Bilgi Çözümleri
Sektör Görüşleri

Tiyatro, Roller ve Güvenlik: bir “RBAC” Hikâyesi

Yazar: Turgut Aydın
oracle, RBAC, Role Dayalı Erişim Denetimi Önce sıradan bir bahar günü sıradan bazı tiyatro ve holdinglerde olanlara bakalım...

Ve perde...

Perde açılır ve aktörler ve aktrisler senaryo gereği rollerini oynamaya başlarlar.

Drama, komedi, trajedi... Finans, İnsan Kaynakları, Müşteri Hizmetleri...

Pazartesi sabahı işyerinin kapıları bir kez daha açılır...

Açılır ve çalışanlar görevleri gereği sahip oldukları roller gereği davranırlar. Telefonlar, e-postalar, hesap tabloları, sunum dosyaları.

Erkan Abi, Kahraman Pehlivan Kültür Merkezinde sergilenen “Sevimli Tüylüler” adlı çocuk oyununda minik ayı Hulki rolünde tüysüz bir kostüm içerisinde dört ayak dolanmaktadır. Bir siyasi güldürü olan “Cüneyt, Haydi Bu Akşam Memleketi Kurtaralım” oyununda akıl hastanesinden kaçtıktan sonra parti kurup seçimlere katılan bir siyasetçiyi canlandıran Ferhat Taşpınar rolü gereği bir taburenin üzerine çıkmış, peltek bir ses tonuyla başkan olduğunda gofret fiyatlarını düşüreceğini, buna mukabil bu gün 7 kat tat olan gofretlerin kendi iktidarında 8, hatta 9 kat tat olacağını anlatmaktadır. Londra’da bir diğer tiyatro sahnesinde ise Romeo’yu oynayan Abraham Sweetvoice rol gereği yerde ölü numarası yaparken, Juliet’i oynayan Jülide Pürneşe ise Romeo’nun öldüğünü keşfetmiş, derin bir keder görüntüsü çizerken plastik yaylı oyuncak hançeri rol icabı kendi karnına saplamaya hazırlanmaktadır.

Güvenlik görevlisi Hüseyin Bey, metal dedektörü ile ziyaretçilerin üzerini aramakta, gerektiğinde kısa dalga telsiz ile amirine bilgi vermekte, arada sırada ihtiyaç molası veren resepsiyonist Cevriye Hanım’ın yerine bakmaktadır. Pazarlama uzmanı Ayşenur Hanım, yeni reklam kampanyası için hazırlanan örnek posterler üzerinde son düzeltmeleri yaparak reklam ajansına gönderilmek üzere posta servisine vermiştir. Mali işlerden Canan Hanım ise, satışlarla ilgili faturaları düzenlemiş, imza için yöneticisine iletmeden önce herhangi bir hata yapıp yapmadığını kontrol etmektedir.

Hatlar karışınca...

Gelin şimdi biraz karıştıralım oyunları ve oyuncuları, genişletelim rolleri...

Güvenlik görevlisi Hüseyin Bey, Sudoku oynamaktan sıkılmıştır. Hazır Cevriye Hanım ortalıktan kaybolmuşken mali işler departmanı için bir ziyaretçi kartı edinir ve de sudoku yerine eğlencesine boş fatura formları doldurmaya başlar. Pazarlama uzmanı Ayşenur Hanım, yeni poster çalışmalarının gelmesini beklerke “önce güvenlik” diyerek bir yandan boştaki bir metal dedektörü ile gözünün tutmadığı ziyaretçilerin üzerini aramakta, bir yandan da güvenlik telsizinden yan binadaki firmanın güvenlik telsizini kullanan İnsan Kaynakları uzmanı arkadaşı ile akşam için sinema planı yapmaktadır. Mali işlerden Canan Hanım ise imzaya gönderdiği faturaları beklerken, Tavuskuşu İlköğretim okulu ikinci sınıf öğrencisi olan kızının “Evimdeki üçgen, kare, dikdörtgen!” başlıklı proje ödevi için hazırladığı tanıtım posterini bastırmak üzere reklam ajansı ile konuşmaktadır. . .

Bu sırada tiyatrolarda durum...

“Sevimli Tüylüler” oyunundaki Erkan Abi, minik ayı Hulki rolünü aşmaya karar vermiştir. Tüylü ayı kostümünü içinde iki ayağı üzerinde dikilerek başka bir oyunda kürsü niyetine kullanılan tabureye çıkar ve peltek peltek Shakespeare’den kendi uyarladığı dizeleri söylemeye başlar:

“Dost var, düşman var, dinleyin arkadaşlar,
ben bu deveyi gütmeye geldim, övmeye değil….”[1]

“Cüneyt, Haydi Bu Akşam Memleketi Kurtaralım” oyununda Ferhat Taşpınar söylev sahnesindeki güldürü öğesinin yeterince vurucu olmadığı fikrindedir. O nedenle yazılı rolünün dışına çıkarak emprovize tiyatro yapmaya karar vermiştir.  Oğlunu haftasonu götürdüğü oyundan da esinlenerek gofretlerle ilgili vaatleri anlatmaya sıra gelince tabureye çıkmak yerine dört ayak üzerinde konuşmaya başlar! 

Klasik Romeo ve Jüliet oyununda da ilginç bir son yaşanmaktadır! Juliet’i oynayan Jülide Pürneşe bu defa plastik hançeri “Şeytan Doldurur” diyerek seyircilerin şaşkın bakışları altında perdenin gerisine fırlatır ve oyunu “Ah Romeo Romeo,  sana bir gofret versem...” diye tam anlamıyla bitirir!

İşin Aslı

Gerçek hayatta pek te olası görünmeyen bu değişiklerin arkasında ne var? Karışan aslında nedir?

Hikâye bu ya, holding’de çalışanlar rollerinin gerektirdiği davranışların dışına çıkmış, kurumun diğer görevlerin yerine getirilmesi için sağladığı olanakları ve araçları kullanır olmuşlar. Absürd mü? Bu şekilde anlatıldığında belki öyle görünüyor. Çünkü bu görevler birçok kişinin etkileşimi ile yerine getiriliyor ve rutinin dışına çıkıldığında kendiliğinden göze batan davranışlar içeriyor. Güvenlik görevlisinin mali işler departmanına girip bir masada çalışmaya başlaması gibi rolün dışına çıkan davranışlar fiziksel çerçevelerin yanı sıra (çalışma lokasyonlarına girişin kontrollü yapılması, bazı görevlerin üniformalarla belirlenmesi) aslında sosyal kurallarla da sınırlanmış durumda.

Tiyatroda ise daha bariz bir durum var. Tiyatroda roller çok net. Ondan öte ortada bir oyun metni var, bu rolleri hareket ve davaranışları ile en uç noktasına kadar tanımlayan. O nedenle buradaki kadar uç farklılıklar olmasa bile bir oyuncu rolünün dışına çıktığı anda oyun bozuluyor. Bir oyundaki kostümler, replikler başka bir rolün altına taşınmaya kalktığında da gerçekten absürd sonuçlar ortaya çıkabiliyor.

Güvenlik bunun neresinde?

Tiyatro ve roller tamam da bu yazının başlığında bir de “güvenlik” vardı. Bütün bunların güvenlikle ne ilgisi var?

Bu sefer Hüseyin Bey bir banka şubesinin güvenlik görevlisi. Normalde banka şubesinin kasası iki anahtarla açılıyor: biri şube müdüründe, biri müdür yardımcısında. Kasadan her nakit aktarımı iki kişinin imzasıyla tutanak altına alınıyor. Gün sonunda sayım yapılarak kasadaki nakit para hesabının tuttuğu belgeleniyor. Hikâye bu ya, bankanın CEO’su bu tür “bürokratik” işlemlerin işleri yavaşlattığına karar veriyor ve de bankada çalışan herkesin iş yapmak için kullanılan herşeye serbestçe erişebileceğini tebliğ ediyor!

Ertesi gün kasanın anahtarları duvara asılıyor. Veznedarlar gerektikçe kasadan para çekiyor, gün sonunda veznedeki paraları kasaya koyuyorlar. Hüseyin Bey’in de bu ara durumu biraz sıkışık, kasadan biraz borç almaya karar veriyor.... Antibürokratik tebliğin sonu!

Aslında çalışanların erişebileceği araçlar (anahtarlar), kaynaklar (kasa, kasadaki paralar) görevleri ile sınırlandırılmış durumda. Bunu da kurumlar çeşitli denetim mekanizmaları kurarak kontrol altında tutuyor. Tiyatroda bu denetim mekanizması daha soyut belki. Bir oyuncunun belli bir noktaya gelmesi rolünü yıllarca doğru/iyi oynamasına bağlı. Buradaki hikâyedeki gibi rolünün dışına çıkması durumunda tiyatroyu zor durumda bırakır. Güvenlik boyutu bu. Denetim mekanizması ise belki “oto-denetim” olarak adlandırılmalı, bu tür bir performans büyük olasılık o oyuncunun da son performansı olur!

RBAC

RBAC, yani Role Dayalı Erişim Denetimi (Role Based Access Control) bu güvenlik sorununa yazılım ortamında karşılık gelen denetim mekanizması.

Mali İşler yöneticisi Nesrin Hanım işyerine gelip bilgisayarının başına oturduğu zaman işlerinin çoğu bu ekranın ardındaki yürümektedir. Otomasyonu olmayan işler bile (çeşitli talep ve onaylar) elektronik postalarla gerçekleşmektedir. Yazılımlarda otomasyonu olan işler, Nesrin Hanım’ın çeşitli yazılımlarla etkileşimini gerektirir. Örneğin mali işlerden Canan Hanım “sistem”den bir izin talebi yaptığı zaman, Canan Hanım’ın yazdığı değil de yazılımın ürettiği otomatik bir elektronik posta Nesrin Hanım’ın posta kutusuna düşer. Bu elektronik posta Nesrin Hanım’ı yazılımın ilgili “ekranı”na yönlendirir. Nesrin Hanım bir yandan giriş yaptığı ekranda zarif bir tık ile izin onayını verirken bir yandan da “şu Canan’ın da amma bitmez tükenmez izni varmış” diye düşünmeden edemez. Ardından “hazır buraya girmişken Canan’ın yaptığı faturaları da bir kontrol edeyim” diyerek ilgili “ekrana” geçer. Aslında bu geçiş ile Nesrin Hanım başka bir yazılıma erişir. (Tek giriş / Single sign-on uygulaması sayesinde Nesrin Hanım eriştiği yeni ekranın başka bir yazılımdan kaynaklandığını farketmemiştir.)

Pazarlama uzmanı Ayşenur Hanım, reklam ajansına gönderdiği posterlerin maliyet bilgilerini girmek için kampanya yazılımının ilgili ekranına gitmeye çalıştığında “bu ekrana erişim yetkiniz yok” mesajı ile karşılaşır. İçinden çeşitli hayır duaları okuduktan sonra ilgili BT birimine “her zaman girdiği ekrana giremediğini ve bir an önce bu durum düzelmezse yılsonu kampanyasının suya düşmesinden BT’nin sorumlu olacağını” anlatan bir elektronik posta gönderir. “Zaten oraya giremiyorsun buraya giremiyorsun, ama artık insana işini de yaptırmıyorlar, sırf işgüzarlık” diye iç çeker.

Güvenlik görevlisi Hüseyin Bey, moladaki Cevriye Hanım’ın yerine bakmaktadır. Ancak Cevriye Hanım molaya giderken gayri ihtiyari sistemden çıkış yaptığı için Hüseyin Bey gelen ziyaretçiye yardımcı olamaz: “Beyfendi arkadaşımız şimdi gelecek, ben kaydınızı alamıyorum.”

Madem RBAC dedik, şimdi bir rol/yetki analizi yapalım!

Mali işlerden Canan Hanım, firmanın bir “çalışanı”dır. Her çalışan gibi izin kullanır ve bunun için “sistem”den izin talebinde bulunur. Yani izin talep edebilmek te aslında bir “yetkilendirme” sonucudur ve tüm çalışanlar normalde bu yetkiye sahiptir.

İzin talebini onaylayan Nesrin Hanım bir “yönetici”dir. Nitekim bu firmada izinleri çalışanların yöneticileri sistem üzerinde onaylarlar. Bunun olabilmesi için Nesrin Hanım’a izin onay ekranı için “yetkilendirme” yapılmılştır! Ama Nesrin Hanım doğal olarak aynı zamanda bir “çalışan”dır da. Dolayısıyla izin yapmak onun da hakkıdır! Ve de tabii ki izin onay ekranına olduğu gibi izin talep ekranına da girebilmektedir.

Nesrin Hanım’ın izin onay ekranından yatay geçiş yaptığı fatura ekranlarına olan yetkisinin nedeni, “mali işler yöneticisi” olmasıdır. Haliyle, örneğin idari işler müdürünün “yönetici” olmasına karşın bu ekrana erişim yetkisi yoktur. Çünkü bu yetki “yönetici” olmaktan kaynaklanmamaktadır.

Canan Hanım da fatura ekranlarına yetkilidir. Çünkü o bir “mali işler uzmanı”dır. Nesrin Hanım’dan farklı olarak faturaları onaylayamaz, onaylanmış faturaları değiştiremez. Yani görevi farklı olduğu için yetkisi de biraz farklıdır.

Ayşenur Hanım, işi gereği kampanya yönetim uygulamasına giriş yapabilmelidir. Çünkü o bir “pazarlama uzmanı”dır. Ancak ne hikmetse yetkisi alınmıştır. Aslında Canan Hanım dahil kimse farkında değildir ama Ayşenur Hanım’ın ihtiyaç duyduğu yetki yanlışlıkla Canan Hanım’a verilmiştir.

Hüseyin Bey ziyaretçi kayıt sistemine giriş yapamamıştır çünkü kendisi bir “resepsiyonist” değildir. Ama aslında madem gerektiğinde “resepsiyonist” Cevriye Hanım’ın yerine bakması öngörülmektedir, o zaman sistem üzerinde de resepsiyonist yetkisi kendisine delege edilebilmelidir.

Bu analizi RBAC’a bağlamak için hikâyedeki rollere bakalım: “çalışan”, “yönetici”, “mali işler yöneticisi”, “mali işler uzmanı”, “pazarlama uzmanı”, “resepsiyonist”, “güvenlik görevlisi”.

Bunlarla ilişkili olarak ta yine hikâyedeki yazılımlarda uygulanan yetkilendirmelere bakalım: “izin talep”, “izin onay”, “faturalar”, “fatura onay”, “fatura düzeltme”, “kampanya maliyet”, “ziyaretçi kayıt”. Tabii teknik olarak uygulamalarda bu işleri ilgili yazılımda yapabilmeyi sağlayan yetkiler her ne ise onlar.

RBAC, BT sistemlerinde yetkilendirmenin rollere dayalı olarak yapılmasını öngören bir yaklaşım. Buna göre yetkilerin rollerle ilişkilendirilmesi ve kullanıcılara ilgili rollerin verilmesi, yetkilendirmenin bu sistematiğe dayandırılması gerekiyor. Kurumsal ortamlarda roller çeşitli iş fonksiyonlarına karşılık oluşturuluyor, kullanıcılar da rolleri sorumluluk ve yetkinlikleri doğrultusunda ediniyorlar. Kullanıcıların bir rolden diğerine atanmaları ve bir role yeni yetkilendimeler eklenmesi (örneğin devreye alınan yeni bir uygulama ile ilgili olarak) veya gerektiğinde mevcut yetkilendirmelerden bir kısmının kolaylıkla kaldırılabilmesi bu yaklaşımın en önemli esnekliklerinden.

RBAC’ın uygulanması

RBAC, işletim sistemi düzeyinden uygulamaya kadar farklı katmanlarda uygulanabilir. Bunun için ilgili uygulamada yetkilendirme yapısının buna müsait olması, yani uygulama içinde yetkilendirmelerin rol benzeri yapılarla yapılabilmesi gerekiyor. Ancak kurumsal olarak RBAC uygulanacaksa, kurumsal bir rol ile birden çok uygulama içerisindeki yetkilendirmenin bir araya getirilmesi söz konusu. Bunun için de uygulamalar üzerinde bir yapı kurulması gerekiyor.

Elle yapılamaz mı?

Zaten yapılmaya çalışılıyor da. Ama yapının sağlıklı çalışması için bunu yöneten bir altyapı olması gerekli. Yoksa Ayşenur Hanım ile Canan Hanım’ın başına geldiği gibi hatalar olması kaçınılmaz. En önemlisi de sağlıklı bir rol yönetimi yapılmazsa görev ve yetkinliklerin gerektirmediği yetklendirmelerin dağıtılması kaçınılmaz. Hele önce verilip te daha sonra geri alınması gereken yetkilendirmeler olduğunda (iş tanımının değişmesi, uygulamaların değişmesi vb) ipin ucu iyice kaçıyor.

O nedenle iki BT çözümü öne çıkıyor kurumsal RBAC uygulamalarında: Kimlik Yönetimi sistemleri ve Kurumsal Rol Yönetimi sistemleri.

Kimlik Yönetimi sistemleri, uygulamalar üzerinde olması gereken yapı. Kullanıcı kimlikleri için farklı uygulamalar üzerindeki hesap ve yetkilendirmeleri yönetiyor bu sistemler. Dolayısıyla da Role dayalı yetkilendirme yapılması istendiğinde, yetki verilecek yazılımlarda mutlaka role dayalı yetkilendirme olmasına artık gerek kalmıyor. Bu işi Kimlik Yönetim sistemi üstleniyor.

Ancak bir de kurumsal sorumluluklara, görevlere ve yetkinliklere bağlı olarak rollerin tanımlanması ve yetkilendirmelerle ilişkilendirilmesi gerekiyor. Oysa Kimlik Yönetim sistemi yalnızca üzerinde yapılan tanımlamaların uygulanmasını sağlıyor. Uygulamanın ne kadar sağlıklı olduğu, tanımlamanın ne kadar sağlıklı olduğuna bağlı. Yani gerçekten kurum için görevleri ve yetkinlikleri ifade eden roller nelerdir, bu rollerin gereği olarak yazılımlar üzerinde verilmesi gereken yetkiler nelerdir, bu soruların net yanıtlanabilmesi gerekli. Hem doğru denetim mekanizmalarını yerine koyabilmek hem de yasal düzenlemelerin gerektirdiği “görevin gerektirdiği en az yetki” ilkesini uygulayabilmek açısından bu nokta çok önemli.

Burada da Kurumsal Rol Yönetim sistemleri devreye giriyor. Kurumsal rollerle (“çalışan”, “yönetici”, “pazarlama uzmanı”, vb) yazılımlar üzerindeki yetkilendirmelerin ilişkilendirilmesini ve zaman içinde yönetilmesini sağlayan sistemler bunlar. Hele çalışan sayısının çok, organizasyonun geniş, uygulamaların iç içe ve çeşitli olduğu kurumlarda mevcut durumu ifade eden rollerin ortaya çıkarılması bu tür araçlar olmadan hiç te kolay değil.

Son perde

Kurumların  iş süreçlerinin neredeyse tümü yazılımlar aracılığı ile uygulamalar üzerinde çalışıyor. Uygulamaların, dolayısıyla iş süreçlerinin güvenliği, uygulamalar üzerinde yapılan sağlıklı yetkilendirmelere bağlı. Fiziksel çalışma ortamında var olan psikolojik ve fiziksel denetim mekanizmaları bu ortamda geçerli değil. Uygulama ortamında sağlıklı bir denetim mekanizması kurmak için kurumsal rollere dayalı yetkilendirme yapabilmek en sağlıklı yaklaşım. Bunu hakkını vererek yapabildiğimiz zaman, kurumsal süreçler tiyatro oyunları gibi net olabiliyor: Çalışanlar, oyuncular gibi; görev ve yetkinlikler, oyundaki roller gibi; yetkilendirmelerle yürütülen süreçler de oyun metninde o rol için yazılan replikler kadar yerli yerinde.

 

[1] Orijinali: “Dostlar, Romalılar, yurttaşlar dinleyin / Ben Sezar’ı gömmeye geldim, övmeye değil”...

Yazar Hakkında

Turgut Aydın
Email: turgut.aydin@oracle.com

Oracle, Software Solution Architect

www.twitter.com/techtweest
blogs.oracle.com/bosphorus

Hepsini Göster »»

Üye Girişi

Sosyal Medya'da Bilgi Çözümleri

Ücretsiz Oracle ürün demosu ve kampanya avantajlarından yararlanmak için üye olunuz.
Kampanyalar
Sadece birkaç adım ile tam entegre bir sistem elinizin altında! Sadece birkaç adım ile tam entegre bir sistem elinizin altında!
Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi? Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi?
RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin
Diğer kampanyalar »»
Sektör Görüşleri
Tüm yazılar »»
Web Seminerleri
  • Database 11g
  • Business Intelligence
  • Oracle UCM
  • Application Express

Ücretsiz Web seminerlerine katılın

Powered By Oracle and LinkPlus
Hakkımızda | Site Haritası | Kullanım Koşulları | Oracle Ürünleri | İş Ortakları | İletişim

2012 © Bilgi Çözümleri