Настройка прав доступа на справочные группы, позиции и атрибуты

На каждый декларируемый в группе атрибут и позицию в справочной группе назначаются права доступа, которые определяют порядок использования справочных данных. Доступ к отдельным атрибутам / позициям в свою очередь определяет доступ к справочной группе в целом.

Любой пользователь Системы обязательно входит в системную роль "Все пользователи". Если ни в одной справочной группе не определены права доступа для конкретного пользователя / группы / роли, то права определяются в соответствии с правами, назначенными для системной роли "Все пользователи" на уровне корневого элемента дерева "Все справочники".
При расчете прав доступа на атрибут, приоритет всегда отдается правам доступа, которые настроены для пользователя. Если пользователю задан уровень доступа для справочной группы, а для атрибута этот уровень доступа не перекрыт, то права доступа будут получены из справочной группы, даже если для его ролей и групп пользователей указаны иные права доступа.

Если пользователь состоит в нескольких ролях/группах, то в начале определяются уровни доступа каждой роли/группы к атрибуту, а затем дополняются уровнями доступа к позициям для оставшихся ролей/групп и выбирается максимальный уровень.

Настройку прав доступа в подсистеме Справочники может осуществлять пользователь со следующими привилегиями:

Подсистема	Объект доступа	Субъект доступа	Право доступа	Доступно чтение прав доступа	Доступно редактирование прав доступа
Справочники	Справочная группа/позиция	Пользователь, Роль/Группа, Все пользователи	Нет доступа	– Пользователю с привилегией Чтение безопасности доступно чтение прав доступа ко всем справочным группам и атрибутам; – Пользователю с уровнем доступа Полный доступ к справочной группе доступно чтение ее прав доступа и чтение прав доступа к ее атрибутам	– Пользователю с привилегией Управление безопасностью доступно редактирование прав доступа для всех справочных групп и атрибутов – Пользователю с уровнем доступа Полный доступ к справочной группе доступно редактирование ее прав доступа и редактирование прав доступа к ее атрибутам
			Чтение
			Создание
			Редактирование
			Удаление
			Редактирование структуры
			Полный доступ
	Атрибут	Пользователь, Роль/Группа, Все пользователи	Нет доступа
			Чтение
			Создание
			Редактирование
			Редактирование декларации

На настройку правил доступа требуется отдельная лицензия. При отсутствии лицензии не разрешается настройка правил доступа и, как следствие, настройка вычисляемых прав доступа к позициям и их атрибутам.

Уровень доступа в декларации атрибута и позиции справочной группы для роли / группы /пользователя (субъектов прав) берется по умолчанию из настроек прав доступа, выполненных в родительской справочной группе. В случае необходимости, унаследованные права доступа могут быть перекрыты на уровне дочерней справочной группе.

Настройка прав доступа не транзакционна и возможна только после опубликования изменений в настройках справочной группы!

Сочетание прав доступа к справочной группе и атрибутам дает 9 различных вариантов настройки в зависимости от принадлежности пользователя к той или иной роли / группе пользователей.

Секция карточки позиции Доступ к позициям предназначена для установления уровня доступа субъекта к позициям справочной группы. Секция Доступ к атрибутам предназначена для определения уровня доступа субъекта к атрибутам справочной группы.

Вид настроенных прав доступа к позициям и атрибутам

Для настройки прав доступа к декларации атрибута / позиции в справочной группе необходимо:

установить курсор на нужной справочной группе в дереве и перейти в секцию Права доступа к позициям или Права доступа к атрибутам карточки группы (включать режим управления пакетами изменений не требуется);
в строке выбора <роль, группа или учетная запись пользователя> начать вводить наименовании соответствующего субъекта прав или выбрать его из выпадающего списка;
для каждого субъекта прав можно определить:
один уровень доступа без определения правил доступа – определяет права на все объекты данной справочной группы по умолчанию;
произвольное количество дополнительных уровней доступа с настройкой правил доступа – если требуется для всех или определенных субъектов прав изменить уровень доступа, то это можно выполнить с помощью настраиваемых правил.

Чтобы для субъекта прав установить уровень доступа, его следует выбрать из выпадающего списка:
Доступ к позициям:
Нет доступа – пользователи не могут видеть позиции данной справочной группы. Не может быть вычисляемым по правилам доступа!;
Чтение – пользователи могут видеть все позиции, если иное не определено правилами доступа;
Создание – пользователи имеют право Чтение и могут создавать новые позиции в данной справочной группе;
Редактирование – пользователи имеют право Создание и могут редактировать позиции в данной справочной группе, но не могут удалять ранее созданные позиции. Удаление позиций, созданных в текущем пакете изменений разрешено;
Удаление – пользователи имеют право Редактирование и могут удалять позиции в данной справочной группе;
Редактирование структуры – пользователи имеют право Удаление и могут редактировать в данной справочной группе. Данный уровень доступа возможен только в том случае, если не определены правила доступа, в противном случает этот вариант не доступен. Редактирование структуры включает в себя:
список подчиненных справочных групп,
список деклараций атрибутов,
список ограничений,
настраивать совместимости,
настраивать заявки,
настраивать поиск дубликатов;
Полный доступ – пользователи имеют право Редактирование структуры и могут назначать права доступа другим субъектам. Данный уровень доступа возможен только в том случае, если не определены правила доступа;
Доступ к атрибутам:
Нет доступа – пользователи не могут видеть атрибут и его значения в данной справочной группе;
Чтение – пользователи могут видеть атрибут и его значения в данной справочной группе;
Создание – пользователи имеют право Чтение и могут редактировать значения атрибута в только что созданных позициях в текущем пакете изменений;
Редактирование – пользователи имеют право Создание и могут редактировать значения атрибута для любых позиций в данной справочной группе;
Редактирование декларации – пользователю разрешено создание, редактирование и удаление декларации атрибута, а также разрешено редактирование значения атрибута;

5) для установленного уровня доступа (позиции или атрибута) определить правила доступа при необходимости. Для этого следует нажать кнопку Редактор правил в ячейке с уровнем доступа и, в открывшемся окне Правила для уровня доступа "наименование уровня" определить следующие параметры:

Настройка правил для уровня доступа

Способ задания правила доступа выбирается из выпадающего списка в правом верхнем углу окна рядом с кнопкой Ок:
По заданным условиям - правила доступа определяются настройкой условий на статус позиции, значение атрибутов позиции и условиями на пользователя;
По формуле – правила доступа определяются в соответствии со скриптом GROOVY. Работа с редактором стандартная, при этом есть дополнительная возможность указать атрибуты пользователя, как системные, так и определенные для пользователя в справочнике пользователей (если он создан). Для выбора атрибутов пользователя нужно нажать кнопку Добавить на одноименной вкладке редактора с пиктограммой ;
Условия на статус позиции – пользователи могут видеть в справочной группе объекты только с указанными статусами. Условие позволяет открыть для просмотра позиции, чей статус отличается от "Нормализована" даже для тех субъектов прав, для которых это не предусмотрено привилегиями;
Условия на атрибуты позиции – пользователи могут видеть объекты данной справочной группы, если указанные в условиях атрибуты равны / не равны приведенным значениям. Возможно указание множества значений атрибута в виде списка;
Условия на пользователя – объекты справочной группы доступны пользователю, если пользователь удовлетворяет условиям:
Равно – значение атрибута из справочника пользователя равно указанному;
Равно атрибуту – значение атрибута из справочника пользователя равно значению атрибута справочной группы. Например, значение атрибута "Место работы" из справочника пользователей равно значению атрибута "Организация - владелец" из справочной группы;
повторить добавление субъектов прав нужное количество раз и выполнить настройки правил, как описано выше.

После внесения изменений в настройки прав доступа требуется выполнить перерасчет прав доступа по новым настройкам. Для информирования об этом вверху справа расположена специальная пиктограмма - кнопка, которая появляется после выполнения первых изменений прав доступа. Кнопка запускает процесс перевычисления прав доступа. Поскольку отмены выполненных изменений в правах доступа не предусмотрено и любое выполненное изменение прав доступа в справочной группе потребует перевычисление прав доступа к каждой позиции, этой и дочерних групп, то при выполнении первого изменения в прав доступа, появляется диалог, предупреждающий об этом. В окне диалога Запустить перевычисление прав доступа отражены справочные группы, по которым были изменены права доступа и для позиций /атрибутов которых, будет выполнен перерасчет прав доступа.

Расположение кнопки, уведомляющей о необходимости перевычисления прав доступа и диалог запуска перевычисления

Для уровня доступа на атрибуты и справочные группы есть возможность массовой смены прав для всех / нескольких субъектов. Для этого в секции Права доступа к позициям или Права доступа к атрибутам в справочной группе необходимо выделить, с зажатой клавишей <Ctrl>, несколько субъектов и вызвать из контекстного меню команду Задать уровень доступа к позициям выбранным () или Задать уровень доступа к атрибутам выбранным () соответственно. В скобках рядом с командой указывается количество выбранных субъектов прав.

Массовое изменение уровня доступа для субъектов прав в справочной группе разрешено только для уровня доступа без настроенных правил доступа!

Права доступа также могут быть настроены с использованием Матрицы доступа, расположенной в подсистеме Администрирование.