我对SharePoint中的安全性有疑问。我有以下情景
自定义列表(部门,ScoreCard,ScoreCard数据输入) 用户组/角色(执行,数据输入操作员,审批人) 自定义页面/ Web部件(ScoreCard数据输入,待批准,批准表) 自定义工作流程(1步审批工作流程)
我对安全的要求如下:
每个部门都有自己的2个角色用户,即数据输入操作员,审批人。
执行角色的用户可以查看所有部门的ScoreCard数据录入,待审批和批准表。
数据输入操作员有权查看ScoreCard数据输入页面,但只能输入各自部门的数据。例如。如果用户A是部门A的数据输入操作员而用户B是部门B的数据输入操作员,则用户A只能输入部门A的数据,用户B只能输入部门B的数据,即使他们都有权查看部门卡数据输入页。
审批人有权查看待批准和批准表。视图待批准页面获得批准时仅查看其部门的待批准。例如。如果用户C是部门A的审批人,而用户D是部门B的审批人而不是用户C,则仅查看部门A的待审批准清单,用户D仅查看部门B的待批准清单。
- 执行角色的用户可以查看任何页面,并且没有基于部门的限制。
请尽快帮我解决这个问题。
此致
答案 0 :(得分:0)
如果用户A是部门AA的数据输入操作员,那么他只能输入部门AA的数据
这是我称之为基于关系的访问控制的一个很好的例子。为此,您需要查看允许基于关系的访问控制的授权框架。其中一个框架是XACML(wikipedia | standard page)。
SharePoint不接受XACML来定义授权,但可以将XACML转换为可以提供给SharePoint的声明。我为之工作的供应商Axiomatics提供了这样一种方法。
还要检查基于属性的访问控制。 NIST有一个关于该主题的精彩页面。