Kto to pisze i dlaczego uważa, że może...

Moje zdjęcie
Doświadczony. Hmmm. Może docenisz tę cechę? Nie wiem, czy warto. Doświadczenie to głównie to, czego bym nie radził Tobie powtarzać. Ale i tak zrobisz, co zechcesz...

środa, 22 maja 2013

Problem bezpieczeństwa w architekturze SOA

Problem bezpieczeństwa był przedmiotem żywej dyskusji na Golden Line na moim wątku.
Wypracowałem sobie dzięki temu pewne stanowisko, które jest jej dorobkiem.

Oto ono.

1) Dostęp do danych
W tych wdrożeniach, z którymi mieliśmy do czynienia, dostęp do odpowiednich danych ZAWSZE był warunkiem koniecznym sporządzenia raportu. 

Czy może ktoś się spotkał z sytuacją, że raport się sporządza bez dostępu do danych? Ja nie.

Co najwyżej trzeba odczytywać dane z WYDRUKU.
Znam przypadek, że pewien łebski analityk (Polak, notabene) napisał program odczytujący EKRAN monitora. Bardzo sprytny. 
Udzielono mu uprawnienia do patrzenia w ekran i on z tego skorzystał.

Zrobił furorę w pewnej wielkiej europejskiej firmie samochodowej, wykorzystującej renomowany system. Na literę S. Polski oddział tej firmy został uznany za najbardziej zaawansowany we wdrożeniu owego systemu S.

To była architektura pre - SOA :)

Dlatego radzę - zamiast hejtować - MYŚLEC. Hejtowaniem na bzdurnych w waszym mniemaniu wątkach dotyczących architektury analiz, nie zrobicie kariery.
(To była uwaga do dyskutantów na moim wątku na GL. Tutaj marzę o jakiejkolwiek dyskusji. Bezskutecznie :) )

Podsumowując:
Jeśli sporządzenie raportu wymaga dostępu do danych na poziomie faktów a nie ich agregacji, to bez tego dostępu - raportu nie da się stworzyć.
To jest rzeczywista implikacja.

Dostęp do danych źródłowych nie jest naszym kaprysem, tylko biznesową potrzebą.

2) Możliwość ustawiania konkretnych uprawnień 

Możliwości nadawania uprawnień do konkretnych poziomów agregacji, z agregacją zerową włącznie 
oraz
interface w jakim będą nadawane (pewnie jednak nie skoroszyt Excela :) 
a także
decyzja ile i jakie role systemu będą odpowiedzialne za ich nadawanie....

powinny być ustalone na etapie projektu produktu - systemu informatycznego wspierającego analizę biznesową. Oczywiście mającego architekturę SOA.

3) Nadanie uprawnień 
to sprawa, którą należy rozstrzygać na etapie projektu wdrożenia systemu, a weryfikowane podczas jego eksploatacji.

Brak komentarzy:

Prześlij komentarz