những người dùng cá nhân không thuộc các vai trò này. Bây giờ bạn sẽ có thể chỉ định một số đặc quyền cho nhóm này.

Mục đích của Nhóm và Vai trò khác nhau trong các ứng dụng, nhưng chủ yếu những gì tôi hiểu là sau đây, Nhóm (tập hợp người dùng) là tĩnh trong khi Vai trò (tập hợp quyền) là động với các chính sách, ví dụ: dựa trên thời gian từ (9 đến 6) a nhóm hoặc người dùng có thể có vai trò này nhưng không phải vậy.

Bạn có thể chỉ định một vai trò cho nhóm. Bạn có thể chỉ định người dùng vào nhóm và bạn có thể chỉ định vai trò cho từng người dùng trong bất kỳ vai trò người dùng nào. Ý nghĩa. Jean Doe có thể ở trong Nhóm của Bộ phận Bán hàng với vai trò không có ReportWritter, cho phép in các báo cáo của chúng tôi từ SharePoint, nhưng trong nhóm Bộ phận Bán hàng, những người khác có thể không có vai trò của Người viết Báo cáo. - Nói cách khác, vai trò là đặc quyền đặc biệt đối với các nhóm được chỉ định. Hy vọng điều này làm cho bất kỳ cảnh.

Chúc mừng !!!