Tổng quan Quyền truy cập ABAC

1. Tổng quan

Quyền truy cập ABAC (Attribute-Based Access Control) là cơ chế kiểm soát quyền truy cập hệ thống nâng cao dựa trên thuộc tính, hoạt động song song cùng phân quyền chuẩn (RBAC).

Lợi ích/Giá trị:

Kiểm soát luồng dữ liệu sâu sắc theo phòng ban, vùng lãnh thổ hoặc các thuộc tính đặc thù (Ví dụ: Nhân viên Sales chỉ xem được cơ hội bán của chính mình; các nhân viên sales chỉ được xem thông tin khách hàng (Profile) nằm trong cơ hội bán họ sở hữu)
Tăng cường bảo mật và tính cá nhân hóa dữ liệu, khắc phục giới hạn của RBAC truyền thống.

Đối tượng sử dụng: Quản trị viên (Admin) có quyền cao nhất để phân bổ giới hạn Data cho người dùng vận hành (Sale, CS, Marketing).

ABAC: Cơ chế phân quyền dựa trên thuộc tính của người dùng, môi trường hoặc đối tượng.
Hiệu lực: Được phép (Allow) hoặc Không được phép (Deny). Không được phép luôn được hệ thống ưu tiên kiểm tra khi áp dụng chính sách truy cập.
Module: Đối tượng áp dụng chính sách truy cập.
Chức năng: Nơi lựa chọn thuộc tính (Attribute) của đối tượng (module).
Thao tác (Action): Tùy chọn chức năng cụ thể mà người dùng được phép/không được phép thao tác với đối tượng. (Ví dụ: Xem chi tiết, Sửa, Xóa).

Phân quyền: Tài khoản Mobio phải được cấp quyền RBAC tương ứng:
- Nhóm quyền: DECENTRALIZE_ADMIN
  - Cài đặt > Cài đặt doanh nghiệp > Phân quyền quản trị > Chính sách truy cập
  - Cài đặt > Cài đặt doanh nghiệp > Phân quyền quản trị > Chính sách truy cập > Chi tiết

Quy trình cấu hình ABAC trên hệ thống gồm các hạng mục lớn sau:

Logic kiểm tra quyền: Khi phát sinh thao tác từ người dùng, hệ thống kiểm tra phân quyền RBAC để xem người dùng đó có quyền sử dụng tính năng đó hay không. Tiếp theo, kiểm tra ABAC, ưu tiên quyền Không được phép (Deny) luôn áp dụng trước.

Chưa có thông tin cho mục này