Ограничение доступа пользователей на уровне записей
Чтобы настроить ограничения доступа пользователей к объектам ИБ («Потребитель услуг (куратор)», «Инженер Service Desk с ограничением видимости», «Сотрудник Service Desk с ограничением видимости»), для начала необходимо в «Параметрах системы» на вкладке «Общие — Прочие настройки» установить флаг в поле «Ограничивать доступ на уровне записей».
Чтобы настроить ограничения доступа пользователей к объектам ИБ («Специалист по активам с ограничением видимости»), дополнительно необходимо в «Параметрах системы» на вкладке «Учет активов» отключить флаг «Доступность складов в табличных частях документов Активы 2.0»
Затем необходимо настроить профили вида доступа. Для этого открываем справочник «Профили групп доступа» (ссылка «Профили групп доступа» панели навигации раздела «Администрирование и настройки»). Справочник предназначен для хранения комбинаций объектов метаданных, по которым планируется ограничивать доступ.
Справочник «Профили групп доступа»
Форма элемента справочника содержит следующие реквизиты:
- «Наименование» — наименование профиля доступа;
- «Вид доступа» — список объектов доступа, используемых в данном профиле. Выбирается из предопределенных значений, заданных в плане видов характеристик «Виды доступа».
План видов характеристик «Виды доступа»
План видов характеристик «Виды доступа» предназначен для хранения видов ограничений доступа пользователей к базе данных (меню «Все функции/План видов характеристик/Виды доступа»). Поддерживается ограничение доступа к следующим объектам: «Инициатор наряда», «Клиенты», «Контактные лица», «Ответственный», «Рабочие группы», «Услуги», «КЕ», «Склады».
Для пользователя/группы пользователей можно настроить правила ограничения видимости для справочников:
- Доступ к физическим лицам,
- Доступ к клиентам;
- Доступ к пользователям (потребителям);
- Доступ к КЕ;
- Доступ к сотрудникам.
Настройка доступа к справочникам предполагает, что указанный в правиле пользователь в соответствующих справочниках, при открытии из документа, будет видеть только те элементы справочника, которые ему разрешены правилом.
Если доступ к справочникам настраивается для справочника «Физические лица», то при настройке доступа к справочнику «Сотрудники» и «Пользователи (потребители)» необходимо выбранных сотрудников и потребителей продублировать в список «Доступ к физическим лицам». Это связано с особенностями отборов. Если настраивается доступ к справочнику «Сотрудники» через указания рабочей группы с флагом «Иерархия», то всех сотрудников рабочей группы нужно также добавить в настройку «Доступ к физическим лицам».
После настроек профилей групп доступа открываем справочник «Правила ограничения доступа» (ссылка «Правила ограничения доступа» панели навигации раздела «Администрирование и настройки»).
Справочник предназначен для хранения настроек ограничения доступа к объектам ИБ для пользователей с установленной ролью: «Потребитель услуг (куратор)», «Инженер Service Desk с ограничением видимости», «Сотрудник Service Desk с ограничением видимости», «Специалист по активам с ограничением видимости», «Специалист по КЕ с ограничением видимости». Создаем элемент в справочнике «Правила ограничения доступа».
Форма элемента справочника содержит следующие реквизиты:
- «Наименование» — наименование правила ограничения доступа;
- «Профиль» — профиль используемого ограничения доступа;
- «Использовать правило» — признак использования данного правила. В случае, когда данный флаг сброшен, настройки ограничения прав доступа не будут действовать в ИБ;
- «Пользователи» — список пользователей или групп пользователей, для которых будет действовать данное правило ограничения доступа.
Табличная часть «Ограничение доступа»:
- «Вид доступа» — список объектов, по которым будет проверяться возможность доступа к объектам ИБ, данный список определяется выбранным профилем группы доступа;
- «Доступ разрешен» — показатель доступа (по всем, кроме указанных, либо только по указанным).
- «Значение или группа значений» — список значений, по которым будет проверяться наличие доступа к объекту ИБ;
- «Использовать иерархию» — признак распространения выбранного правила доступа на все дочерние элементы значений доступа (если в качестве значений выбран не иерархический справочник, установка данного флага не несет никаких последствий);
- «Доступ разрешен» — признак разрешения доступа к выбранным элементам, определяется значением реквизита «Доступ разрешен» списка «Ограничения доступа»;
- «Чтение» — признак наличия права чтения объектов ИБ, удовлетворяющих данному правилу;
- «Изменение» — признак наличия права изменения объектов ИБ, удовлетворяющих данному правилу;
- «Добавление» — признак наличия права добавления объектов ИБ, удовлетворяющих данному правилу.
В верхней части формы элемента справочника отражается информация о наличии созданных правил ограничения доступа. В случае если правило ограничения доступа не создано, данный элемент не будет влиять на доступ к объектам ИБ независимо от значения признака «Использовать правило». Создать правило можно, нажав на кнопку «Создать правила доступа», находящуюся в той же строке, что и информация о наличии правил доступа, а потом необходимо нажать кнопку «Записать и закрыть».
Форма элемента справочника «Правила ограничения доступа»
1. В настройках ИБ должен быть установлен флаг «Ограничивать до-ступ на уровне записей».
2. На форме элемента — установлен флаг «Использовать правило».
3. Созданы соответствующие правила, о чем информирует надпись на форме элемента.
Если все требования для действия данного правила выполнены, то доступ к объектам ИБ будет разрешен только в случае выполнения всех условий, выбранных в правиле.
Чтобы ускорить процедуру настройки доступа к справочникам «Физические лица», «Сотрудники», «Пользователи (потребители)», «Клиенты», «КЕ» в разрезе конкретного Клиента, а так же автоматизировать процесс изменения правила при изменении списка доступных Клиенту объектов, требуется использовать «Регламентные настройки РЛС».
Форма элемента справочника «Регламентные настройки РЛС»
Форма элемента справочника содержит следующие реквизиты;
- «Наименование» — наименование регламентной настройки;
- «Разрез доступа» — список объектов, по которым будет проверяться возможность доступа к объектам ИБ (данный список определен в системе и не меняется);
- «Значение доступа» — значение, по которому будет проверяться наличие доступа к объекту ИБ;
- «Использовать иерархию» — признак распространения выбранного правила доступа на все дочерние элементы значений доступа (если в качестве значений выбран не иерархический справочник, установка данного флага не несет никаких последствий);
- «Пользователи/Группы пользователей» — список пользователей или групп пользователей, для которых будет действовать данное правило ограничения доступа.
При нажатии на кнопку «Создать ограничение» будет создано новое правило ограничения, доступное из текущей формы по ссылке «Ограничение доступа в разрезе <>», в котором выполнена автоматическая настройка по выбранному «Значению доступа» к справочникам «Физические лица», «Сотрудники», «Пользователи (потребители)», «Клиенты», «КЕ». В созданное правило в разрезе значения доступа добавлены все объекты из указанных справочников, связанные с установленным значением доступа.
Существует возможность настройки автоматического обновления правила доступа для актуализации списка объектов справочников, связанных с установленным значением доступа. Для этого требуется настроить «Расписание регламентного задания», перейдя по ссылке в форме. Далее создать новое регламентное задание, нажав на ссылку «Добавить регламентное задание на обновление РЛС» из формы настройки. При выполнении регламентного задания все изменения в справочниках, связанных с установленным значением доступа, будут внесены в правило ограничения доступа.
Если регламентное задание для обновления правила не настроено, то по кнопке «Обновить правило» можно вручную обновить правило ограничения доступа.
Отчет «Настройки ограничения прав доступа пользователей» содержит информацию о настроенных ограничениях прав доступа пользователей к объектам системы (ссылка «Настройки ограничения прав доступа пользователей» панели действий раздела «Администрирование и настройки»). Данный отчет позволяет проводить анализ прав доступа. Для получения отчета необходимо нажать кнопку «Сформировать».
Отчет позволяет группировать данные по пользователям, видам доступа, группе доступа и значению доступа.
Также отчет можно отфильтровать. Например, нам необходимо убрать из отчета все пустые строки. Для этого выбираем «Все действия — Изменить вариант — Отбор» и задаем значение доступа «Заполнено».
Отчет «Настройки ограничения прав доступа пользователей»