Ограничение доступа пользователей на уровне записей

В этом разделе мы расскажем, как в системе Итилиум настроить ограничения доступа пользователей («Потребитель услуг (куратор)», «Инженер Service Desk с ограничением видимости», «Сотрудник Service Desk с ограничением видимости») к объектам информационной базы.
Примечание
Без настройки ограничения доступа пользователи с указанными выше ролями всегда имеют доступ только к обращениям, в которых они установлены в качестве «Ответственных».

Чтобы настроить ограничения доступа пользователей к объектам ИБ («Потребитель услуг (куратор)», «Инженер Service Desk с ограничением видимости», «Сотрудник Service Desk с ограничением видимости»), для начала необходимо в «Параметрах системы» на вкладке «Общие — Прочие настройки» установить флаг в поле «Ограничивать доступ на уровне записей».

Затем необходимо настроить профили вида доступа. Для этого открываем справочник «Профили групп доступа» (ссылка «Профили групп доступа» панели навигации раздела «Администрирование и настройки»). Справочник предназначен для хранения комбинаций объектов метаданных, по которым планируется ограничивать доступ.

Справочник «Профили групп доступа»

06-01-05_01

Форма элемента справочника содержит следующие реквизиты:

  • «Наименование» — наименование профиля доступа;
  • «Вид доступа» — список объектов доступа, используемых в данном профиле. Выбирается из предопределенных значений, заданных в плане видов характеристик «Виды доступа».

План видов характеристик «Виды доступа»

06-01-05_02

План видов характеристик «Виды доступа» предназначен для хранения видов ограничений доступа пользователей к базе данных (меню «Все функции/План видов характеристик/Виды доступа»). Поддерживается ограничение доступа к следующим объектам: «Инициатор наряда», «Клиенты», «Контактные лица», «Ответственный», «Рабочие группы», «Услуги».

Для пользователя/группы пользователей можно настроить правила ограничения видимости для справочников:

  • Доступ к физическим лицам,
  • Доступ к клиентам;
  • Доступ к пользователям (потребителям);
  • Доступ к КЕ;
  • Доступ к сотрудникам.

Настройка доступа к справочникам предполагает, что указанный в правиле пользователь в соответствующих справочниках, при открытии из документа, будет видеть только те элементы справочника, которые ему разрешены правилом.

Если доступ к справочникам настраивается для справочника «Физические лица», то при настройке доступа к справочнику «Сотрудники» и «Пользователи (потребители)» необходимо выбранных сотрудников и потребителей продублировать в список «Доступ к физическим лицам». Это связано с особенностями отборов. Если настраивается доступ к справочнику «Сотрудники» через указания рабочей группы с флагом «Иерархия», то всех сотрудников рабочей группы нужно также добавить в настройку «Доступ к физическим лицам».

Примечание
При открытии справочников с настроенными правилами ограничения доступа необходимо установить режим просмотра как «Список», а не «Иерархический список» (связано с особенностями платформы)

После настроек профилей групп доступа открываем справочник «Правила ограничения доступа» (ссылка «Правила ограничения доступа» панели навигации раздела «Администрирование и настройки»). Справочник предназначен для хранения настроек ограничения доступа к объектам ИБ для пользователей с установленной ролью: «Потребитель услуг (куратор)», «Инженер Service Desk с ограничением видимости», «Сотрудник Service Desk с ограничением видимости». Создаем элемент в справочнике «Правила ограничения доступа».

Форма элемента справочника содержит следующие реквизиты:

  • «Наименование» — наименование правила ограничения доступа;
  • «Профиль» — профиль используемого ограничения доступа;
  • «Использовать правило» — признак использования данного правила. В случае, когда данный флаг сброшен, настройки ограничения прав доступа не будут действовать в ИБ;
  • «Пользователи» — список пользователей или групп пользователей, для которых будет действовать данное правило ограничения доступа.

Табличная часть «Ограничение доступа»:

  • «Вид доступа» — список объектов, по которым будет проверяться возможность доступа к объектам ИБ, данный список определяется выбранным профилем группы доступа;
  • «Доступ разрешен» — показатель доступа (по всем, кроме указанных, либо только по указанным).
Табличная часть «Значение доступа»:
  • «Значение или группа значений» — список значений, по которым будет проверяться наличие доступа к объекту ИБ;
  • «Использовать иерархию» — признак распространения выбранного правила доступа на все дочерние элементы значений доступа (если в качестве значений выбран не иерархический справочник, установка данного флага не несет никаких последствий);
  • «Доступ разрешен» — признак разрешения доступа к выбранным элементам, определяется значением реквизита «Доступ разрешен» списка «Ограничения доступа»;
  • «Чтение» — признак наличия права чтения объектов ИБ, удовлетворяющих данному правилу;
  • «Изменение» — признак наличия права изменения объектов ИБ, удовлетворяющих данному правилу;
  • «Добавление» — признак наличия права добавления объектов ИБ, удовлетворяющих данному правилу.

В верхней части формы элемента справочника отражается информация о наличии созданных правил ограничения доступа. В случае если правило ограничения доступа не создано, данный элемент не будет влиять на доступ к объектам ИБ независимо от значения признака «Использовать правило». Создать правило можно, нажав на кнопку «Создать правила доступа», находящуюся в той же строке, что и информация о наличии правил доступа, а потом необходимо нажать кнопку «Записать и закрыть».

Форма элемента справочника «Правила ограничения доступа»

06-01-05_03
Внимание!
Для того, чтобы данное правило ограничения доступа действовало в ИБ, необходимо выполнение следующих условий.

1. В настройках ИБ должен быть установлен флаг «Ограничивать до-ступ на уровне записей».

2. На форме элемента — установлен флаг «Использовать правило».

3. Созданы соответствующие правила, о чем информирует надпись на форме элемента.

Если все требования для действия данного правила выполнены, то доступ к объектам ИБ будет разрешен только в случае выполнения всех условий, выбранных в правиле.

Чтобы ускорить процедуру настройки доступа к справочникам «Физические лица», «Сотрудники», «Пользователи (потребители)», «Клиенты», «КЕ» в разрезе конкретного Клиента, а так же автоматизировать процесс изменения правила при изменении списка доступных Клиенту объектов, требуется использовать «Регламентные настройки РЛС».

Форма элемента справочника «Регламентные настройки РЛС»

06-01-05_04

Форма элемента справочника содержит следующие реквизиты;

  • «Наименование» — наименование регламентной настройки;
  • «Разрез доступа» — список объектов, по которым будет проверяться возможность доступа к объектам ИБ (данный список определен в системе и не меняется);
  • «Значение доступа» — значение, по которому будет проверяться наличие доступа к объекту ИБ;
  • «Использовать иерархию» — признак распространения выбранного правила доступа на все дочерние элементы значений доступа (если в качестве значений выбран не иерархический справочник, установка данного флага не несет никаких последствий);
  • «Пользователи/Группы пользователей» — список пользователей или групп пользователей, для которых будет действовать данное правило ограничения доступа.

При нажатии на кнопку «Создать ограничение» будет создано новое правило ограничения, доступное из текущей формы по ссылке «Ограничение доступа в разрезе <>», в котором выполнена автоматическая настройка по выбранному «Значению доступа» к справочникам «Физические лица», «Сотрудники», «Пользователи (потребители)», «Клиенты», «КЕ». В созданное правило в разрезе значения доступа добавлены все объекты из указанных справочников, связанные с установленным значением доступа.

Внимание!
Не рекомендуется изменять созданное правило ограничения доступа вручную.

Существует возможность настройки автоматического обновления правила доступа для актуализации списка объектов справочников, связанных с установленным значением доступа. Для этого требуется настроить «Расписание регламентного задания», перейдя по ссылке в форме. Далее создать новое регламентное задание, нажав на ссылку «Добавить регламентное задание на обновление РЛС» из формы настройки. При выполнении регламентного задания все изменения в справочниках, связанных с установленным значением доступа, будут внесены в правило ограничения доступа.

Если регламентное задание для обновления правила не настроено, то по кнопке «Обновить правило» можно вручную обновить правило ограничения доступа.

Отчет «Настройки ограничения прав доступа пользователей» содержит информацию о настроенных ограничениях прав доступа пользователей к объектам системы (ссылка «Настройки ограничения прав доступа пользователей» панели действий раздела «Администрирование и настройки»). Данный отчет позволяет проводить анализ прав доступа. Для получения отчета необходимо нажать кнопку «Сформировать».

Отчет позволяет группировать данные по пользователям, видам доступа, группе доступа и значению доступа.

Также отчет можно отфильтровать. Например, нам необходимо убрать из отчета все пустые строки. Для этого выбираем «Все действия — Изменить вариант — Отбор» и задаем значение доступа «Заполнено».

Отчет «Настройки ограничения прав доступа пользователей»

06-01-05_05