Концепция прав доступа
Концепция прав доступа
Подсистема прав состоит из следующих структурных объектов:
Объект |
Описание |
Роль |
Роли определяют права доступа к различным объектам или функционалу системы, а также шаблоны ограничения прав доступа на уровне записей – по организациям и подразделениям. |
Профиль группы доступа |
Профили позволяют логически объединить несколько ролей для назначения этих ролей пользователям. Например, роли «Право выдачи займов» и «Работа с заявками на займ» объединены в профиль «Клиентский менеджер». Профили также позволяют настроить использование ограничений прав, определенных шаблонами в ролях. |
Группа доступа |
Группы доступа позволяют настроить конкретные ограничения прав по полям для отдельных профилей. Например, можно создать группу «Клиентские менеджеры, Красные ворота», указать профиль «Клиентский менеджер» и настроить ограничение прав по подразделению «Красные ворота». |
Для установки пользователям прав используются настроенные группы доступа. Один пользователь может входить в несколько групп доступа, при этом права, предоставляемые этими группами, объединяются. Если разные группы предоставляют разные права доступа к одному объекту (например, одна группа – только на чтение, а другая – на чтение и изменение), то действуют более широкие права (в данном примере – на чтение и изменение).
Документ носит концептуальный характер. Используемые в примерах названия групп доступа, профилей и ролей могут отличаться от существующих в системе.
Принципы настройки прав доступа в системе
Рекомендуется следующий порядок настройки прав доступа:
- Определяется набор необходимых профилей в зависимости от требуемых прав доступа. Профили могут пересекаться в части входящих в них ролей (например, операционисту и кассиру необходимо право работы с договорами); один профиль может полностью включать в себя состав ролей другого профиля (например, старший менеджер должен иметь те же права, что и менеджер, с добавлением своих, расширенных, прав).
- Для каждого профиля определяется необходимость ограничения прав доступа на уровне записей.
- После настройки профилей для каждого профиля создаются группы пользователей. Для профилей, предполагающих ограничение прав доступа на уровне записей, создаются несколько групп – для каждого набора ограничивающих факторов. Например, для профиля «Клиентский менеджер» могут быть созданы группы «Клиентские менеджеры (Красные ворота)», «Клиентские менеджеры (Савеловский)», а для профиля «Колл-центр» - группа «Сотрудники колл-центра» без ограничения доступа по подразделениям.
- Пользователям назначаются группы доступа. Один пользователь может входить в несколько групп.
Если возникла необходимость расширить права отдельного пользователя (или нескольких пользователей), и при этом в системе отсутствует необходимая группа, рекомендуется не изменять настройки существующей группы, а создать новую, настроить для нее профиль и включить в нее пользователя (пользователей). Например, если требуется части клиентских менеджеров офиса «Савеловский» дать право оформления денежных документов, то нужно выполнить следующие действия:
- создать новый профиль;
- указать в нем использование роли «Право работы с денежными документами»;
- указать в нем возможность настройки ограничения прав доступа по подразделению;
- создать новую группу пользователей (например, «Право оформления денежных документов (Савеловский)»);
- включить менеджеров в данную группу.
По сравнению с созданием отдельного «полноценного» профиля такой подход:
● позволяет указать в новом профиле только новые права, не копируя целиком набор прав «родительского» профиля;
● избавляет от необходимости при изменении набора прав «родительского» профиля переносить эти изменения в производные профили;
● позволяет использовать новые профили в паре с другими профилями, отличными от того, который изначально считался «родительским» (например, профиль «Право работы с денежными документами» может дополнять не только профиль «Клиентский менеджер», но и любой другой).
Интерфейс подсистемы
Администрирование пользователей и настройка прав доступа осуществляется в панели «Настройка пользователей и прав» раздела «Настройка и администрирование».
Описание интерфейса панели:
Элемент интерфейса |
Описание |
Пользователи |
Администрирование пользователей, которые работают с программой. |
Флажок «Группы пользователей» |
Признак ведения учета пользователей в разрезе групп. |
Группы доступа |
Настройка прав доступа и ограничений для списка пользователей и групп пользователей. |
Флажок «Ограничивать доступ на уровне записей» |
Признак использования механизма ограничения доступа на уровне записей. Механизм позволяет разделять права доступа пользователей по подразделениям и организациям, но несколько замедляет работу системы за счет необходимости проведения дополнительных проверок прав. |
Профили групп доступа |
Настройка профилей групп доступа пользователей. |