Configuración de la autorización
Los modelos de autorización de control de acceso basado en roles (RBAC) y de control de acceso basado en atributos (ABAC) siempre coexisten. RBAC se define para cada usuario mediante los roles especificados en el grupo de acceso y ABAC se suma opcionalmente para complementar al RBAC.
En general, RBAC se usa para especificar los requerimientos de control de acceso que se aplican a la Persona (rol de usuario) que observa un operador cuando usa una aplicación de Pega.
- Stephen es un empleado del centro de llamadas que usa la aplicación de servicio al cliente y necesita autorización para crear casos de servicio, pero no está autorizado para realizar cambios de cuenta para clientes VIP.
- Rebecca es una gerente sénior de cuentas que usa la aplicación de servicio al cliente y tiene autorización para realizar cambios de cuenta para clientes VIP.
Los roles organizacionales de Stephen y Rebecca determinan lo que tienen autorización para hacer en la aplicación de servicio al cliente. RBAC puede restringir el acceso del operador a los componentes de UI específicos, como registros de auditorías y archivos adjuntos, o puede restringir las acciones específicas que puede realizar el operador en un caso mediante privilegios. También puede usar RBAC para limitar el acceso a reglas y herramientas de aplicación, como Tracer y Access Manager, durante la etapa de diseño.
Puede usar ABAC para restringir acceso a instancias de clase específicas mediante políticas que no se basan en roles, sino que se basan en otros atributos que conoce el usuario. Por ejemplo, cada operador puede tener una etiqueta de clasificación de seguridad, que se aplica limitaciones a sí mismo sobre qué datos tiene autorización de acceso el operador.
Por ejemplo, en la aplicación de servicio al cliente que usaban Stephen y Rebecca, se necesita una Aprobación de seguridad de AAA para ver un historial de direcciones de cliente de más de cinco años y su número de seguridad social.
- Stephen tiene una Aprobación de seguridad de AAA. Cuando accede a la información del cliente en la aplicación, debería tener autorización para ver el historial de direcciones completo y el número de seguridad social del cliente, aunque el RBAC para su Persona (rol de usuario) le prohíbe realizar cambios de cuenta si ese cliente es VIP.
- Rebecca tiene una Aprobación de seguridad de B. Está autorizada para ver solo un historial de direcciones del cliente de hasta cinco años atrás. No está autorizada para ver el número de seguro social del cliente, aunque el RBAC para su Persona (rol) le permita hacer cambios en cuentas de clientes VIP.
Las políticas de control de acceso mencionadas impulsadas por condiciones que no se basan en roles se implementan mediante ABAC en general. Las políticas se pueden aplicar a nivel de registro (como la visibilidad de los registros de direcciones) y a nivel de atributo (como la visibilidad del número de seguro social del cliente).
En la siguiente tabla, se muestran acciones compatibles con RBAC y ABAC.
| Acción | Descripción | RBAC | ABAC |
|---|---|---|---|
| Abrir/leer instancias | Abrir un caso y ver los datos del caso en reportes y búsquedas | X | X |
| Propiedad de lectura en instancias | Restringir datos en un caso que puede abrir el usuario | X | |
| Descubrir instancias | Acceder a datos en un caso sin abrir el caso | X | |
| Modificar/actualizar instancias | Crear y actualizar un caso | X | X |
| Eliminar instancias | Eliminar y actualizar un caso | X | X |
| Ejecutar reporte | Ejecutar reportes | X | |
| Ejecutar actividad | Ejecutar actividades | X | |
| Abrir reglas | Abrir y ver una regla | X | |
| Modificar reglas | Crear y actualizar una regla | X | |
| Privilegios | Ejecutar reglas que requieren privilegios especificados | X |
Use el Access Manager para configurar RBAC. ABAC está configurado mediante la implementación de reglas de política de control de acceso y de condición de política de control, que pueden hacer referencia a reglas de decisión.
This Topic is available in the following Module:
¿Quiere ayudarnos a mejorar este contenido?