Авторизация – это процесс проверки прав пользователя перед выполнением действий в системе. Права могут быть выданы пользователю, группе или роли, в которую он входит. Права настраивает администратор в списке «Права доступа на типы объектов» или на панели «Управление разрешениями» в карточке пользователя, группы или роли. Также администратор может создать новый тип прав, если существующих в системе недостаточно для решения задач.

При необходимости создать новый тип прав может разработчик. При этом используются понятия:

•объект – то, над чем выполняется действие. Например, запись справочника Сотрудники, тип документа «Договор», функция регистрации или публикации разработки. С точки зрения объекта при подсчете результирующих прав для проверки учитываются:

•права, которые выданы непосредственно на объект;

•права на тип объекта;

•права базовых типов, которые наследуются объектом;

•субъект – тот, кто выполняет действие. В Directum RX все субъекты прав являются наследниками IRecipient. Полный список всех субъектов прав в стандартном решении Directum RX: пользователи (IUser), сотрудники (IEmployee), роли (IRole), прикладные группы пользователей (наши организации, подразделения, группы регистрации). С точки зрения субъекта при подсчете результирующих прав для проверки учитываются:

•права, выданные лично субъекту;

•права, выданные всем группам, в которые входит субъект;

•права, полученные по замещению и прочие специальные права;

•операция авторизации отображаются в проводнике системы в карточках записей списка Типы прав. Определяют, какие операции субъект может выполнять над объектом. Например, для записи справочника Сотрудники это может быть операция удаления, для типа документа «Договор» – операция создания нового документа, для функций регистрации или публикации разработки – операция выполнения.

Используйте узел «Авторизация», чтобы создать операции авторизации и задать способы проверки прав.

При создании типа сущности некоторые операции авторизации наследуются от базового типа. В списке элементов они выделены серым цветом. У наследуемых операций авторизации для изменения доступно только отображаемое имя.

*Способ авторизации для типа сущности. Возможные значения:

•Без проверки прав. При выполнении действий над типом сущности или сущностью права не проверяются;

•Для экземпляра сущности. Права выдаются отдельно на каждую сущность, например, права на конкретный документ в системе;

•Для типа сущности. Права выдаются на тип сущности, например, права на договорные документы;

•Для типа и экземпляра сущности. Права выдаются на тип сущности и на каждую сущность в отдельности. Выбираются максимальные из выданных прав. Например, если для договорных документов выданы права на просмотр, а на конкретный договор – права на изменение, то у пользователя будут права на изменение договора.

Доступность поля *Способ авторизации и набор его значений зависит от типа сущности, для которого настраиваются операции авторизации:

*Имя операции авторизации. Должно быть уникальным в рамках типа сущности, состоять из букв латинского алфавита и цифр.

*Отображаемое имя. Имя операции авторизации, которое будет отображаться в списке Типы прав. Для локализации перейдите по ссылке Локализовать.

*Операция. Код операции авторизации. Должен быть уникальным. Поле заполняется автоматически. Рекомендуется оставить значение по умолчанию.

Важно. При разработке прав доступа важно не допускать ситуаций, когда:

•сотрудник не видит данные в системе, которые он должен видеть;

•сотрудник видит и может изменять данные в системе, которые видеть и менять ему не положено.

Чтобы подобные ситуации не возникали, при разработке прав доступа учитывайте ряд особенностей и следуйте рекомендациям по реализации.

СМ. ТАКЖЕ

© Компания Directum, 2024