Формулировка проблемы: необходимо описание всех наборов разрешений и функций, которые они предоставляют/не предоставляют.
Связанные задачи: 0202.
Решение:
Для каждого из объекта распишем те функции, которые оно разрешает или запрещает выполнять пользователю с таким набором прав. Список объектов:
Глобальные настройки
Эти настройки можно задать в корневом узле "Формы" интерфейса настроек привилегий для форм.
Чтение
просмотр списка всех форм, созданных в системе (в т.ч. скрытых);
использование всех форм в качестве параметров конфигурации:
"Форма реестра" в настройках реестра;
"Произвольная форма" в настройках условного перехода действий маршрута реестра;
возможность поиска по списку;
возможность экспорта любой формы;
открытие проигрывателя формы.
Следующие действия недоступны:
добавление новой формы (отсутствует кнопка "+");
импорт форм (отсутствует кнопка "Импорт");
скрытие/восстановление форм (пункт меню недоступен);
обновление форм (пункт меню недоступен);
открытие формы на редактирование (пункт меню недоступен).
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
добавление новых форм;
редактирование форм;
импорт форм;
скрытие/восстановление форм;
обновление форм.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав) как глобально на все формы, так и локально (на определенную форму);
доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Формы.
Локальные настройки
Настройки привилегий, которые можно задать для какой-либо конкретной формы (далее форма).
Чтение
просмотр формы в списке (даже если она скрыта);
использование формы в качестве параметра конфигурации:
"Форма реестра" в настройках реестра;
"Произвольная форма" в настройках условного перехода действий маршрута реестра;
отображение формы в результатах поиска;
возможность экспорта формы;
открытие проигрывателя формы.
Следующие действия недоступны:
импорт форм (отсутствует кнопка "Импорт");
скрытие/восстановление формы (пункт меню недоступен);
обновление формы (пункт меню недоступен);
открытие формы на редактирование (пункт меню недоступен).
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
редактирование формы;
скрытие/восстановление формы;
обновление формы.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав) на форму;
открывает доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Формы.
Глобальные настройки
Эти настройки можно задать в корневом узле "Реестры" интерфейса настроек привилегий для реестров.
Чтение
просмотр списка всех реестров, созданных в системе (в т.ч. скрытых);
использование всех реестров в качестве параметров конфигурации:
"Реестр ответа" в настройках реестра;
"Сопоставление" в настройках реестра;
"Выберите реестр" в настройках компонента формы "Ссылка на реестр";
возможность поиска по списку.
Следующие действия недоступны:
добавление нового реестра (отсутствует кнопка "Добавить");
скрытие/восстановление реестров (пункт меню недоступен);
открытие реестра на редактирование:
двойной клик по реестру (реестр открывается на редактирование, но отсутствует кнопка "Сохранить");
контекстное меню, пункт "Редактировать" (пункт меню недоступен).
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
добавление новых реестров;
редактирование реестров;
скрытие/восстановление реестров.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав) как глобально на все реестры, так и локально (на определенный реестр);
открывает доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Реестры.
Локальные настройки
Настройки привилегий, которые можно задать для какого-либо конкретного реестра (далее реестр).
Чтение
просмотр реестра в списке (даже если он скрыт);
использование реестра в качестве параметров конфигурации:
"Реестр ответа" в настройках реестра;
"Сопоставление" в настройках реестра;
"Выберите реестр" в настройках компонента формы "Ссылка на реестр";
отображение реестра в результатах поиска.
Следующие действия недоступны:
открытие реестра на редактирование:
двойной клик по реестру (реестр открывается на редактирование, но отсутствует кнопка "Сохранить");
контекстное меню, пункт "Редактировать" (пункт меню недоступен);
скрытие/восстановление реестра (пункт меню недоступен).
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
редактирование реестра;
скрытие/восстановление реестра.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав) на реестр;
открывает доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Реестры.
Настройки привилегий можно задать для какой-либо папки хранилища (далее папка), в т.ч. для корневой папки.
Чтение
просмотр папки и ее содержимого в разделе конфигуратора "Хранилище" → "Папки";
просмотр клиентских прав на папку и ее содержимое;
использование папки в качестве параметра конфигурации:
"Родительская папка" в информации о папке;
"Из хранилища" в компоненте формы "Файлы";
"Выбрать файл" в компоненте формы "Ссылка на файл в Хранилище";
"Личная папка" в карточке пользователя.
Следующие действия недоступны:
изменение свойств папки (отсутствует кнопка сохранения);
удаление папки (отсутствует кнопка удаления);
изменение состава папки (отсутствуют кнопки добавления, сохранения и удаления);
добавление, изменение и удаление клиентских прав доступа на папку (отсутствует выпадающий список ролей);
изменение квот на папку (отсутствует кнопка "Квоты").
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
изменение свойств папки (название, вид и т.д.);
изменение состава папки (добавление, изменение и удаление вложенных папок);
добавление, изменение и удаление клиентских прав доступа на папку;
изменение квот на папку.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав) на папку;
открывает доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Папки.
Внимание
До реализации данной задачи назначение клиентских прав на папки осуществлялось только методологом в конфигураторе. Таким образом, право роли "Назначение прав" (клиентское право) не имело смысла. Поэтому его необходимо упразднить.
Замечание
Автогруппам возможно назначение прав только на чтение и назначение прав.
Настройки привилегий можно задать для какой-либо группы (далее группа), в т.ч. для корневых групп.
Чтение
просмотр группы и ее содержимого в разделе "Хранилище" → "Группы" конфигуратора и административного приложения;
использование группы и входящих в нее пользователей в качестве параметров конфигурации:
"Добавить группу" при настройке доступа к объектам конфигурации;
список групп в правах на папки;
"Добавить" в правах на реестр;
"Выбрать группу" в фильтре списка пользователей;
"Добавить группу" в карточке пользователя.
отображение группы в результатах поиска.
Следующие действия доступны в разделе административного приложения "Картотека" → "Управление пользователями".
просмотр списка пользователей, входящих в группу, в т.ч. удаленных.
Примечание:
Вместо фильтра по подразделениям должен быть фильтр по группам со следующими свойствами.
В диалоговом окне выбора групп дерево должно быть ограничено согласно прав на группы. По умолчанию, в этом фильтре должна быть выбрана первая доступная группа.
Выбранная группа в поле отображается в виде тега, который можно удалить. Если в данном фильтре отсутствует значение, по нажатию на кнопку "Поиск" необходимо не выполнять действие с ошибкой:
Выберите группу
Следующие действия недоступны:
добавление корневой группы (отсутствует кнопка добавления);
удаление корневой группы (отсутствует кнопка удаления);
Примечание
Эти действия доступны только суперметодологу и суперадминистратору.
изменение свойств группы (отсутствует кнопка сохранения);
удаление группы (отсутствует кнопка удаления);
изменение состава группы (отсутствуют кнопки добавления группы, добавления пользователей в группу и удаления вложенных пользователей и групп).
В разделе административного приложения "Картотека" → "Управление пользователями":
добавление нового пользователя (отсутствует кнопка "+");
открытие карточки пользователя, и в ней:
изменение свойств карточки (отсутствует кнопка сохранения);
изменение параметров авторизации (отсутствует кнопка "Параметры авторизации");
изменение доступа к организациям (отсутствует кнопка "Доступ к организациям");
изменение параметров управления модулями (отсутствует кнопка "Управление модулями");
изменение параметров системных показателей (отсутствует кнопка "Системные показатели");
удаление учетной записи (отсутствует кнопка "Удалить учетную запись");
массовое генерирование логинов/паролей (отсутствует раздел "Генерирование логинов/паролей").
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
изменение свойств группы (название и максимальный размер файла);
изменение состава группы (добавление, изменение и удаление вложенных групп и пользователей).
В разделе административного приложения "Картотека" → "Управление пользователями":
добавление нового пользователя - он будет добавлен в ту группу, которая выбрана в фильтре;
изменение карточки пользователя;
массовое генерирование логинов/паролей.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение прав на группу);
открывает доступ к разделу "Доступ к объектам конфигурации" → "Группы" как в конфигураторе, так и в административном приложении.
Примечание
Параметры учетной записи пользователя
"Методолог"
"Администратор"
а также:
"Дополнительный доступ"
"Сотрудник канцелярии"
"Доступ к справочнику показателей"
"Доступ к стратегии"
"Сотрудник отдела кадров"
должны быть видимы (и, соответственно, изменяемы) только суперадминистратором.
Настройки привилегий можно задать для какого-либо элемента орг.структуры (далее узла), в т.ч. для корневого подразделения.
Чтение
просмотр узла и его содержимого в разделе административного приложения "Картотека" → "Структура";
использование узла в качестве параметра конфигурации (например, при генерации отчета по орг.структуре и т.д.);
"Родительское подразделение" в информации о подразделении;
"Подразделение" в информации о должности;
"Выбор подразделения" в диалоге выбора пользователя при назначении специалиста на должность;
"Начать с подразделения" в отчете по орг.структуре.
Следующие действия недоступны:
изменение свойств узла (отсутствует кнопка сохранения);
изменение параметров управления модулями (отсутствует кнопка "Управление модулями");
изменение параметров системных показателей (отсутствует кнопка "Системные показатели");
изменение прав на дела (отсутствует кнопка "Права на дела");
удаление узла (отсутствует кнопка удаления);
изменение состава узла:
для узла - подразделения: отсутствуют кнопки добавления элемента, редактирования и удаления подразделения;
для узла - должности: отсутствуют кнопки назначения на должность, снятия с должности, редактирования и удаления должности.
Изменение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
изменение свойств узла (название, руководитель, И.О., заместители, количество штатных единиц и т.д.), а также:
изменение параметров управления модулями;
изменение параметров системных показателей;
изменение прав на дела;
изменение состава узла - подразделения: добавление, изменение и удаление в нем подразделений и должностей.
Назначение / увольнение
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
изменение состава узла - должности: назначение и снятие с должности.
Примечание
Это право может быть назначено и на подразделение. В этом случае оно будет относиться ко всем его должностям.
Назначение прав
Это право автоматически включает право Чтение и
дополняет его следующими возможностями:
назначение любого набора прав (чтение, изменение, назначение/увольнение, назначение прав) на узел;
открывает доступ к разделу Конфигуратор → Настройки системы → Доступ к объектам конфигурации → Орг.структура.
При определенных настройках объектов конфигурации "Папки", "Группы", "Орг.структура" возможен случай, когда пользователю будут доступны различные узлы различного уровня вложенности соответствующего дерева. В таком случае в дереве, доступном данному пользователю, возможен вариант с наличием нескольких корней. Например, исходное дерево папок следующее:
Хранилище
Папка 1
Папка 2
Папка 3
Папка 3.1
Папка 3.2
Папка 3.2.1
Папка 3.2.2
Папка 3.2.3
Папка 3.3
Папка 4
Пусть группе, в которой состоит пользователь - локальный методолог, даны локальные права на папки "Папка 1", "Папка 3.1", "Папка 3.2", "Папка 4".
При использовании папки в качестве параметра конфигурации, ему должно отображаться следующее дерево папок:
Папка 1
Папка 3.1
Папка 3.2
Папка 3.2.1
Папка 3.2.2
Папка 3.2.3
Папка 4
Права на дочерние элементы объекта конфигурации наследуются от его ближайшего родительского.
В компонента выбора объекта конфигурации попадают те объекты, на которые у методолога есть права на чтение. За исключением явных уточнений:
Возможность добавления объекта в объект-контейнер (группу, папку, подразделение) определяется наличием в объекте-контейнере права на изменение.
Следствие 1
Для того, чтобы удалить какую-либо папку / группу / узел орг.структуры, необходимо иметь право изменения на ее родительскую папку / группу / узел орг.структуры.
Следствие 2
Для того, чтобы переместить какую-либо папку / группу / узел орг.структуры, необходимо иметь право изменения как на ее родительскую папку / группу / узел орг.структуры, так и на папку / группу / узел орг.структуры назначения.