J'ai une application Web configurée avec la sécurité de printemps qui obtient les utilisateurs et les rôles d'un arbre ldap.Gérer les rôles spéciaux dans ldap
J'ai un dn ou = Utilisateur, dc = application pour les utilisateurs et, pour le rôle, ou = Groupes, dc = application.
Chaque rôle est une entrée dans le second sous-arbre et l'association est faite par un membre d'attribut dans l'entrée du rôle.
En fait, j'ai 5 différents accès au rôle (ROLE_A, ROLE_B, ROLE_C, ROLE_D, ROLE_E): chaque rôle donne l'autorisation d'accéder à une URL spécifique. Chaque rôle est indépendant.
schéma de sous-arbre de rôle (très simple et incomplète)
ou = groupes, dc = application. -CN = A = B -CN -CN = C -CN = D = E -CN
Maintenant, j'ai pour satisfaire une demande d'insérer 3 nouveaux rôles (ROLE_F, ROLE_G , ROLE_H) qui peut être affecté selon un schéma fixe: - ROLE_F peut être affecté uniquement si l'utilisateur est dans ROLE_B, ROLE_D, - ROLE_G peut être affecté uniquement si l'utilisateur est dans le rôle ROLE_C ou ROLE_E - ROLE_H peut être affecté seulement si l'utilisateur est dans le rôle ROLE_A ou ROLE_B
Quelle est la meilleure pratique pour gérer ces 3 nouveaux rôles? Dois-je les considérer comme une dépendance indépendante et contrôlée dans l'application ou quoi d'autre?
Merci
ROLE_F (comme ROLE_G et ROLE_H) contient des autorisations d'actions spéciales (fonctions d'administration), de sorte qu'elles ne s'appliqueront pas à 100% des personnes ROLE_B. Une autre particularité est que le role_f spécifique sera assigné (ou pas) seulement si l'utilisateur a ROLE_B ou ROLE_D. Une autre question que j'ai, est comment implémenter ce scénario dans mon serveur ldap. –
Malheureusement, ces nouvelles permissions ajoutées par ces nouveaux rôles ne peuvent pas être associées aux groupes existants, sinon je les associe à des groupes réels. –