Il 22/02/24 09:41, Ammammata ha scritto:
> devo valutare un paio di preventivi che sono stati fatti a un cliente
> per la creazione di una "area riservata" sul cloud, contenente
> documentazione sui prodotti
>
> ci sarà un amministratore onnipotente e ci saranno N venditori, ognuno
> con la sua pletora di clienti
>
> questi venditori (incluso ovviamente l'onnipotente) avranno la
> possibilità di creare utenti (visitatori, read only) e assegnare i loro
> diritti di accesso alle varie sotto-aree (la suddivisione ipotizzata per
> i documenti dovrebbe essere:
> - brand (il marchio del cliente)
> - tipo prodotto
> - prodotto
> - tipo documento
>
> quindi, facendo un esempio: il venditore Pippo crea un account per il
> cliente Topolino e imposta i diritti di accesso per i brand del cliente,
> per i tipi di prodotto, i prodotti e i tipi di documento che Topolino
> può VEDERE
>
> va da sè che in genere, dopo il primo filtro sul brand, tutto il resto -
> di solito - è full access, ma potrebbero esserci anche clienti
> /potenziali/ a cui verrebbe (inizialmente) negato l'accesso a
> particolari informazioni, come pure potrebbero esserci tipi di documento
> che NON devono essere resi noti aliente ma che sono comunque
> disponibili sul cloud per i venditori stessi
>
> le proposte ricevute a oggi sarebbero sviluppate con wordpress, con cui
> ho già avuto a che fare in passato, ma solo per pubblicare poche cose
> senza limiti di accesso da parte di utenti diversi, per cui non conosco
> a fondo le potenzialità di questo strumento (ma il cliente di cui
> all'inizio ne sa ancora di meno, per cui ha chiesto un parere)
>
> un vostro parere è gradito, come pure l'indicazione di possibili
> alternative a WP
>
> grazie in anticipo (se volete sfanculare fatelo in privato che
> l'indirizzo è buono)
> cl
WP e i vari CMS in circolazione di default si basano su diritti di
accesso di tipo RBAC (role based access control), praticamente si creano
dei ruoli e su questi gli si da i diritti di cosa vedere e cosa fare.
il ruolo viene poi assegnato allo user.
quello che a te serve da quel che ho capito è un accesso alle
informazioni più granulare
per fare questo hai 2 strade, 1 sbagliata e 1 corretta
quella sbagliata è creare tanti profili (ruoli) tanti quanti sono le
casistiche particolari che devi gestire, e ad ogni ruolo gestisci cosa
può vedere fare (e non sempre è possibile) un utente
quella corretta è quella di andare su un engine di tipo ABAC (attribute
based access control)
dove il diritto di vedere o modificare una risorsa (intesa come
qualsiasi cosa all'interno di un sistema informativo), è dato non solo
dal ruolo, ma dalle caratteristiche della risorsa stessa.
un esempio sono le piattaforme di streaming
dove ad esempio i vari utenti hanno piani di abbonamento differenti (ruoli)
e a seconda di come è classificato un film ad esempio vietato ai minori
di 14 (attribuo della risorsa film), da dove ci si collega italia,
piuttosto che francia (attributo di tipo environment) l'engine ABAC
conferma o nega l'accesso all'utente per la visione.
per fare un esempio più concreto al tuo caso
hai dei docuemnti con diverse classificazioni (attributo)
- public
- topcustomer
- premium
l'utente o ruolo ha un attributo di tipo docview = public, non può
vedere i documenti classificati come topcustomer e premium
se l'utente o ruolo ha un attributo di tipo docview = topcustomer
potrà vedere i documenti classificati public e topcustomer ma non
premium, e cosi via.