Роли

Роли#

Роль — это основной объект администрирования, в котором настраиваются права доступа к объектам и функциям системы. Именно на уровне роли определяется, какие действия пользователь может выполнять в системе.

Роль содержит набор прав для администрируемых объектов, а также настройки доступа к операциям, переходам состояний и объектным привилегиям.

Справочник ролей#

Справочник ролей предназначен для хранения ролей и выполнения операций над ними.

Список ролей находится в приложении «Администратор» в разделе «Доступ > Роли».

Права роли#

Закладка «Права роли» — основная закладка карточки роли. На ней отображается список администрируемых объектов и действий, доступных пользователю этой роли.

В детализации объекта на закладке «Расшифровка прав» отображается список привилегий, связанных с выбранным объектом.

Настройка доступа к объектам и операциям выполняется путем установки признаков доступности для нужных объектов и привилегий.

Атрибуты закладки «Права роли»#

Наименование

Описание

Администрируемый объект

Наименование администрируемого объекта

Системное имя

Системное имя администрируемого объекта

Не распространяются настройки администрирования

Показывает, что настройки администрирования не влияют на права пользователей по этому объекту

Не требуется настройка прав доступа на состояния

Показывает, что переходы состояний для объекта не ограничиваются настройками прав

Полный доступ, добавление, чтение, редактирование, удаление

Определяют право на соответствующее действие с объектом и его вложенными элементами, включая атрибуты

Интерактивные права

Показывает наличие доступа к операциям в интерфейсе объекта

Объектные права

Показывает наличие объектных привилегий

Права на состояния

Показывает, что для роли настроен доступ хотя бы к одному переходу состояний

Устаревшее

Показывает, что объект больше не используется и доступ к нему не предоставляется

Расшифровка прав#

Закладка «Расшифровка прав» в детализации администрируемого объекта содержит перечень привилегий выбранного объекта. Состав данных на закладке зависит от того, открыт ли верхнеуровневый объект или его элемент.

Если открыта расшифровка прав для верхнеуровневого администрируемого объекта, на закладке отображаются привилегии на:

  • полный доступ;

  • добавление;

  • чтение;

  • редактирование;

  • удаление.

Например, если для объекта справочника выдано право на редактирование, пользователи роли смогут редактировать записи этого справочника и все атрибуты его вложенных объектов.

Если открыта расшифровка прав для элемента администрируемого объекта, на закладке отображаются все привилегии этого элемента, включая атрибуты и операции. Для таких привилегий доступны:

  • фильтрация по наименованию;

  • фильтрация по системному имени;

  • отбор по типу привилегии.

Поддерживаются следующие типы привилегий:

  • добавление;

  • чтение;

  • редактирование;

  • удаление;

  • интерактивные права.

Расшифровка прав для бизнес-объекта:

Расшифровка прав для элемента администрируемого объекта:

Интерактивные права#

Интерактивные права — это операции в списках и карточках объектов, например:

  • печать;

  • запуск процесса документооборота;

  • подписание ЭП.

Если выдать интерактивные права для верхнеуровневого объекта, пользователю станут доступны все операции во всех вложенных объектах, кроме тех, для которых установлен признак «Запрещено».

На практике рекомендуется настраивать доступ не для всего объекта целиком, а для конкретных операций конкретных объектов.

Объектные права#

Объектные права содержат список системных привилегий — специальных прав для конкретного объекта.

Например, для договоров может использоваться объектное право «Доступ ко всем договорам», которое позволяет просматривать договоры любых ОФС.

Если для объекта установлен признак «Не распространяются настройки администрирования», объектные права для него не применяются.

Ограничение дискретного доступа#

Для роли можно настроить ограничения дискретного доступа. Такие ограничения позволяют выдавать права не на все объекты класса, а только на объекты, соответствующие заданным условиям.

Подробное описание см. в разделе «Дискретный доступ».

Перевод состояний#

Закладка «Перевод состояний» содержит список возможных переходов состояний для всех типов объектов класса. На этой закладке отмечаются переходы, которые должны быть доступны пользователям роли.

Признак «Не распространяются настройки администрирования»#

Признак «Не распространяются настройки администрирования» отключает применение настроек администрирования для текущего объекта и всех его вложенных объектов. Это означает, что пользователи получают полный доступ к объекту независимо от настроек роли.

Этот признак относится не к роли, а к самому администрируемому объекту. Поэтому, если снять его при настройке одной роли, он будет снят и для всех остальных ролей.

По умолчанию признак установлен для всех объектов администрирования. После настройки прав его необходимо снять.

Изменение этого признака вступает в силу сразу после сохранения и не требует пересчета индексации прав.

Признак «Не требуется настройка прав на состояния»#

Признак «Не требуется настройка прав на состояния» означает, что пользователям доступны любые переходы между состояниями объектов данного класса.

Чтобы ограничить переходы состояний, необходимо:

  1. задать допустимые переходы в настройке типа объекта;

  2. на закладке «Перевод состояний» выдать права на нужные переходы.

Как и предыдущий признак, этот параметр относится к самому администрируемому объекту, а не к конкретной роли. Поэтому его значение одинаково для всех ролей.

По умолчанию признак установлен для всех объектов. После настройки прав на переходы состояний его необходимо снять и выполнить пересчет индексации.

Перенос прав на уровень элементарных привилегий#

Операция «Перенести права на уровень элементарных привилегий» позволяет перенести права с верхнеуровневых объектов на элементарные привилегии.

Операция доступна в меню под кнопкой с дополнительными действиями и поддерживает множественный выбор.

При выполнении операции действуют следующие правила:

  • если среди выбранных объектов есть верхнеуровневый администрируемый объект, перенос выполняется по всем его элементам;

  • если у роли есть право на определенный тип привилегии для объекта или его элемента, это право будет выдано всем элементарным привилегиям соответствующего типа;

  • права верхнеуровневого объекта после переноса снимаются;

  • при переносе прав для администрируемого объекта также переносятся правила дискретного доступа, настроенные на типе привилегии;

  • уже существующие разрешения, запреты и правила дискретного доступа для элементарных привилегий не перезаписываются;

  • перед переносом выполняется обновление всех выбранных администрируемых объектов.

Приложения, доступные для роли#

Закладка «Приложения, доступные для роли» содержит список приложений системы и позволяет указать, к каким приложениям пользователь роли получит доступ.

В детализации отображается список пунктов меню выбранного приложения.

Профили роли#

Закладка «Профили роли» содержит список профилей, в которые включена роль.

На закладке доступны операции:

  • добавления роли в профиль;

  • удаления роли из профиля;

  • открытия карточки профиля.

Пользователи роли#

Закладка «Пользователи роли» содержит список пользователей, которым назначена эта роль.

Роли назначаются пользователям не напрямую, а через профили, поэтому эта закладка недоступна для редактирования.

Содержимое закладки обновляется:

  • при изменении профилей роли;

  • при изменении профилей пользователей.

Для каждого пользователя указывается профиль, через который он получил роль.

На закладке доступна операция «Пересчитать индексацию системных привилегий для данного пользователя». Ее удобно использовать при тестировании изменений прав доступа на отдельных тестовых пользователях.

Содержание