<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<body link="#355491" alink="#4262a1" vlink="#355491" style="background: #e2e2e2; margin: 0; padding: 20px;">

<div>
        <table cellpadding="0" bgcolor="#FFFFFF" border="0" cellspacing="0" style="border: 1px solid #dadada; margin-bottom: 30px; width: 100%; -moz-border-radius: 6px; -webkit-border-radius: 6px;">
                <tbody>
                        <tr>

                                <td>

                                        <table border="0" cellpadding="0" cellspacing="0" bgcolor="#FFFFFF" style="border: solid 2px #ccc; background: #dadada; width: 100%; -moz-border-radius: 6px; -webkit-border-radius: 6px;">
                                                <tbody>
                                                        <tr>
                                                                <td bgcolor="#000000" valign="middle" height="58px" style="border-bottom: 1px solid #ccc; padding: 20px; -moz-border-radius-topleft: 3px; -moz-border-radius-topright: 3px; -webkit-border-top-right-radius: 5px; -webkit-border-top-left-radius: 5px;">
                                                                        <h1 style="color: #333333; font: bold 22px Arial, Helvetica, sans-serif; margin: 0; display: block !important;">
                                                                        <!-- To have a header image/logo replace the name below with your img tag -->
                                                                        <!-- Email clients will render the images when the message is read so any image -->
                                                                        <!-- must be made available on a public server, so that all recipients can load the image. -->
                                                                        <a href="https://community.jboss.org/index.jspa" style="text-decoration: none; color: #E1E1E1">JBoss Community</a></h1>
                                                                </td>

                                                        </tr>
                                                        <tr>
                                                                <td bgcolor="#FFFFFF" style="font: normal 12px Arial, Helvetica, sans-serif; color:#333333; padding: 20px;  -moz-border-radius-bottomleft: 4px; -moz-border-radius-bottomright: 4px; -webkit-border-bottom-right-radius: 5px; -webkit-border-bottom-left-radius: 5px;"><h3 style="margin: 10px 0 5px; font-size: 17px; font-weight: normal;">
    ManagementLayer RBAC
</h3>
<span style="margin-bottom: 10px;">
    modified by <a href="https://community.jboss.org/people/heiko.braun">Heiko Braun</a> in <i>JBoss AS 7 Development</i> - <a href="https://community.jboss.org/docs/DOC-47854">View the full document</a>
</span>
<hr style="margin: 20px 0; border: none; background-color: #dadada; height: 1px;">

<div class="jive-rendered-content"><p>Role based access control to the AS7 management layer.</p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><strong>Core Concepts</strong></p><p><strong><br/></strong></p><p style="margin: 0.4em 0 0.5em; color: #000000; font-family: sans-serif; text-align: -webkit-auto; background-color: #ffffff;">When defining an RBAC model, the following conventions are useful:</p><ul><li>Subject = A person or automated agent</li><li>Role = Job function or title which defines an authority level</li><li>Permissions = An approval of a mode of access to a resource</li><li>Action = An operation to execute on a resource </li><li>Constraint: Predicate that makes the permission valid in the context of the system state </li><li><span style="color: #000000; font-family: sans-serif; text-align: -webkit-auto; background-color: #ffffff;">Session = A mapping involving Subject, Role and/or Permissions</span></li></ul><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><a href="https://community.jboss.org/servlet/JiveServlet/showImage/102-47854-28-19855/PermissonModel2.png"><span> https://community.jboss.org/servlet/JiveServlet/downloadImage/102-47854-28-19855/450-235/PermissonModel2.png </span></a></p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><strong>Generic Requirements</strong></p><ul><li>Provide a usable (in terms of complexity), yet comprehensive base model</li><li>Provide a set of out-of-the-box roles &amp; permissons that reflect common authorization requirements</li><li>Enable customizations/extension of the default scheme (i.e custom permissions, permission granularity)</li><li>Provide management operations to retrieve session information (i.e. roles assigned, permissions granted, etc)</li><li>Clearly distinguish security exceptions from other operation errors (i.e. custom response headers)</li><li>Mappability with existing authorisation schemes (i.e. JON)</li></ul><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><strong>Specific Requirements</strong></p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><ul><li><em>Support permission enforcement that restricts visibility of model elements:<br/></em>Control visibility of resources (i.e. restrict visibility of server groups)</li><li><em>Suppor permission enforcement that restricts execution on model elements</em>:<br/>Control execution on resources (i.e. lock down certain operations, distinguish read &amp; read/write access)</li><li><em>The management layer needs to enforce permission regardless of the client type and availability:<br/></em>I.e. enformenent can not be delegated to the client only<em><br/></em></li><li><em>Clients (CLI, Web) should indicate permissions prior to execution of management operations:</em><br/>I.e. grey out interface elements to emphasis lack of permissions</li></ul><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><strong>Use cases</strong></p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p>See <a class="jive-link-wiki-small" href="https://community.jboss.org/docs/DOC-47856">RBACUsecases</a><strong><br/></strong></p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p><strong>Advanced Topics</strong></p><p style="min-height: 8pt; height: 8pt; padding: 0px;">&#160;</p><p>- Context based access control: i.e. Taking the connection into consideratin</p><p>- Support for role hierarchies: i.e. structuring roles to reflect an organizations lines of authority and responsibility</p><p>- Role constraints: i.e. mutual exclusive roles</p><p>- RBAC to manage RBAC itself</p><p class="page" style="min-height: 8pt; height: 8pt; padding: 0px;" title="Page 9">&#160;</p><div class="column"><p><span style="font-size: 0.000000pt;">structuring roles to re&#160; ect an organiza&#160;&#160; tion&#160; s lines of authority and resp onsibility</span></p></div></div>

<div style="background-color: #f4f4f4; padding: 10px; margin-top: 20px;">
    <p style="margin: 0;">Comment by <a href="https://community.jboss.org/docs/DOC-47854">going to Community</a></p>

        <p style="margin: 0;">Create a new document in JBoss AS 7 Development at <a href="https://community.jboss.org/choose-container!input.jspa?contentType=102&containerType=14&container=2225">Community</a></p>
</div></td>
                        </tr>
                    </tbody>
                </table>


                </td>
            </tr>
        </tbody>
    </table>

</div>

</body>
</html>