Это старая версия документа!

О правах доступа в Advanta

Возможности пользователя в системе регулируются:

  • лицензией его учётной записи;
  • системной ролью;
  • «проектной ролью» (роль проекта/дискуссии/согласования).
Лицензия Системная роль "Проектная" роль
Что регулируетДоступ к отдельным разделам системы (в т.ч. Администрирование)
Возможность делегировать объекты		 Работают в одной плоскости: регулируют возможности пользователя в рамках работы с объектами, отчётами, дискуссиями и согласованиями.
Например, дают или отнимают право на изменения в проекте.
Доступ ко всем объектам системы и диапазон возможностей по работе с нимиДиапазон возможностей по работе с теми объектами, которые делегированы пользователю
Как назначается пользователюКарточка пользователя → поле «Лицензия»Карточка пользователя → «Системная роль»
Или/и через настройку групп1) и включение пользователя в группу		Пользователю делегириуется объект или его приглашают участником, или его добавляет администратор, или пользователь создаёт объект. ⇒ Получает права в рамках этого объекта согласно той роли, которую он в нем играет.
Где настраиваетсяДиапазон возможностей лицензий и их набор не настраивается.
Администратор может только выбрать тип лицензии по умолчанию для новых пользователей.		 Администрирование → Управление безопасностью → Безопасность → клик по нужной роли → Изменить
Где создаётся новаяАдминистрирование → Управление безопасностью → Безопасность → портлет «Системные роли» → Создать новую роль.
См. подробно здесь.		Администрирование → Управление безопасностью → Безопасность → портлет «Роли проекта» → Создать новую роль.
Можно добавлять только Роли проекта. Роли дискуссий и Роли согласований добавлять нельзя.
У пользователя может не быть никакой системной роли, и в этом нет проблемы.
Пользователь может получать необходимый для работы доступ через делегированные ему проекты и задачи. Т.е. через «проектные» роли.

Лицензия регулирует другие функциональные возможности пользователя, которые с объектами не связаны (кроме возможности делегировать).

Типы лицензий

Информация о лицензиях доступна тут: Администрирование → Общие настройки → Информация о лицензии

В разделе «Информация о лицензии» в общих настройках вы можете увидеть:

  • дату истечения лицензий,
  • ограничение на количество лицензий по их типам.
Информация о лицензиях
Лимит по количеству лицензий распространяется только на активные учетные записи пользователей в системе.

Если, например, сотрудник, уволен и его учётная запись заблокирована, его учётная запись не занимает лицензию.

Тип лицензии по умолчанию

С помощью опции «Тип лицензии по умолчанию» выбирается тип лицензии, который будет автоматически выставлен всем вновь созданным и приглашенным пользователям.

Обзор типов лицензий

Начиная с версии системы 3.27 мы добавляем следующие типы лицензий:

  • Универсальная (ранее «Директор»)
  • Пользователь портала
  • Наблюдатель

Лицензия «Ресурс» появилась в версии системы 3.22.

В таблице ниже - обзор возможностей всех типов лицензий. Типы лицензий «Исполнитель» и «Руководитель» больше не поставляются и перенесены в архив.

Функционал системы Ресурс Наблюдатель Пользователь портала Универсальная Администратор
Вход в систему Да Да Да Да
Доступ к разделу «Администрирование» Да
Доступ к разделу «Дашборды» Да Да
Работа с отчетами Да Да
Работа со списками Да Да Да
Работа с документами Просмотр Да Да Да
Ведение табеля учета времени Да Да Да
Просмотр календарей других пользователей (дополнительно требуется разрешение на право «Просмотр пользователей») Да Да
Создание объектов (директорий, проектов и задач) Просмотр Просмотр Да Да
Делегирование проектов и задач Да Да
Назначение ресурсов на задачи Да Да
Смена статусов объектов Да Да Да
Редактирование реквизитов объектов Да Да Да
Внесение данных в справочник Просмотр Да Да Да
Заполнение форм сбора данных Да Да Да
Создание дискуссий Да Да Да
Участие в дискуссиях Просмотр Да Да Да
Создание согласований Да Да
Участие в согласованиях Просмотр Просмотр Да Да
Может являться руководителем объекта Да Да Да
Может являться исполнителем объекта Да Да Да Да Да
Может быть участником проекта Да Да Да Да
Может быть указан как ресурс по задаче Да Да Да Да Да
Приемка полномочий (Руководитель, Исполнитель, Участник) Автоматически Автоматически Да Да Да

Ограничения для лицензий «Пользователь портала» и «Наблюдатель»

«Запрещено» - право жестко запрещено даже если, согласно настройкам системы, оно разрешено для данного пользователя.
« - » - жесткие ограничения не вводятся. Право регулируется настройками системы.

Право системы Лицензия «Пользователь портала» Лицензия «Наблюдатель»
Группа прав «Операции с объектами (директориями, проектами и задачами)»
Создание объектов Запрещено Запрещено
создание подчинённых проектов и задач Запрещено Запрещено
изменение состава участников - Запрещено
перевод на следующую стадию - Запрещено
возврат на предыдущую стадию - Запрещено
сохранение базовых планов Запрещено Запрещено
Удаление объектов Запрещено Запрещено
удаление объектов, имеющих базовый план Запрещено Запрещено
Изменение объекта - Запрещено
изменение названия объекта - Запрещено
изменение реквизитов объекта - Запрещено
изменение приоритета объекта - Запрещено
повышение приоритета объекта - Запрещено
понижение приоритета объекта - Запрещено
изменение статуса объекта - Запрещено
изменение плановых дат проектов и задач - Запрещено
изменение фактических дат проектов и задач - Запрещено
Перемещение объектов в иерархической структуре Запрещено Запрещено
Делегирование руководителя Запрещено Запрещено
Делегирование исполнителя Запрещено Запрещено
Выбор производственного календаря Запрещено Запрещено
Блокировать/разблокировать реквизит Запрещено Запрещено
Копирование объектов Запрещено Запрещено
Изменение номера в структуре Запрещено Запрещено
Группа прав «Операции с дискуссиями»
Создание дискуссии - Запрещено
Изменение темы и содержания дискуссии - Запрещено
Добавление участников дискуссии - Запрещено
Создание задачи по дискуссии, закрытие дискуссии - Запрещено
Группа прав «Операции с ответами на дискуссии»
Создание ответа на дискуссию - Запрещено
Изменение ответа на дискуссию - Запрещено
Преобразование ответа на дискуссию в новую тему дискуссии - Запрещено
Удаление ветви сообщений - Запрещено
Группа прав «Операции с согласованиями»
Создание согласования Запрещено Запрещено
Изменение темы и содержания согласования Запрещено Запрещено
Добавление согласующих Запрещено Запрещено
Закрытие/возобновление согласования Запрещено Запрещено
Удаление согласования Запрещено Запрещено
Комментирование согласования Запрещено Запрещено
Удаление комментария Запрещено Запрещено
Удаление ответа Запрещено Запрещено
Группа прав «Операции с документами»
Создание документа - Запрещено
Добавление новых версий и изменение документа - Запрещено
Удаление документа - Запрещено
Активация документа Запрещено Запрещено
Группа прав «Операции с формами»
Просмотр и заполнение форм в объекте - Запрещено
Инициация запроса форм Запрещено Запрещено
Просмотр истории запросов Запрещено Запрещено
Редактирование фактических дат через форму - Запрещено
Группа прав «Работа с табелями учета времени»
Просмотр табелей Запрещено Запрещено
Утверждение табелей Запрещено Запрещено
Отклонение табелей Запрещено Запрещено
Группа прав «Операции со справочником «Название_справочника» (для всех справочников, созданных и создаваемых в системе)
Создание записей справочника - Запрещено
Изменение записей справочника - Запрещено
Удаление записей справочника - Запрещено
Утверждение записей справочника Запрещено Запрещено
Настройка/отправка запросов на ввод данных в справочник Запрещено Запрещено
Группа прав «Операции с пользователями»
Создание и приглашение пользователей Запрещено Запрещено
Изменение профайлов пользователей Запрещено Запрещено
Изменение системных настроек пользователей Запрещено Запрещено
Просмотр статистики действий пользователей Запрещено Запрещено
Просмотр показателей KPI пользователей Запрещено Запрещено
Изменение плановых значений KPI пользователей Запрещено Запрещено
Группа прав «Операции с группами пользователей»
Создание групп пользователей Запрещено Запрещено
Изменение группы пользователей Запрещено Запрещено
Изменение системных ролей группы пользователей Запрещено Запрещено
Удаление группы пользователей Запрещено Запрещено
Группа прав «Операции с новостями»
Публикация комментариев - Запрещено
Создание и изменение новости Запрещено Запрещено
Удаление новости и комментариев Запрещено Запрещено
Группа прав «Операции с панелью управления»
Просмотр панели Запрещено Запрещено
Создание новых направлений бизнеса Запрещено Запрещено
Добавление инструментов на панель Запрещено Запрещено
Изменение и удаление инструментов с панели Запрещено Запрещено
Группа прав «Операции с картой бизнеса»
Просмотр карты бизнеса Запрещено Запрещено
Группа прав «Операции со стратегическими картами»
Просмотр карты Запрещено Запрещено
Создание/изменение карты Запрещено Запрещено
Удаление карты Запрещено Запрещено
Группа прав «Операции с целями (видение)»
Просмотр целей Запрещено Запрещено
Создание/изменение целей Запрещено Запрещено
Удаление целей Запрещено Запрещено
Группа прав «Операции с геймификацией»
Свой счет и магазин - Запрещено
Просмотр всех счетов - Запрещено
Группа прав «Операции со справочниками (администрирование)»
Просмотр шаблонов справочников Запрещено Запрещено
Создание/изменение/удаление шаблонов справочников Запрещено Запрещено
Группа прав «Операции с импортом»
Импорт значений классификаторов Запрещено Запрещено
Группа прав «Операции с отчетами»
Выгрузка отчетов в файл Запрещено Запрещено
Группа прав «Операции с OLAP-кубами (администрирование)»
Просмотр OLAP-кубов Запрещено Запрещено
Создание / изменение / удаление OLAP-кубов Запрещено Запрещено
Группа прав «Операции с OLAP-кубами» (для всех OLAP-кубов, созданных и создаваемых в системе)
Просмотр данных OLAP-куба «Название_OLAP-куба» Запрещено Запрещено
Группа прав «Операции с дашбордами» (для всех дашбордов, созданных и создаваемых в системе)
Просмотр дашборда «Название_дашборда» Запрещено Запрещено
Группа прав «Ресурсоёмкие операции»
Скачивание нескольких документов Запрещено Запрещено
Группа прав «Управление безопасностью»
Получение данных системного протокола через запрос Запрещено Запрещено
На пользователя с типом лицензии «Администратор» не действуют ограничения по ролям. Это единственный случай, когда отъём прав (прямой запрет в настройках роли ) не работает.

Ресурсная лицензия

Доступно начиная с версии 3.22.

Предназначена для того, чтобы можно было распланировать ресурсы по проектам. Учётные записи-«ресурсы» не могут авторизоваться в системе и полноценно работать в ней.

Лицензии этого типа выполняют сугубо техническую задачу для корректного планирования трудозатрат в проекте.

Особенности ресурсной лицензии

Лицензия «Ресурс» в точности повторяет лицензию «Исполнитель», но с рядом ограничений:

  • запрещён вход в систему;
  • пользователь «Ресурс» не отображается:
    • при запросе на заполнение справочника;
    • при запросе на заполнение формы сбора отчетности и при настройке фильтров формы;
    • в окне выбора пользователей при добавлении в участники дискуссии, согласующих и т.д.;
    • при формировании отчёта – в фильтре по участникам

Так как «Ресурс» – это виртуальный пользователь, и ему запрещён вход в систему (он не сможет ответить всё равно), система не отправляет этому пользователю:

  • запросы на заполнение формы сбора отчетности;
  • любые другие уведомления во вкладку «Входящие», требующие обратной связи/ответа;
  • письма на почту (События, Уведомления);
  • отключает все события в «Ленте событий» на Рабочем столе.
Но при этом у пользователя всё равно должна быть включена опция «Разрешить вход в систему», иначе его нельзя будет назначить на роли в проекте или ресурсом.

Лицензию любой учётной записи можно сменить на «Ресурс» и обратно. В зависимости от этого к учетной записи будут или не будут применяться ограничения.

У пользователя с лицензией «Ресурс» все запросы на приём полномочий ролей «Руководитель» или «Исполнитель» автоматически принимаются.

Примеры поведения при изменении типа лицензии у пользователя на «Ресурс»:

  • Пользователя с лицензией «Исполнитель» добавили в процедуру для создания дискуссии, затем сменили у него лицензию на «Ресурс».
    При вызове процедуры данный пользователь не будет автоматически добавлен.
  • Пользователя с лицензией «Исполнитель» добавили в согласование или дискуссию, затем запустили согласование/дискуссию, затем сменили у него лицензию на «Ресурс».
    Данный пользователь должен пропасть из согласования/дискуссии.

Роли безопасности

Все настройки безопасности в системе находятся тут:

Администрирование → Управление безопасностью → Безопасность.

См. описание всего перечня прав.

Чтобы увидеть перечень того, что разрешено или запрещено:

  1. клик на название роли;
  2. в блоке «Права» развернуть разделы – отобразятся все текущие разрешения.

Чтобы изменить настройки роли:

  1. клик на название роли;
  2. Изменить;
  3. поменять чек-боксы;
  4. сохранить изменения.

«Я руководитель, но не могу делегировать задачи!»

  1. Проверить, что у пользователя лицензия «Руководитель» или «Директор» (в карточке пользователя → Изменить).
  2. Проверить, что у него в системной/проектной роли в блоке «Операции с объектами (директориями, проектами и задачами)» разрешено:
    • Делегирование руководителя
    • Делегирование исполнителя

Отчёты по правам безопасности

Чтобы посмотреть, что получается в итоге:

Принципы работы

  • Иерархичность – все права, полученные в вышестоящем объекте, распространяются сверху вниз по дереву иерархии.
  • Взаимодействие прав по принципу И2).

Системные роли и "проектные" роли

Системная роль Роль проекта Роль дискуссии Роль согласования
Распространяется на все объекты системы да3) нет4)
Можно создавать свои роли да да нет
Как назначается пользователюЧерез настройки пользователя (напрямую или через группы).Через назначение пользователю роли в проекте/дискуссии/согласовании.
Делегирование объекта пользователю как руководителю или исполнителю, приглашение его участником или согласующим – это и есть назначение ему соответствующей проектной роли.
Пользователь может являться участником сразу нескольких ролей безопасности, как системных, так и проектных.
Итоговый набор разрешений формируется совокупностью разрешений в этих ролях.
Чтобы увидеть полный актуальный список прав, зайдите в Администрирование → Управление безопасностью → Безопасность → клик на любую системную роль → Изменить.

Описание этого списка.

Как работает сочетание прав доступа

На каждое право могут быть заданы следующие разрешения и ограничения:

Не определено
Запрет, если не указано в другой Системной роли или Роли проекта
Это значение выбрано по умолчанию для всех прав в создаваемых ролях безопасности.
Разрешено
Запрещено
Отъём права, даже если другой ролью это право было предоставлено
Мы не рекомендуем устанавливать на Ролях проекта/дискуссий/согласований, чтобы не лишить пользователя нужной для работы функциональности.
Выбирайте , чтобы соблюсти гибкость настроек.
– это инструмент жёсткого, однозначного запрета.

Часто может быть ситуация, когда одна роль открывает доступ к объектам и функциональности, а другая, наоборот, ограничивает их.

В случае, если у одного и того же пользователя назначены несколько ролей по одному и тому же объекту, и они противоречат друг другу (или не определяют доступ – ), правила доступа работают так:

  • &
  • &
  • &
  • &
Например, у пользователя системная роль, которая даёт доступ редактирования всех проектов системы – .
В Проекте_1 этот пользователь – руководитель, где не определены права на изменение проекта ⇒ &
А в Проекте_2 он же – исполнитель, где запрещены изменения на Проект. ⇒ &
1)
группе присваивается системная(ые) роль(и)
2)
&, конъюнкция
3)
Если общесистемная роль разрешает пользователю создание дочерних проектов и задач, то он сможет создавать их во всех ветках дерева проектов, в которые имеет доступ.
4)
Действуют на права пользователя только тогда, когда он автоматически или вручную становится участником роли в определенных проектах, дискуссиях или согласованиях.