AD 2003 e AD2008: O usuário trabalha para duas UOs diferentes e queremos dar a elas permissão diferente, dependendo de onde estão trabalhando?

2

Eu posso estar em missão impossível:

Ambiente: cuidados de saúde Preocupação: Restringir o acesso com base na função de trabalho do dia.

Uma pessoa pode trabalhar 3 dias em uma de nossas OUs e, em seguida, cobrir uma mudança em uma unidade organizacional diferente por dois dias. Ou seja a pessoa faz parte do tempo em dois departamentos diferentes.

Para um único aplicativo chamado de "Registro do paciente", queremos que o usuário tenha acesso restrito ao acesso ao aplicativo ao trabalhar para a UO 1 e use apenas o acesso Atualizar nos dias em que estiverem na UO 2.

Eu entendo que "Member Of" Group é um atributo do objeto de usuário, e o comportamento típico para a autorização de aplicativos é ver o membro do grupo "View" e o membro do grupo "Update" e dar à sessão do usuário os níveis de acesso (mais restritivo ou mais permissivo? ou apenas o primeiro que encontra na lista?

Se eu pedisse ao usuário no login com uma página de login personalizada para escolher a UO (ou seja, selecionar seu departamento de uma lista), há alguma maneira de obter um aplicativo para fornecer apenas o acesso associado a essa UO?

Sei que você pode fazer isso com dois Domínios distintos e, ao fornecer ao usuário um ID de usuário diferente no único domínio que temos, é a maneira deles de fazer isso e atender aos seguintes requisitos:

  1. O usuário deve ter apenas um ID do usuário?
  2. O usuário deve obter permissão diferente com base na unidade organizacional
  3. O usuário pode selecionar qual unidade organizacional
  4. Queremos fazer isso em um único domínio do AD, tentando alcançar um domínio único de floresta única e não ir em outra direção.
  5. Prefiro não ter que personalizar o aplicativo para que isso funcione.

Agradecemos antecipadamente por qualquer ajuda.

    
por Lyle 25.01.2011 / 00:07

1 resposta

1

Esse tipo de coisa está longe de ser fácil de configurar com ferramentas nativas do AD. O Active Directory não tem a capacidade de fazer atribuições de direitos herdáveis a uma UO e ter todos os membros dessa UO que herdam o acesso dessa atribuição. Para que o AD faça o que você está procurando, você terá que modificar automaticamente as associações de grupo deste usuário com base no seu horário de serviço e acoplar isso com logoffs forçados para que seu token de segurança seja atualizado.

No entanto, parece que você pode estar trabalhando com um aplicativo da Web que introduz uma camada de lógica de aplicativo entre o usuário e os dados reais. Nesse caso, você pode adicionar outro campo de login, chamá-lo de 'autoridades' ou algo em que o usuário tenha que selecionar uma função para efetuar login e o próprio aplicativo envia um proxy para o acesso.

    
por 25.01.2011 / 00:13