| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия |
| product:access:about [15.08.2019 13:01] – ↷ Страница перемещена из product:auth:admin:access:about в product:access:about mayn | product:access:about [22.03.2023 10:45] (текущий) – anna.makhneva |
|---|
| ====== О правах доступа в Advanta ====== | ====== О настройках безопасности в Advanta ====== |
| Возможности пользователя в системе регулируются: | Возможности пользователя в системе регулируются: |
| * лицензией его учётной записи; | * лицензией его учётной записи; |
| * системной ролью; | * системной ролью; |
| * "проектной ролью" (роль проекта/дискуссии/согласования). | * "проектной ролью" (роль проекта/дискуссии/согласования). |
| <grid> | |
| <col sm="12" xs="12" lg="9" md="12"> | ^ ^ [[product:access:licence_user|Лицензии]] ^ [[product:auth:admin:system_roles|Cистемные роли]] ^ [[product:auth:admin:project_roles|Роли проекта]] ^ |
| ^ ^ [[product:settings:interface:lisence_user|Лицензия]] ^ [[product:auth:admin:system_roles|Системная роль]] ^ [[product:auth:admin:project_roles|"Проектная" роль]] ^ | ^ Что регулируют|Доступ к отдельным разделам системы (в т.ч. Администрирование) \\ Возможность делегировать объекты| **[[product:access:list|Работают в одной плоскости]]**: регулируют возможности пользователя в рамках работы с объектами, отчётами, дискуссиями и согласованиями. \\ //Например, дают или отнимают право на изменения в проекте.// || |
| ^ Что регулирует|Доступ к отдельным разделам системы (в т.ч. Администрирование) \\ Возможность делегировать объекты| **[[product/auth/admin/access/list|Работают в одной плоскости]]**: регулируют возможности пользователя в рамках работы с объектами, отчётами, дискуссиями и согласованиями. \\ //Например, дают или отнимают право на изменения в проекте.// || | |
| ^:::|:::|Доступ **ко всем объектам системы** и диапазон возможностей по работе с ними|Диапазон возможностей по работе **с теми объектами, которые [[product:objects:people:delegation|делегированы]]** пользователю| | ^:::|:::|Доступ **ко всем объектам системы** и диапазон возможностей по работе с ними|Диапазон возможностей по работе **с теми объектами, которые [[product:objects:people:delegation|делегированы]]** пользователю| |
| ^ Как назначается пользователю|Карточка пользователя -> поле "Лицензия"|Карточка пользователя -> "Системная роль" \\ Или/и через настройку групп((группе присваивается системная(ые) роль(и) )) и включение пользователя в группу|Пользователю [[product:objects:people:delegation|делегириуется объект]] или его [[product:objects:people:members|приглашают участником]], или его [[product:auth:admin:access:object_roles|добавляет администратор]], или пользователь создаёт объект. => Получает права в рамках этого объекта согласно той роли, которую он в нем играет.| | ^ Как назначаются пользователю|Карточка пользователя -> поле "Лицензия"|Карточка пользователя -> "Системная роль" \\ Или/и через настройку групп (группе присваивается системная(ые) роль(и) ) и включение пользователя в группу|Пользователю [[product:objects:people:delegation|делегириуется объект]] или его [[product:objects:people:members|приглашают участником]], или его [[product:access:object_roles|добавляет администратор]], или пользователь создаёт объект. => Получает права в рамках этого объекта согласно той роли, которую он в нем играет.| |
| ^ Где настраивается|Диапазон возможностей лицензий и их набор **не настраивается**. \\ Администратор может только [[product:settings:interface:lisence_user|выбрать тип лицензии по умолчанию для новых пользователей]].| **Администрирование -> Управление безопасностью -> Безопасность -> клик по нужной роли -> Изменить** || | ^ Где настраиваются|Диапазон возможностей лицензий и их набор **не настраивается**. \\ Администратор может только [[product:access:licence_user|выбрать тип лицензии по умолчанию для новых пользователей]].| **Администрирование -> Управление безопасностью -> Безопасность -> клик по нужной роли -> Изменить** || |
| ^ Где создаётся новая|:::|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Системные роли**" -> Создать новую роль. \\ [[product:auth:admin:access:new_system_role|См. подробно здесь]].|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Роли проекта**" -> Создать новую роль. \\ Можно [[product:auth:admin:access:new_project_role|добавлять только Роли проекта]]. Роли дискуссий и Роли согласований добавлять нельзя.| | ^ Где создаются новые|:::|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Системные роли**" -> Создать новую роль. \\ [[product:access:new_system_role|См. подробно здесь]].|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Роли проекта**" -> Создать новую роль. \\ Можно [[product:access:new_project_role|добавлять только Роли проекта]]. Роли дискуссий и Роли согласований добавлять нельзя.| |
| </col> | |
| </grid> | |
| |
| <callout type="success" icon="true">У пользователя может не быть никакой системной роли, и в этом нет проблемы. \\ Пользователь может получать необходимый для работы доступ через делегированные ему проекты и задачи. Т.е. через "проектные" роли.</callout> | <callout type="success" icon="true">У пользователя может не быть никакой системной роли, и в этом нет проблемы. \\ Пользователь может получать необходимый для работы доступ через делегированные ему проекты и задачи. Т.е. через "проектные" роли.</callout> |
| |
| **Лицензия** регулирует другие функциональные возможности пользователя, которые с объектами не связаны (кроме возможности делегировать). | **Лицензия** регулирует другие функциональные возможности пользователя, которые с объектами не связаны (кроме возможности делегировать). |
| |
| ===== Типы лицензий ===== | |
| {{page>product:settings:interface:lisence_user#типы_лицензий&noheader&nofooter}} | |
| |
| ===== Роли безопасности ===== | ===== Роли безопасности ===== |
| **Администрирование -> Управление безопасностью -> Безопасность.** | **Администрирование -> Управление безопасностью -> Безопасность.** |
| |
| <callout type="info" icon="true"> | <callout type="info"> |
| См. [[product/auth/admin/access/list|описание всего перечня прав]]. | См. [[product:access:list|описание всего перечня прав]]. |
| </callout> | </callout> |
| |
| </callout> | </callout> |
| |
| ==== Принципы работы ==== | |
| * Иерархичность -- все права, полученные в вышестоящем объекте, распространяются сверху вниз по дереву иерархии. | |
| * Взаимодействие прав по принципу **И**((&, конъюнкция)). | |
| |
| ==== Системные роли и "проектные" роли ==== | ==== Системные роли и "проектные" роли ==== |
| ^ Распространяется на все объекты системы| да((Если общесистемная роль разрешает пользователю создание дочерних проектов и задач, то он сможет создавать их во всех ветках дерева проектов, в которые имеет доступ.)) | нет((Действуют на права пользователя только тогда, когда он автоматически или вручную становится участником роли в определенных проектах, дискуссиях или согласованиях.)) ||| | ^ Распространяется на все объекты системы| да((Если общесистемная роль разрешает пользователю создание дочерних проектов и задач, то он сможет создавать их во всех ветках дерева проектов, в которые имеет доступ.)) | нет((Действуют на права пользователя только тогда, когда он автоматически или вручную становится участником роли в определенных проектах, дискуссиях или согласованиях.)) ||| |
| ^ Можно создавать свои роли| да | да | нет || | ^ Можно создавать свои роли| да | да | нет || |
| ^ Как назначается пользователю|Через настройки пользователя (напрямую или через группы).|Через назначение пользователю роли в проекте/дискуссии/согласовании.||| | ^ Как назначается пользователю|Через настройки пользователя (напрямую или через группы).|Через назначение пользователю роли в проекте/дискуссии/согласовании. \\ //Делегирование объекта пользователю как руководителю или исполнителю, приглашение его участником или согласующим -- это и есть назначение ему соответствующей проектной роли.//||| |
| |
| <callout type="primary" icon="true">Пользователь может являться участником **сразу нескольких ролей безопасности**, как системных, так и проектных. \\ | <callout type="primary" icon="true">Пользователь может являться участником **сразу нескольких ролей безопасности**, как системных, так и проектных. \\ |
| <callout type="info" icon="true">Чтобы увидеть полный актуальный список прав, зайдите в Администрирование -> Управление безопасностью -> Безопасность -> клик на любую системную роль -> Изменить. | <callout type="info" icon="true">Чтобы увидеть полный актуальный список прав, зайдите в Администрирование -> Управление безопасностью -> Безопасность -> клик на любую системную роль -> Изменить. |
| |
| [[product/auth/admin/access/list|Описание этого списка.]]</callout> | [[product:access:list|Описание этого списка.]]</callout> |
| |
| ==== Как работает сочетание прав доступа ==== | |
| |
| На каждое право могут быть заданы следующие разрешения и ограничения: \\ | |
| |{{:product:auth:admin:notpermit.gif}}|Не определено \\ **Запрет**, если не указано {{:product:auth:admin:permit.gif}} в другой Системной роли или Роли проекта \\ //Это значение выбрано по умолчанию для всех прав в создаваемых ролях безопасности.//| | |
| |{{:product:auth:admin:permit.gif}}|Разрешено| | |
| |{{:product:auth:admin:denied.gif}}|Запрещено \\ **Отъём права**, даже если другой ролью это право было предоставлено {{:product:auth:admin:permit.gif}}| | |
| |
| <callout type="primary" icon="true">Мы не рекомендуем устанавливать {{:product:auth:admin:denied.gif}} на Ролях проекта/дискуссий/согласований, чтобы не лишить пользователя нужной для работы функциональности. \\ | |
| Выбирайте {{:product:auth:admin:notpermit.gif}}, чтобы соблюсти гибкость настроек. \\ | |
| {{:product:auth:admin:denied.gif}} -- это инструмент жёсткого, однозначного запрета.</callout> | |
| |
| Часто может быть ситуация, когда одна роль открывает доступ к объектам и функциональности, а другая, наоборот, ограничивает их. | |
| |
| В случае, если у одного и того же пользователя назначены несколько ролей по одному и тому же объекту, и они противоречат друг другу (или не определяют доступ -- {{:product:auth:admin:notpermit.gif}}), правила доступа работают так: | |
| * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:notpermit.gif}} -> {{:product:auth:admin:denied.gif}} | |
| * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:permit.gif}} | |
| * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:denied.gif}} -> {{:product:auth:admin:denied.gif}} | |
| * {{:product:auth:admin:denied.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:denied.gif}} | |
| |
| <callout type="info"> | |
| Например, у пользователя системная роль, которая даёт доступ редактирования всех проектов системы -- {{:product:auth:admin:permit.gif}}. \\ | |
| В Проекте_1 этот пользователь -- руководитель, где не определены {{:product:auth:admin:notpermit.gif}} права на изменение проекта => {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:permit.gif}} \\ | |
| А в Проекте_2 он же -- исполнитель, где запрещены {{:product:auth:admin:denied.gif}} изменения на Проект. => {{:product:auth:admin:denied.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:denied.gif}} | |
| </callout> | |