Концепция прав доступа
×

Концепция прав доступа

Подсистема прав состоит из следующих структурных объектов:

Объект

Описание

Роль

Роли определяют права доступа к различным объектам или функционалу системы, а также шаблоны ограничения прав доступа на уровне записей – по организациям и подразделениям.

Профиль группы доступа

Профили позволяют логически объединить несколько ролей для назначения этих ролей пользователям. Например, роли «Право выдачи займов» и «Работа с заявками на займ» объединены в профиль «Клиентский менеджер».

Профили также позволяют настроить использование ограничений прав, определенных шаблонами в ролях.

Группа доступа

Группы доступа позволяют настроить конкретные ограничения прав по полям для отдельных профилей. Например, можно создать группу «Клиентские менеджеры, Красные ворота», указать профиль «Клиентский менеджер» и настроить ограничение прав по подразделению «Красные ворота».

 

Для установки пользователям прав используются настроенные группы доступа. Один пользователь может входить в несколько групп доступа, при этом права, предоставляемые этими группами, объединяются. Если разные группы предоставляют разные права доступа к одному объекту (например, одна группа – только на чтение, а другая – на чтение и изменение), то действуют более широкие права (в данном примере – на чтение и изменение).

Документ носит концептуальный характер. Используемые в примерах названия групп доступа, профилей и ролей могут отличаться от существующих в системе.

Принципы настройки прав доступа в системе

Рекомендуется следующий порядок настройки прав доступа:

  1. Определяется набор необходимых профилей в зависимости от требуемых прав доступа. Профили могут пересекаться в части входящих в них ролей (например, операционисту и кассиру необходимо право работы с договорами); один профиль может полностью включать в себя состав ролей другого профиля (например, старший менеджер должен иметь те же права, что и менеджер, с добавлением своих, расширенных, прав).
  2. Для каждого профиля определяется необходимость ограничения прав доступа на уровне записей.
  3. После настройки профилей для каждого профиля создаются группы пользователей. Для профилей, предполагающих ограничение прав доступа на уровне записей, создаются несколько групп – для каждого набора ограничивающих факторов. Например, для профиля «Клиентский менеджер» могут быть созданы группы «Клиентские менеджеры (Красные ворота)», «Клиентские менеджеры (Савеловский)», а для профиля «Колл-центр» - группа «Сотрудники колл-центра» без ограничения доступа по подразделениям.
  4. Пользователям назначаются группы доступа. Один пользователь может входить в несколько групп.

Если возникла необходимость расширить права отдельного пользователя (или нескольких пользователей), и при этом в системе отсутствует необходимая группа, рекомендуется не изменять настройки существующей группы, а создать новую, настроить для нее профиль и включить в нее пользователя (пользователей). Например, если требуется части клиентских менеджеров офиса «Савеловский» дать право оформления денежных документов, то нужно выполнить следующие действия:

  1. создать новый профиль;
  2. указать в нем использование роли «Право работы с денежными документами»;
  3. указать в нем возможность настройки ограничения прав доступа по подразделению;
  4. создать новую группу пользователей (например, «Право оформления денежных документов (Савеловский)»);
  5. включить менеджеров в данную группу.

По сравнению с созданием отдельного «полноценного» профиля такой подход:

●     позволяет указать в новом профиле только новые права, не копируя целиком набор прав «родительского» профиля;

●     избавляет от необходимости при изменении набора прав «родительского» профиля переносить эти изменения в производные профили;

●     позволяет использовать новые профили в паре с другими профилями, отличными от того, который изначально считался «родительским» (например, профиль «Право работы с денежными документами» может дополнять не только профиль «Клиентский менеджер», но и любой другой).

Интерфейс подсистемы

Администрирование пользователей и настройка прав доступа осуществляется в панели «Настройка пользователей и прав» раздела «Настройка и администрирование».

Описание интерфейса панели:

Элемент интерфейса

Описание

Пользователи

Администрирование пользователей, которые работают с программой.

Флажок «Группы пользователей»

Признак ведения учета пользователей в разрезе групп.

Группы доступа

Настройка прав доступа и ограничений для списка пользователей и групп пользователей.

Флажок «Ограничивать доступ на уровне записей»

Признак использования механизма ограничения доступа на уровне записей. Механизм позволяет разделять права доступа пользователей по подразделениям и организациям, но несколько замедляет работу системы за счет необходимости проведения дополнительных проверок прав.

Профили групп доступа

Настройка профилей групп доступа пользователей.

 

Помогло? Да Нет 91% пользователей считают эту статью полезной.

Благодарим вас за отзыв.

Сообщите нам, как вам лучше помочь.

Отправить Отмена


Задать вопрос