Различия

Показаны различия между двумя версиями страницы.

--- product:access:about [23.01.2020 06:32] – [Системные роли и "проектные" роли] mayn
+++ product:access:about [22.03.2023 10:45] (текущий) – anna.makhneva
@@ Строка 1: / Строка 1: @@
-====== О правах доступа в Advanta ======
+====== О настройках безопасности в Advanta ======
 Возможности пользователя в системе регулируются:
   * лицензией его учётной записи;
   * системной ролью;
   * "проектной ролью" (роль проекта/дискуссии/согласования).
-<grid>
-<col sm="12" xs="12" lg="9" md="12">
+^ ^  [[product:access:licence_user|Лицензии]]  ^  [[product:auth:admin:system_roles|Cистемные роли]]  ^  [[product:auth:admin:project_roles|Роли проекта]]  ^
-^ ^  [[product:settings:interface:lisence_user|Лицензия]]  ^  [[product:auth:admin:system_roles|Системная роль]]  ^  [[product:auth:admin:project_roles|"Проектная" роль]]  ^
+^  Что регулируют|Доступ к отдельным разделам системы (в т.ч. Администрирование)  \\  Возможность делегировать объекты|  **[[product:access:list|Работают в одной плоскости]]**: регулируют возможности пользователя в рамках работы с объектами, отчётами, дискуссиями и согласованиями.  \\  //Например, дают или отнимают право на изменения в проекте.//  ||
-^  Что регулирует|Доступ к отдельным разделам системы (в т.ч. Администрирование)  \\  Возможность делегировать объекты|  **[[product:access:list|Работают в одной плоскости]]**: регулируют возможности пользователя в рамках работы с объектами, отчётами, дискуссиями и согласованиями.  \\  //Например, дают или отнимают право на изменения в проекте.//  ||
 ^:::|:::|Доступ **ко всем объектам системы** и диапазон возможностей по работе с ними|Диапазон возможностей по работе **с теми объектами, которые [[product:objects:people:delegation|делегированы]]** пользователю|
-^  Как назначается пользователю|Карточка пользователя -> поле "Лицензия"|Карточка пользователя -> "Системная роль"  \\  Или/и через настройку групп((группе присваивается системная(ые) роль(и) )) и включение пользователя в группу|Пользователю [[product:objects:people:delegation|делегириуется объект]] или его [[product:objects:people:members|приглашают участником]], или его [[product:access:object_roles|добавляет администратор]], или пользователь создаёт объект. => Получает права в рамках этого объекта согласно той роли, которую он в нем играет.|
+^  Как назначаются пользователю|Карточка пользователя -> поле "Лицензия"|Карточка пользователя -> "Системная роль"  \\  Или/и через настройку групп (группе присваивается системная(ые) роль(и) ) и включение пользователя в группу|Пользователю [[product:objects:people:delegation|делегириуется объект]] или его [[product:objects:people:members|приглашают участником]], или его [[product:access:object_roles|добавляет администратор]], или пользователь создаёт объект. => Получает права в рамках этого объекта согласно той роли, которую он в нем играет.|
-^  Где настраивается|Диапазон возможностей лицензий и их набор **не настраивается**.  \\  Администратор может только [[product:settings:interface:lisence_user|выбрать тип лицензии по умолчанию для новых пользователей]].|  **Администрирование -> Управление безопасностью -> Безопасность -> клик по нужной роли -> Изменить**  ||
+^  Где настраиваются|Диапазон возможностей лицензий и их набор **не настраивается**.  \\  Администратор может только [[product:access:licence_user|выбрать тип лицензии по умолчанию для новых пользователей]].|  **Администрирование -> Управление безопасностью -> Безопасность -> клик по нужной роли -> Изменить**  ||
-^  Где создаётся новая|:::|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Системные роли**" -> Создать новую роль.  \\  [[product:access:new_system_role|См. подробно здесь]].|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Роли проекта**" -> Создать новую роль.  \\  Можно [[product:access:new_project_role|добавлять только Роли проекта]]. Роли дискуссий и Роли согласований добавлять нельзя.|
+^  Где создаются новые|:::|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Системные роли**" -> Создать новую роль.  \\  [[product:access:new_system_role|См. подробно здесь]].|Администрирование -> Управление безопасностью -> Безопасность -> портлет "**Роли проекта**" -> Создать новую роль.  \\  Можно [[product:access:new_project_role|добавлять только Роли проекта]]. Роли дискуссий и Роли согласований добавлять нельзя.|
-</col>
-</grid>
 <callout type="success" icon="true">У пользователя может не быть никакой системной роли, и в этом нет проблемы.  \\  Пользователь может получать необходимый для работы доступ через делегированные ему проекты и задачи. Т.е. через "проектные" роли.</callout>
 **Лицензия** регулирует другие функциональные возможности пользователя, которые с объектами не связаны (кроме возможности делегировать).
-===== Типы лицензий =====
-{{page>product:settings:interface:lisence_user#типы_лицензий&noheader&nofooter}}
 ===== Роли безопасности =====
@@ Строка 28: / Строка 22: @@
 **Администрирование -> Управление безопасностью -> Безопасность.**
-<callout type="info" icon="true">
+<callout type="info">
 См.  [[product:access:list|описание всего перечня прав]].
 </callout>
@@ Строка 55: / Строка 49: @@
 </callout>
-==== Принципы работы ====
-  * Иерархичность -- все права, полученные в вышестоящем объекте, распространяются сверху вниз по дереву иерархии.
-  * Взаимодействие прав по принципу **И**((&, конъюнкция)).
 ==== Системные роли и "проектные" роли ====
@@ Строка 73: / Строка 64: @@
 [[product:access:list|Описание этого списка.]]</callout>
-==== Как работает сочетание прав доступа ====
-На каждое право могут быть заданы следующие разрешения и ограничения:  \\
-|{{:product:auth:admin:notpermit.gif}}|Не определено  \\  **Запрет**, если не указано {{:product:auth:admin:permit.gif}} в другой Системной роли или Роли проекта  \\  //Это значение выбрано по умолчанию для всех прав в создаваемых ролях безопасности.//|
-|{{:product:auth:admin:permit.gif}}|Разрешено|
-|{{:product:auth:admin:denied.gif}}|Запрещено  \\  **Отъём права**, даже если другой ролью это право было предоставлено {{:product:auth:admin:permit.gif}}|
-<callout type="primary" icon="true">Мы не рекомендуем устанавливать {{:product:auth:admin:denied.gif}} на Ролях проекта/дискуссий/согласований, чтобы не лишить пользователя нужной для работы функциональности.  \\
-Выбирайте {{:product:auth:admin:notpermit.gif}}, чтобы соблюсти гибкость настроек.  \\
-{{:product:auth:admin:denied.gif}} -- это инструмент жёсткого, однозначного запрета.</callout>
-Часто может быть ситуация, когда одна роль открывает доступ к объектам и функциональности, а другая, наоборот, ограничивает их.
-В случае, если у одного и того же пользователя назначены несколько ролей по одному и тому же объекту, и они противоречат друг другу (или не определяют доступ -- {{:product:auth:admin:notpermit.gif}}), правила доступа работают так:
-  * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:notpermit.gif}} -> {{:product:auth:admin:denied.gif}}
-  * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:permit.gif}}
-  * {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:denied.gif}} -> {{:product:auth:admin:denied.gif}}
-  * {{:product:auth:admin:denied.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:denied.gif}}
-<callout type="info">
-Например, у пользователя системная роль, которая даёт доступ редактирования всех проектов системы -- {{:product:auth:admin:permit.gif}}.  \\
-В Проекте_1 этот пользователь -- руководитель, где не определены {{:product:auth:admin:notpermit.gif}} права на изменение проекта  => {{:product:auth:admin:notpermit.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:permit.gif}}  \\
-А в Проекте_2 он же -- исполнитель, где запрещены {{:product:auth:admin:denied.gif}} изменения на Проект. => {{:product:auth:admin:denied.gif}} & {{:product:auth:admin:permit.gif}} -> {{:product:auth:admin:denied.gif}}
-</callout>