# Управление доступом

## Классификация пользователей и учетных записей

Для целей управления доступом и разграничения полномочий учетные записи в системе Global ERP подразделяются на следующие категории:

1. **Внутренние пользователи** — сотрудники организации, имеющие постоянный доступ к системе для выполнения служебных обязанностей.
2. **Внешние пользователи** — клиенты, подрядчики и иные третьи лица, которым предоставляется ограниченный доступ к функционалу системы в рамках конкретных бизнес-процессов.
3. **Технические или сервисные учетные записи** — учетные записи, используемые для интеграций, автоматизированных процессов, сервисов и программных компонентов системы.
4. **Администраторы и привилегированные учетные записи** — пользователи с повышенными правами доступа к системным функциям, конфигурации, ролевым назначениям и критическим данным.

Для каждой категории учетных записей устанавливаются отдельные правила аутентификации, ограничения по доступу, а также требования к хранению и защите учетных данных.

В типовой поставке Global ERP не предусмотрены готовые профили доступа и роли для конкретных организационных моделей заказчика. Заказчик самостоятельно создает профили и роли, определяет состав привилегий и назначает их пользователям в соответствии со своими бизнес-процессами, организационной структурой и требованиями к разграничению доступа.

## Ролевая модель доступа

В Global ERP применяется ролевая модель доступа с разграничением полномочий на уровне платформы и прикладных компонентов. Доступ к функциям, данным, журналам событий и API предоставляется на основании назначенных ролей.

Ролевая модель используется как основной механизм разграничения прав и поддерживает:

- разделение полномочий между различными категориями пользователей;
- ограничение доступа к критически важным операциям;
- контроль привилегий при обращении к системным и сервисным API;
- запрет совмещения конфликтующих ролей;
- интеграцию с внешними IDM-системами.

Роли включают права на выполнение операций: чтение, добавление, изменение, удаление и выполнение действий. Роли могут назначаться администратором системы вручную или через внешнюю систему управления идентификацией и доступом, интегрированную с Global ERP.

Независимо от источника первичной аутентификации, прикладные роли и полномочия назначаются и проверяются в контуре Global ERP.

Настройка ролей выполняется в соответствии с [руководством по настройке ролей](https://help.globalerp.ru/books/AccessGuide/SNAPSHOT/html/0300_Роли.html#id2).

## Контроль привилегий

Контроль привилегий в Global ERP осуществляется на основе ролевой модели и реализуется средствами платформы на серверной стороне.

Проверка прав доступа выполняется при каждом обращении к:

- прикладным операциям;
- объектам данных;
- системным и сервисным API;
- REST- и SOAP-сервисам;
- административным функциям и иным критичным интерфейсам.

Доступ к функциональности системы предоставляется при наличии соответствующих привилегий. При отсутствии необходимых прав выполнение операции запрещается.

Контроль доступа реализуется централизованно и не должен дублироваться или обходиться на уровне прикладного кода. Все проверки выполняются на стороне сервера, независимо от клиентского интерфейса или способа вызова.

Для ограничения доступа на уровне отдельных объектов используется механизм дискретного доступа. Настройка правил выполняется в соответствии с [разделом документации по дискретному доступу](https://help.globalerp.ru/books/G3AppAdministrationGuide/SNAPSHOT/html/040_дискертный_доступ.html#id2).