Autenticação e controle de permissão baseado em perfis e users

This message was edited 1 time. Last update was at 27/12/2007 08:43:46

Taz wrote:Sei, vc é a favor que seja "proprietário", mas tb pode "usar LDAP + JAAS". Muito bem!!

Defina:

- responsabilidades;

- visões;

- posicionamenteos organizacionais.

O LDAP é apenas para guardar a senha e criar um ponto unico de acesso para autenticação.
O JAAS é para usar de maneira corporativa (JEE) a autenticação e a autorização sobre os usuários.
Responsabilidades é vc implementar o paradigma de "responsabilidade sobre pesssoas" em uma linguagem computacional. Ou seja, é vc implementar que um usuário tem responsabilidades por varios usuários, por um grupo de usuários e outros usuários são responsaveis por ele. Com isso vc pode atribuir os perfis de responsabilidade, explicando mais uma vez, se vc é responsavel por fulano e fulano tem os papeis A, B e C, vc tb tem tais papeis caso esteja espelhado como fulano.
Visões é quando vc dá acesso a um determinado campo, por exemplo, a um usuário. Imagine que vc está desenvolvendo um sistema de vendas e não deseja que ninguem, a não ser os diretores, vejam o valor do preço de compra dos produtos. Se vc implementa visões no seu ACM (Access Control Manager) vc consegue fazer isso.
Já posicionamento organizacional é bem parecido com responsabilidades, só que para a execução de workflows... quem pode aprovar tal ordem de compra?! Para isso vc precisa os responsaveis pelo usuário que gerou a ordem, correto?!? Ainda falta uma informação: quem são os usuários responsaveis pelo fulano que tem alçada de aprovação para um determinado valor de ordem de compra?!? Entendeu?

E sobre o proprietário, se vc conhece alguma solução de LDAP que me dê isso tudo eu paro de vender minha ferramenta de RBAC agora.... que ai sim acabaram os meus argumentos...

Saiba mais sobre RBAC.

GUJ Ranger Membro desde: 02/06/2005 16:28:38 Mensagens: 939 Offline

rodrigoallemand wrote:

O LDAP é apenas para guardar a senha e criar um ponto unico de acesso para autenticação.

Não, LDAP provê funcionalidades muito além de "ponto unico de acesso para autenticação".

rodrigoallemand wrote:

Responsabilidades é vc implementar o paradigma de "responsabilidade sobre pesssoas" em uma linguagem computacional. Ou seja, é vc implementar que um usuário tem responsabilidades por varios usuários, por um grupo de usuários e outros usuários são responsaveis por ele. Com isso vc pode atribuir os perfis de responsabilidade, explicando mais uma vez, se vc é responsavel por fulano e fulano tem os papeis A, B e C, vc tb tem tais papeis caso esteja espelhado como fulano.

Dá pra fazer com roles e, portanto, com JAAS.

rodrigoallemand wrote:

Visões é quando vc dá acesso a um determinado campo, por exemplo, a um usuário. Imagine que vc está desenvolvendo um sistema de vendas e não deseja que ninguem, a não ser os diretores, vejam o valor do preço de compra dos produtos. Se vc implementa visões no seu ACM (Access Control Manager) vc consegue fazer isso.

Dá pra fazer por segurança declarativa (anotações ou xml) nos serviços e é um mecanismo perfeitamente extensível, conforme proposto pela Java EE.

rodrigoallemand wrote:

Já posicionamento organizacional é bem parecido com responsabilidades, só que para a execução de workflows... quem pode aprovar tal ordem de compra?! Para isso vc precisa os responsaveis pelo usuário que gerou a ordem, correto?!? Ainda falta uma informação: quem são os usuários responsaveis pelo fulano que tem alçada de aprovação para um determinado valor de ordem de compra?!? Entendeu?

Aqui estamos falando de workflow. Ferramentas de workflow da BEA, IBM, JBoss, etc, etc, integram perfeitamente com repositórios (poderia até ser um LDAP!!!) que contêm informações sobre alçadas.

rodrigoallemand wrote:

E sobre o proprietário, se vc conhece alguma solução de LDAP que me dê isso tudo eu paro de vender minha ferramenta de RBAC agora.... que ai sim acabaram os meus argumentos...

LDAP não dá mesmo, quem dá tudo isso pra vc é JAAS e Java EE.

This message was edited 1 time. Last update was at 28/12/2007 09:01:37

Taz wrote:
Não, LDAP provê funcionalidades muito além de "ponto unico de acesso para autenticação".

Obvio!!! Na minha resposta eu só estou explicando o que eu uso e pra que eu uso!

Taz wrote:
Dá pra fazer com roles e, portanto, com JAAS.

Não entendo a fundo de JAAS, mas tem certeza que vc consegue fazer com que grupos e pessoas sejam criados sem necessidade de restart da aplicação, pessoas ficam responsaveis por pessoas, pessoas ficam responsaveis por grupo, grupos "especializam" grupos, pessoas tem perfil direto e indireto (via uma especialização ou via grupo) e tudo isso de maneira que vc não precise programar nada nas suas classes (qualquer que seja ela, controller, dominio, etc)?!? Sem contar a negação explicita, quando vc quer forçar que, independente da arvore de responasbilidade de um usuário, caso ele esteja escrito em um papel especifico, ele não terá acesso a um determinado recurso? Ou até mesmo os acessos cruzados, quando uma pessoa tem acesso a um recurso virtual, que na verdade só serve para definir acesso a um outro recurso (por exemplo, vc tem acesso a cadastrar pessoa, mas existe o cadastro rápido e o completo; qual eu devo chamar)? Caso sim, preciso estudar melhor JAAS...

Taz wrote:
Dá pra fazer por segurança declarativa (anotações ou xml) nos serviços e é um mecanismo perfeitamente extensível, conforme proposto pela Java EE.

Hum... então quer dizer que eu posso fazer um método que retorne a lista de funcionários completinha, e faça uma página que liste todos eles na tela... ai, de acordo com o meu perfil, eu vejo ou não o salári da pessoa? Ou melhor, eu vejo os salários dos funcionários sob minha responsabilidade enquanto os outros aparecem "asteriscados"!?!? Claro, sem necessidade de IF no seu código... E o circuit-broker da empresa? o JAAS consegue ver se o circuit-broker está legal e liberar a aplicação?!? E SingleSignOn juntamente com o RACF?!?

Taz wrote:
Aqui estamos falando de workflow. Ferramentas de workflow da BEA, IBM, JBoss, etc, etc, integram perfeitamente com repositórios (poderia até ser um LDAP!!!) que contêm informações sobre alçadas.

Ok, eu disse que seria um workflow... mas pra que separar coisas que são parecidas? Se um controle de acesso controla toda a autenticação, autorização, auditoria e responsabilidades, é ele que tem que me responder pra onde eu envio tal pedido... e sem XML de montão como o BPEL...

Taz wrote:
LDAP não dá mesmo, quem dá tudo isso pra vc é JAAS e Java EE.

A questão aqui não é a abrangência do JEE, do JAAS, do LDAP ou de qq outra solução.
Quando digo algo proprietário, eu pergunto:
Quantos processos de login vc já criou na sua vida?!?
Quanto tempo vc gastou para fazer um simples processo de controle de acesso a um determinado recurso num sisteminha?!?
E se o JEE é muito para o seu cliente?
E quando o login dele está cadastrado em um banco access?!?
E quando vc não tem JAAS?!? O que vc faz?!?
E se a empresa que vc vendeu o seu software não tem LDAP??!?! E se nem um free ela quizer?!?
E se vc utilizar RACF pra tudo?!?

Eu naõ faço softwares pra vender a um cliente só... meus softwares sobre encomenda sempre viram ferramentas para uma possivel venda para outro cliente... como posso depender de um ambiente tão heterogêneo como os diversos encontrados no mundo?!?
Se vc depender sempre de algo que, infelizmente, não é tão flexivel como deveria, vc pode ficar na mão...

GUJ Ranger Membro desde: 02/06/2005 16:28:38 Mensagens: 939 Offline

rodrigoallemand wrote:
A questão aqui não é a abrangência do JEE, do JAAS, do LDAP ou de qq outra solução.

Acho que era sim, faça uma releitura do primeiro post. JAAS e Java EE (não coloque LDAP no meio da história) provêm uma infra-estrutura extensível para implementação de segurança a nível corporativo.

Qual é o seu produto mesmo?

UP!
Correct Link: http://blogs.sun.com/enterprisetechtips/entry/improving_jsf_security_configuration_with

"http://blogs.sun.com/enterprisetechtips/entry/improving_jsf_security_configuration_with"

Notícias, artigos e o maior fórum brasileiro sobre Java