trabajador - tipos de roles en un grupo de trabajo

Aunque existe una diferencia semántica entre Roles y Grupos (como se describió anteriormente con otras respuestas), técnicamente los Roles y Grupos parecen ser los mismos. Nada le impide asignar Permisos directamente a Usuarios y Grupos (esto puede considerarse como un control de acceso fino). De forma equivalente, cuando al usuario se le asigna un rol, se lo puede considerar un miembro de la función, en el mismo sentido en que el usuario se convierte en miembro de un grupo.

Así que podemos terminar sin diferencia real entre Roles y Grupos. Ambos pueden considerarse para agrupar Usuarios Y / O Permisos. Por lo tanto, la diferencia es solo semántica: si se usa semánticamente para agrupar Permisos, entonces es un Rol; si se usa semánticamente para agrupar Usuarios, entonces es un Grupo Técnicamente, no hay diferencia.

El propósito de los Grupos y Roles varía en las aplicaciones, pero principalmente lo que entiendo es lo siguiente, los Grupos (conjunto de usuarios) son estáticos, mientras que los Roles (conjunto de permisos) son dinámicos con políticas, por ejemplo, basados ​​en el tiempo de (9 a 6) a grupo o usuario puede tener este rol pero no eso.

Google es tu amigo :)

De todos modos, la división entre el rol y el grupo proviene de los conceptos de seguridad informática (en oposición a simplemente la administración de recursos). El Prof. Ravi Sandhu proporciona una cobertura seminal de la diferencia semántica entre roles y grupos.

http://profsandhu.com/workshop/role-group.pdf

Un grupo es una colección de usuarios con un conjunto determinado de permisos asignados al grupo (y transitoriamente, a los usuarios). Un rol es una colección de permisos, y un usuario hereda esos permisos cuando actúa bajo ese rol.

Normalmente, su membresía grupal permanece durante la duración de su inicio de sesión. Un rol, por otro lado, se puede activar de acuerdo a condiciones específicas. Si su función actual es "personal médico", es posible que pueda ver algunos de los registros médicos de un paciente determinado. Sin embargo, si su función es también "médico", es posible que pueda ver información médica adicional más allá de lo que puede ver una persona con el solo papel de "personal médico".

Los roles se pueden activar por hora del día, ubicación de acceso. Los roles también se pueden mejorar / asociar con atributos. Es posible que esté operando como "médico", pero si no tiene un atributo o relación de "médico primario" conmigo (un usuario con el rol de "paciente"), entonces no puede ver todo mi historial médico.

Podrías hacer todo eso con los grupos, pero de nuevo, los grupos tienden a enfocarse en la identidad, no en el rol o la actividad. Y el tipo de aspectos de seguridad que acabamos de describir tiende a alinearse mejor con el anterior que con el anterior.

En muchos casos, para el uso de clasificar cosas juntas (y nada más), los grupos y los roles funcionan de la misma manera. Los grupos, sin embargo, se basan en la identidad, mientras que los roles están destinados a demarcar la actividad. Desafortunadamente, los sistemas operativos tienden a difuminar la distinción, tratando los roles como grupos.

Ve una distinción mucho más clara con roles de aplicaciones o de nivel de sistema: aplicaciones de aplicaciones o semántica específica del sistema (como en los roles de Oracle ), en oposición a los ''roles'' implementados en el nivel del sistema operativo (que generalmente son sinónimos de grupos).

Puede haber limitaciones para los roles y los modelos de control de acceso basados ​​en roles (como con cualquier cosa por supuesto):

http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx

Hace aproximadamente una década, vi algunas investigaciones sobre el control de acceso basado en atributos y relaciones que proporcionan una granularidad mucho mejor que el control de acceso basado en roles. Desafortunadamente, no he visto mucha actividad en ese reino en años.

La diferencia más importante entre roles y grupos es que los roles suelen implementar un mecanismo de control de acceso obligatorio (MAC). No puedes asignarte (ni a otros) roles. Un administrador de roles o un ingeniero de roles lo hace.

Esto es superficialmente similar a los grupos de UNIX donde un usuario puede / puede ser capaz de asignarse a un grupo (a través de sudo, por supuesto). Cuando los grupos se asignan de acuerdo con un proceso de ingeniería de seguridad, la distinción se difumina un poco, sin embargo.

Otra característica importante es que los modelos reales de RBAC pueden proporcionar el concepto de roles mutuamente excluyentes. Por el contrario, los grupos basados ​​en identidad son aditivos; la identidad de un director es la suma (o conjunción) de los grupos.

Otra característica de un verdadero modelo de seguridad basado en RBAC es que los elementos creados para un rol particular generalmente no pueden ser accedidos transitoriamente por alguien que no actúa bajo ese rol.

Por otro lado, bajo un modelo de control de acceso discrecional (DAC) (el modelo predeterminado en Unix), no puede obtener ese tipo de garantía solo con grupos. Por cierto, esto no es una limitación de los grupos o Unix, sino una limitación de los modelos DAC basados ​​en la identidad (y transitoriamente, con grupos basados ​​en la identidad).

Espero eso ayude.

=======================

Añadiendo un poco más después de ver la respuesta bien preparada de Simon. Los roles lo ayudan a administrar los permisos. Los grupos lo ayudan a administrar objetos y temas. Además, uno podría pensar en roles como ''contextos''. Una función ''X'' puede describir un contexto de seguridad que gobierna cómo el sujeto Y accede (o no accede) al objeto Z.

Otra distinción importante (o ideal) es que hay un ingeniero de roles, una persona que diseña los roles, los contextos, que son necesarios y / o evidentes en una aplicación, sistema o sistema operativo. Un ingeniero de roles típicamente es (pero no tiene que serlo) también un administrador de roles (o administrador de sistemas). Además, el verdadero papel (sin juego de palabras) de un ingeniero de roles se encuentra en el ámbito de la ingeniería de seguridad, no de la administración.

Este es un grupo novedoso formalizado por RBAC (incluso si rara vez se usa), uno que típicamente no ha estado presente con los sistemas con capacidad grupal.

Las respuestas anteriores son maravillosas. Como se dijo, el concepto de Grupo vs. Rol es más conceptual que técnico. Hemos tomado la posición de que los grupos se usan para contener usuarios (un usuario puede estar en más de un grupo; es decir, Joe está en el grupo Administradores y en el grupo TI [es gerente en TI]) y para asignar amplios privilegios (es decir, nuestro sistema de tarjeta magnética permite a todos los usuarios del grupo de TI acceder a la sala del servidor). Los roles se usaban ahora para agregar privilegios a usuarios específicos (es decir, las personas en el grupo de TI pueden RDP a servidores pero no pueden asignar usuarios ni cambiar permisos, las personas en el grupo de TI con la función de administrador pueden asignar usuarios y cambiar permisos). Los roles también pueden estar compuestos por otros roles (Joe tiene la función de administrador para agregar usuarios / privilegios y también tiene el rol de DBA para hacer cambios en la base de datos del DBMS en el servidor). Los roles también pueden ser muy específicos ya que podemos crear Roles de usuario individuales (es decir, JoesRole) que pueden ser muy específicos para un usuario. Por lo tanto, para recapitular, utilizamos Grupos para administrar usuarios y asignar funciones y Roles generales para administrar privilegios. Esto también es acumulativo. El Grupo en el que se encuentra el usuario puede tener Roles asignados (o una lista de Roles disponibles) que otorgarán privilegios muy generales (es decir, los usuarios del grupo TI tienen el rol ServerRDP que les permite iniciar sesión en los servidores) para que se asignen al usuario. A continuación, se agregarán las Roles a las que pertenezca el usuario en el orden en que se definieron, con el último Rol que tiene la última palabra (Roles pueden Permitir, Denegar o no aplicar privilegios de modo que cada Rol se aplique o anule las configuraciones anteriores para un privilegio o no cambiarlo). Una vez que se han aplicado todas las Roles de nivel de grupo y Roles de nivel de usuario, se crea un modelo de seguridad distinto para el usuario que se puede usar en todos nuestros sistemas para determinar el acceso y las capacidades.

NOTA: las siguientes divagaciones solo tienen sentido si se trata de imponer seguridad dentro de una organización, es decir, tratando de limitar el acceso a la información ...

Los grupos son empíricos: responden a la pregunta de "qué". Son el "es" en el sentido de que reflejan la realidad de acceso existente. A las personas de TI les encantan los grupos, son muy literales y fáciles de definir. Eventualmente, todos los controles de acceso se transfieren (como todos aprendimos en la escuela secundaria) a la pregunta "¿A qué grupo perteneces?"

Los roles, sin embargo, son más normativos: guían lo que "debería ser". Los buenos gerentes y los "roles" amorosos de RR. HH. No responden, se preguntan "¿por qué?" Desafortunadamente, los roles también pueden ser imprecisos y esa "falta de claridad" puede volver locas a las personas.

Para usar el ejemplo médico anterior, si el rol del "médico de atención primaria" tiene más derechos (es decir, acceso a más grupos) que el rol de un "técnico de rayos X", esto se debe a que las personas (gerentes y RRHH) decidieron por qué necesario que suceda En ese sentido, son "la sabiduría colectiva" de una organización.

Digamos que un médico tiene acceso (membresía a un grupo con acceso) a los registros financieros de los pacientes. Esto normalmente está fuera del "rol" de un médico y debe debatirse. Por lo tanto, nadie (sin importar cuán calificado sea) debería tener acceso completo a todos los grupos: invita a abusos al poder. Esta es la razón por la cual la "ingeniería de roles" es tan importante; sin ella, solo tienes acceso grupal como mucho caramelo. Las personas recolectarán (y algunas veces acumularán) acceso grupal sin discusión sobre los peligros de tener demasiado poder.

Para concluir, la sabiduría de los roles bien definidos ayuda a moderar los peligros del acceso grupal desbocado. Cualquier persona en una organización puede argumentar a favor de acceder a un grupo en particular. Pero una vez que se proporciona ese acceso, rara vez se abandona. La ingeniería de roles (junto con las mejores prácticas como descripciones de grupos bien definidas y administradores de acceso de grupo habilitados) pueden limitar los conflictos de interés dentro de una organización, descentralizar la toma de decisiones y ayudar a hacer que la administración de seguridad sea más racional.

Un grupo es un medio para organizar a los usuarios, mientras que un rol suele ser un medio para organizar los derechos.

Esto puede ser útil de varias maneras. Por ejemplo, un conjunto de permisos agrupados en un rol podría asignarse a un conjunto de grupos o a un conjunto de usuarios independientemente de su grupo.

Por ejemplo, un CMS puede tener algunos permisos como Leer publicación, Crear publicación, Editar publicación. Una función de Editor podría ser Lectura y Edición, pero no crear (¡no sé por qué!). Una publicación podría ser capaz de Crear y Leer, etc. Un grupo de gerentes podría tener la función de editor, mientras que un usuario de TI, que no está en el grupo de gerentes, también podría tener la función de editor, aunque el resto de sus integrantes grupo no.

Entonces, si bien en un sistema simple, los grupos y roles a menudo están estrechamente alineados, este no es siempre el caso.

Los usuarios son asignados a Roles basados ​​en la responsabilidad que juegan en cualquier sistema. Por ejemplo, los usuarios del rol Sales Manager pueden realizar determinadas acciones, como proporcionar descuentos adicionales para un producto.

Los grupos se usan para "agrupar" usuarios o roles en un sistema para una administración fácil de la seguridad. Por ejemplo, un grupo llamado "Grupo de Liderazgo" puede tener sus miembros de roles Gerentes, Directores y Arquitectos y usuarios individuales que también están fuera de estos roles. Ahora debería poder asignar ciertos privilegios a este grupo.

Puede asignar un rol al grupo. Puede asignar usuario a grupo y puede asignar rol a usuario individual en cualquier usuario de rol. Sentido. Jean Doe puede estar en Group of SalesDeptartment con una función fuera de ReportWritter que permite imprimir nuestros informes desde SharePoint, pero en el grupo SalesDepartment, otros pueden no tener el rol de ReportWritter. - En otras palabras, los roles son privilegios especiales dentro de los grupos asignados. Espero que esto haga cualquier escena.

¡¡¡Aclamaciones!!!

Un "grupo" es una colección de usuarios. Un "rol" es una colección de permisos. Eso significa que cuando el grupo alfa incluye el grupo beta , alfa recibe todos los usuarios de beta y beta recibe todos los permisos de alfa. Por el contrario, se podría decir que el rol beta incluye el rol alfa y se aplicarían las mismas conclusiones.

Un ejemplo concreto hace las cosas más claras. Considere la posibilidad de "atención al cliente" y "atención al cliente senior". Si piensa en esas colecciones como grupos, entonces está claro que los usuarios de soporte al cliente "incluyen" a los usuarios principales de soporte al cliente. Sin embargo, si los considera roles, entonces está claro que los permisos de soporte al cliente senior "incluyen" permisos de soporte al cliente.

En teoría, simplemente podría tener un tipo de colección. Sin embargo, sería ambiguo si dijera que "colección alfa incluye colección beta" . En ese caso, no puede decir si los usuarios en alfa están en beta (como un rol) o si los usuarios en beta están en alfa (como un grupo). Para que la terminología como "incluye" y los elementos visuales como las vistas de árbol no sean ambiguos, la mayoría de los sistemas de rbac requieren que se especifique si la colección en cuestión es un "grupo" o un "rol" al menos para fines de discusión.

Algunas analogías pueden ayudar. Enmarcado en términos de teoría de conjuntos , cuando el grupo alfa es un subconjunto del grupo beta, los permisos alfa son un superconjunto de permisos beta. En comparación con la genealogía , si los grupos son como un árbol de descendientes, los roles son como un árbol de antepasados.