В Directum RX используются справочники для администрирования и работы системы: Цифровые сертификаты, Календари рабочего времени, Замещения и другие. Как правило, пользователи напрямую не обращаются к этим справочникам. Их данные используются системой при выполнении программного кода. Кроме того, в справочниках может храниться конфиденциальная информация, доступ к которой должен быть ограничен.

В новой версии для повышения безопасности работы в системе появились новинки:

•ограничен просмотр справочников для роли «Все пользователи»;

•ограничен просмотр состава участников для определенных ролей;

•доработан механизм прав доступа к справочникам при программной работе;

•прочие изменения.

Ограничение просмотра участников роли

В Directum RX для группировки сотрудников компании по функциональным обязанностям используется справочник Роли. Состав участников некоторых ролей должен видеть только определенный круг лиц, так как информация считается конфиденциальной. Для этого в новой версии ограничен доступ к просмотру участников следующих ролей:

•«Администраторы»;

•«Аудиторы»;

•«Менеджеры конфигураций»;

•«Менеджеры системы»;

•«Неинтерактивные пользователи»;

•«Пользователи Solo»;

•«Пользователи сервиса интеграции»;

•«Пользователи с зарезервированными лицензиями»;

•«Пользователи с правами на массовый экспорт данных»;

•«Служебные пользователи».

Ограничение действует на пользователей с правами на просмотр справочника Роли. Они по-прежнему могут указать роль при заполнении маршрута задачи, настройке прав доступа и других действиях в системе. При этом у них нет возможности открыть карточку роли и развернуть состав участников, например, в древовидном списке со структурой организации. Если открыть карточку из списка записей справочника Роли, то теперь появляется сообщение:

Кроме этого, в среде разработки можно программно ограничить доступ к созданной роли. Для этого появились:

•метод IRecipient.IsCardVisibleForCurrentUser() – проверить, можно ли показать карточку текущему пользователю;

•свойство IRecipient.HideFromReaders – скрыть от пользователей с правами на просмотр.

Например, в среде разработки создается роль «Топ-менеджеры». Для нее можно сразу задать свойство HideFromReaders, чтобы пользователи с правами на просмотр не могли просматривать состав участников роли:

var role = Roles.Create();

role.Name = roleName;
role.Description = roleDescription;
role.HideFromReaders = roleHideFromReaders;
role.Sid = roleGuid;
role.IsSystem = true;

Доступ к справочникам при программной работе

В новой версии системы доработан механизм прав доступа:

•больше не используется способ авторизации Без проверки прав доступа. После обновления системы справочники Directum RX и ваши разработанные, для которых был задан этот способ авторизации, станут недоступны пользователям. Кроме того, теперь по умолчанию для этих справочников задается способ авторизации Для типа сущности и Полный доступ при программной работе.

Если права на некоторые справочники все же необходимы, то администратор системы может выдать доступ конкретным пользователям, ролям или группам.

•в среде разработки можно задать уровень доступа при программной работе со справочником:

•Как в правах – набор доступных операций определяется правами пользователя. Указывается по умолчанию;

•Чтение – даже если пользователю явно не выданы права доступа на справочник, система может получать его данные на чтение;

•Полный – система программно может получать и изменять данные, так как доступны все операции.

Если в Development Studio у вас разработаны свои справочники, то после обновления рекомендуется пересмотреть доступ к ним. Если пользователи не работают со справочником, в нем хранится конфиденциальная информация или настройки системы, то необходимо забрать права на просмотр для всех пользователей и выдать доступ при программной работе на чтение или полный. Например, при загрузке веб-клиента в системе проверяется, есть ли у пользователя замещения. Для этого программно выполняется операция «Чтение» из справочника Замещения, при этом прав на справочник у пользователя нет. Благодаря этому обеспечивается безопасность: пользователь не видит конфиденциальные данные, и система работает без ошибок.

Примечание. Необходимо учитывать, что запросы на чтение, создание, изменение и удаление сущностей через сервис интеграции система понимает как выполнение запроса:

•в программном режиме, если используются запросы к функциям модулей. В среде разработки они отмечены атрибутами [Public(WebApiRequestType = RequestType.Get)] и [Public(WebApiRequestType = RequestType.Post)];

•в визуальном режиме, если запросы отправляются с использованием OData-контроллеров. То есть для выполнения запроса у пользователя должны быть права доступа.

Например, для справочника Подключения нашей организации к сервису доверенностей задан доступ на чтение при программной работе. Если у пользователя забрать права на справочник, он все равно сможет отправлять доверенность на регистрацию в реестр ФНС. При этом он не увидит содержимое справочника, а также через сервис интеграции у него не получится выгрузить данные о подключениях к сервису доверенностей своей или других наших организаций.

Прочие изменения

1.В новой версии можно ограничивать доступ к данным решения «Мониторинг системы Directum RX». Для этого появилась возможность настраивать аутентификацию по паролю в Elasticsearch и автоматически применять ее в сервисах, например в Kibana.

2.В историю работы с карточкой учетной записи теперь записывается информация при изменении полей *Имя и *Состояние.

3.При выдаче или изъятии прав доступа на объект теперь можно к стандартному комментарию в истории добавлять свой.

© Компания Directum, 2025