Пользователи#

Пользователь — это объект системы, который связывает учетную запись, физическое лицо и набор прав доступа. В карточке пользователя настраиваются параметры авторизации и назначаются профили, определяющие доступ к объектам и функциям системы.

Атрибуты пользователя#

Наименование

Описание

Учетная запись

Логин, под которым пользователь авторизуется в системе

Физическое лицо

Карточка физического лица, связанная с пользователем

Пользователь заблокирован

Признак блокировки пользователя. Заблокированный пользователь не может войти в систему

Суперпользователь

Признак пользователя с максимальными правами доступа в системе

Список приложений ограничен правами ролей

Признак, при котором перечень доступных приложений определяется доступом к объектам системы, а не списком приложений, назначенных ролям. Может использоваться для ограничения набора приложений, доступных суперпользователю

Пользователь должен сменить пароль после авторизации

При следующем входе в систему пользователю будет предложено изменить пароль. После смены пароля признак снимается автоматически

Шаблон

Шаблон, на основании которого создан пользователь

Active Directory

Данные доменной авторизации пользователя

Профили доступа

Список профилей, назначенных пользователю. На закладке доступны операции добавления и удаления профилей. В детализации отображаются роли, входящие в профиль

Роли доступа

Список ролей пользователя. Роли отображаются автоматически на основании назначенных профилей

Операции справочника и карточки пользователя#

Наименование

Описание

Группировка

Позволяет редактировать дерево групп пользователей: создавать группы, изменять их состав и структуру

Пересчитать индексацию системных привилегий для текущего пользователя

Обновляет индексы системных привилегий для текущего пользователя или для всех пользователей. В результате пересчитываются записи по элементам администрируемых объектов и объектным правам, доступным пользователю

Анализ прав доступа пользователя

Показывает перечень объектов системы, доступные действия и роли, за счет которых пользователь получил эти права

Создать шаблон

Сохраняет карточку пользователя как шаблон для дальнейшего создания пользователей по аналогии

Синхронизация пользователей Active Directory

Загружает новых пользователей из Microsoft Active Directory или обновляет уже существующих

Изменить пароль

Открывает окно смены пароля. Дополнительные требования к длине пароля и наличию специальных символов не применяются

Создание пользователей по шаблону#

Для ускорения создания типовых учетных записей можно использовать шаблоны пользователей. При создании нового пользователя по шаблону система применяет параметры пароля, группу шаблона, а также назначает профили и роли, указанные в шаблоне.

Параметры шаблона#

Наименование

Описание

Является шаблоном

Показывает, что карточка используется как шаблон для создания других пользователей

Наименование шаблона

Название шаблона, которое отображается при выборе

Шаблон по умолчанию

Если признак установлен, новые пользователи по умолчанию создаются на основании этого шаблона. В системе может быть только один шаблон по умолчанию

Выводить под операцией создания

Если признак установлен, шаблон отображается в выпадающем списке операции создания пользователя

Синхронизация с Active Directory#

Система Global поддерживает синхронизацию с Microsoft Active Directory. При использовании Active Directory первичная загрузка пользователей и последующая синхронизация выполняются с помощью операции «Синхронизация пользователей Active Directory» в справочнике или карточке пользователей, а также по настроенному расписанию.

Если пользователя домена еще нет в системе, система автоматически создает его в группе LDAP - Active Directory. Если пользователь уже существует, его данные обновляются. Во время синхронизации система также пытается автоматически сопоставить физическое лицо по данным домена.

Настройка подключения к Active Directory#

Чтобы настроить подключение к Active Directory, откройте в приложении «Администратор» раздел «Настройки > Общие настройки системы», затем настройки модуля btk. В JSON-контейнере записи ldapSync укажите:

  • URL сервера;

  • логин;

  • пароль;

  • имя домена Active Directory.

Настройка авторизации через Active Directory, при которой пароль пользователя проверяется не системой Global, а службой Active Directory, выполняется в основном конфигурационном файле /usr/local/globalserver/application/config/global3.config.xml.

Выполнение синхронизации#

При запуске операции «Синхронизация пользователей Active Directory» открывается отдельная форма, в которой нужно выбрать шаблон для создания новых пользователей и выполнить операцию «Синхронизировать».

Созданные пользователи размещаются в группе LDAP - Active Directory и во вложенных группах уровнем ниже.

Передача прав при замещении#

Замещение прав используется, когда полномочия отсутствующего пользователя временно необходимо передать замещающему пользователю.

  • Отсутствующий пользователь — пользователь, который временно не может выполнять свои обязанности.

  • Замещающий пользователь — пользователь, который временно берет на себя обязанности отсутствующего пользователя в рамках функционала замещения прав.

После окончания периода замещения переданные права снимаются автоматически.

Настройка замещений#

Настройка замещения прав доступна по пути Приложение «Администратор» > Доступ > Замещение прав.

Для конкретной учетной записи замещение можно настроить на закладке Приложение «Администратор» > Доступ > Пользователи > необходимая учетная запись > Замещение прав.

Параметры замещения#

В списке замещений отображаются основные параметры:

  • Отсутствующий пользователь — пользователь, права которого могут быть переданы на период замещения;

  • ФИО отсутствующего — ФИО отсутствующего пользователя;

  • Замещающий пользователь — пользователь, который временно получает полномочия отсутствующего пользователя;

  • ФИО замещающего — ФИО замещающего пользователя;

  • Дата начала — дата начала действия замещения;

  • Дата окончания — дата окончания действия замещения;

  • Причина замены — причина настройки замещения;

  • Передача прав подписи — определяет передачу прав электронной подписи и учитывается при пересчете прав пользователей;

  • Передача прав на задачи — определяет возможность выполнения задач за отсутствующего пользователя и проверяется отдельно при выполнении задачи;

  • Правило передачи прав — определяет передачу ролей и связанных с ними прав от отсутствующего пользователя замещающему;

  • Примечание — дополнительная информация по настройке замещения;

  • Наличие ЭП у замещаемого пользователя — отображает сведения о действующих электронных подписях замещаемого пользователя. Если у замещаемого пользователя нет действующих подписей, данные в поле не подтягиваются. Данные подтягиваются из активных подписей пользователя на закладках:

    • ЭП без центра сертификации (Btk_UserKey);

    • ЭП с центром сертификации (Btk_UserCert).

Правило передачи прав#

В данном поле определяется, будут ли переданы роли и связанные с ними права от отсутствующего пользователя замещающему.

Правила задаются объектами справочника Btk_AcSubstitutionRules.

Доступны следующие варианты:

  • С передачей прав замещаемого пользователя (WithAcRights);

  • Без передачи прав замещаемого пользователя (WOAcRights).

Если выбрано правило «С передачей прав замещаемого пользователя», замещающий пользователь на период замещения получает роли и связанные с ними права отсутствующего пользователя.

Если выбрано правило «Без передачи прав замещаемого пользователя», роли и права отсутствующего пользователя замещающему не передаются.

По умолчанию при создании нового замещения автоматически выбирается правило «С передачей прав замещаемого пользователя».

Передача прав на задачи#

В данном поле определяется, сможет ли замещающий пользователь выполнять задачи отсутствующего пользователя.

Доступны следующие варианты:

  • Без права выполнения задач;

  • С правом выполнения задач.

Настройка применяется к задачам процесса Bpm_Task.

Передача прав подписи#

В данном поле выбирается способ передачи прав электронной подписи от отсутствующего пользователя замещающему.

Передача прав подписи учитывается при пересчете прав пользователей. Если для замещения включена передача прав подписи, замещающему пользователю выдаются права подписи отсутствующего пользователя в соответствии с выбранным вариантом.

При попытке настроить передачу прав подписи система проверяет наличие у замещающего пользователя электронной подписи того же типа, что и у отсутствующего пользователя. Если такой электронной подписи нет, система выводит сообщение о необходимости создания или регистрации подписи. Настройка передачи прав подписи блокируется до создания подписи.

Доступны следующие варианты:

Без передачи прав ЭП

Замещающий пользователь не получает права на подписание документов от отсутствующего пользователя.

Полная передача прав ЭП

Замещающий пользователь получает такие же права подписи, как и отсутствующий пользователь.

При полной передаче прав ЭП система находит актуальную запись «ЭП без центра сертификации» отсутствующего пользователя и создает новую запись «ЭП без центра сертификации» для замещающего пользователя.

Для новой записи:

  • период действия задается по периоду действия настройки замещения;

  • способ хранения копируется из записи отсутствующего пользователя;

  • тип подписи копируется из записи отсутствующего пользователя;

  • права подписи копируются из коллекции «Права подписи» (Btk_SignRight);

  • после создания запись переводится в состояние 200.

Ручная настройка передачи прав ЭП

Права подписи для замещающего пользователя настраиваются вручную.

Если выбран этот вариант, в детализации «Права подписи пользователей» необходимо выбрать права подписи, которые будут выданы замещающему пользователю.

В детализации отображаются права подписи отсутствующего и замещающего пользователей из актуальных записей «ЭП без центра сертификации».

Актуальная запись определяется по периоду действия и состоянию:

  • dBegin <= sysdate <= dEnd;

  • idStateMC in (200, 300).

Если у пользователя найдено несколько актуальных записей, используется запись с более ранней датой окончания периода действия.

При ручной настройке система создает новую запись «ЭП без центра сертификации» для замещающего пользователя с периодом действия, равным периоду действия настройки замещения. Тип подписи и способ хранения копируются из записи отсутствующего пользователя.

После этого создаются записи «Права подписи» только для тех прав подписи, которые выбраны в детализации для передачи замещающему пользователю. Затем запись «ЭП без центра сертификации» переводится в состояние 200.

Актуализация прав доступа#

Переданные права начинают работать после пересчета прав доступа пользователя.

Во время пересчета система проверяет период замещения:

  • если замещение уже действует, права отсутствующего пользователя добавляются к правам замещающего пользователя на период замещения;

  • если замещение еще не началось или уже закончилось, права отсутствующего пользователя замещающему пользователю не добавляются.

При пересчете система обновляет таблицы прав доступа:

  • Btk_AcUserItemPrivFlat — предметные привилегии;

  • Btk_AcUserObjPrivFlat — объектные привилегии.

Пересчет может выполняться по расписанию или при сохранении настройки замещения.

Отложенное применение по расписанию

Отложенное применение выполняется фоновым заданием Синхронизация пользователей (generated_09_00). Задание запускается по расписанию в 00:00.

При запуске задания:

  • если Дата начала уже наступила, замещение вступает в силу и права отсутствующего пользователя добавляются к правам замещающего пользователя;

  • если Дата окончания уже прошла, ранее переданные права снимаются.

Если настройка замещения создана или изменена после запуска задания, изменения будут применены при следующем запуске задания.

Применение при сохранении

При сохранении настройки замещения система выводит диалоговое окно с вопросом «Синхронизировать пользователей для вступления замен в силу?».

  • Если выбрать «Да», система сразу запускает пересчет прав доступа. При пересчете проверяются даты замещения. Права применяются только для тех замещений, которые уже действуют на текущую дату. Если Дата начала указана в будущем, права не применяются сразу.

  • Если выбрать «Нет», изменения будут учтены при следующем запуске фонового задания Синхронизация пользователей.

Суперпользователь#

Суперпользователь — это администратор системы, которому доступны все привилегии и все объекты системы.

При этом отдельные элементы интерфейса могут требовать наличия конкретных ролей. Например, некоторые клонируемые пункты меню для отображения виджетов доступны только пользователям, которым назначены определенные роли. Если у суперпользователя таких ролей нет, доступ к этим пунктам меню у него отсутствует.

Пересчет индексации системных привилегий#

После создания пользователь находится в рассинхронизированном состоянии. Такое состояние также возникает после назначения ролей или изменения настроек доступа.

Чтобы изменения вступили в силу, необходимо выполнить операцию «Пересчитать индексацию системных привилегий».

Во время настройки ролей рекомендуется сначала пересчитывать права только для тестового пользователя с помощью операции «Пересчитать индексацию системных привилегий для текущего пользователя». Эта операция доступна:

  • в списке пользователей;

  • в карточке пользователя;

  • в списках пользователей роли;

  • в списках пользователей профиля.

Такой подход позволяет проверить результат настройки на тестовом пользователе и при необходимости скорректировать права до применения изменений для остальных пользователей.