Системные права доступа

Права доступа содержат набор правил и разрешений, которые определяют, какие действия может выполнять пользователь в определенном разделе/вкладке/месте системы.

Права доступа настраиваются в разделе "Роли" → вкладка "Права доступа".

Примечание

Перед настройкой прав доступа ознакомьтесь со статьей "Предоставление прав доступа пользователям"

Совет

Применение прав распространяется по иерархии сверху вниз: права могут задаваться глобально на любом уровне (такой уровень будет считаться родительским), а переопределяться - на дочернем.

Общие сведения

Вкладка "Права доступа" содержит несколько внутренних вкладок, каждая из которых представляет собой группу определенных прав:

  • Система - права к действиям администратора системы.

  • Типы активов - права доступа к созданным в системе типам активов и их атрибутам.

  • Модели - группа отвечает за доступ к работе с различными моделями: модели данных, качества данных, сопоставления, бизнес-процессов.

  • Справочники - права к настройке созданных в системе справочникам и их атрибутов.

  • Операции - права к управлению операциями.

  • Безопасность - группа отвечает за доступ к настройкам действий с учетными записями пользователей, ролями, группами и замещениями пользователей.

  • Менеджмент активов - группа отвечает за настройку прав на действия с единичными записями активов или на пакетные действия с ними.

  • Бизнес-процессы - права к настройке созданных в системе бизнес-процессов и задач.

  • Менеджмент справочников - права доступа к созданным в системе справочникам и их атрибутам.

  • Разметка данных - группа отвечает за доступ к настройкам действий с разметкой данных.

Пример отображения вкладки "Права доступа" и внутренних вкладок

Рисунок 1 – Пример отображения вкладки "Права доступа" и внутренних вкладок

Права из вкладки "Система"

Уровень прав:

  • Полные: совокупность всех доступных прав на создание, чтение, редактирование и удаление (при наличии).

Перечень прав:

  • Право Библиотеки определяет доступ к разделу "Библиотеки";

  • Право Потоки выполнения определяет доступ к разделу "Потоки выполнения";

  • Право Управление журналом аудита определяет доступ к разделу "Журнал;

  • Право Параметры системы определяет доступ к разделу "Параметры системы";

  • Право Колонки по умолчанию определяет доступ к, которые будут использованы в выдаче таблицы результатов поиска;

  • Право Управление пользовательскими параметрами определяет доступ к созданию и изменению пользовательских параметров;

  • Право Получение логов сервера определяет доступ к скачиванию логов;

  • Право Каталог доступа определяет доступ к разделу "Каталог доступа".

Примечания:

  • Для детализации доступа к группам параметров в файле конфигурации backend.properties используется параметр org.unidata.mdm.core.secured.property.groups.

Права из вкладки "Типы активов"

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Создание + Редактирование + Удаление + Восстановление.

  • Чтение: просмотр существующих объектов: записей, атрибутов.

  • Создание: создание новых записей, атрибутов. Убедитесь, что включено право на Чтение.

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

  • Удаление: удаление существующих объектов.

  • Восстановление: восстановление существующих объектов из удаленных.

  • Назначение бизнес-ролей: предоставляет доступ к назначению других пользователей на бизнес-роли для всех активов выбранного типа актива.

Группа прав "Типы активов настраивает права доступа для каждого типа актива или его атрибутам отдельно. Типы активов отображаются в виде иерархического дерева с учетом наследования. Ограничение доступа к определенному типу актива влияет на:

  • Отображение дерева активов в разделах "Каталог" и "Каталог связей" (показываются только доступные для чтения типы активов);

  • Отображение активов в разделе "Поиск по данным";

  • Загрузку связанных активов на графе связей;

  • Доступ к CRUD операциям над активами согласно роли. Проставление флагов у атрибутов типов активов не влияют на доступ к операциям над атрибутами актива.

Примечание

Предоставление доступа к дочерним типам активов не дает право на доступ к корневым типам активов.

Права из вкладки "Модели"

Примечание

Перед настройкой прав во вкладке сначала ознакомьтесь с Примечаниями.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Редактирование.

  • Чтение: определяет доступ только к просмотру указанных разделов (перечисленные функции создания и настройки будут недоступны на этом уровне).

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

Перечень прав:

  • Право Модель справочников определяет доступ к действиям со справочниками.

  • Право Администрирование модели данных DG определяет доступ к работе с разделами: "Модель данных"; "Источники данных"; "Единицы измерения"; "Перечисления"; "Импорт/экспорт".

  • Право Администрирование информационных систем позволяет создавать и настраивать информационные системы".

  • Право Администрирование оценок позволяет создавать и настраивать критерии оценок".

  • Право Администрирование модели правил сопоставления определяет доступ к действиям с правилами сопоставления.

  • Право Администрирование модели качества данных определяет доступ к различным действиям в разделе "Качество данных". При разворачивании группы прав доступна отдельная настройка каждого права:

    • Право Правила качества определяет доступ к работе с правилами качества, при условии, что также включены права: "Категории" и "Функции".

    • Право Наборы правил позволяет создавать и настраивать наборы правил качества, при условии, что также включены права: "Категории", "Наборы правил", "Правила качества", "Функции".

    • Право Назначения позволяет назначать правила качества на реестры/справочники, при условии, что также включены права: "Категории", "Наборы правил", "Назначения", "Правила качества", "Функции".

    • Право Функции позволяет создавать и настраивать функции правил качества.

    • Право Категории определяет доступ к работе с категориями правил качества.

    • Право Фазы позволяет создавать и настраивать Фазы выполнения" при условии, что также включены права: "Категории", "Наборы правил", "Назначения", "Правила качества", "Функции".

  • Право Статусная модель определяет доступ к управлению статусами активов.

  • Право Администрирование модели разметки данных определяет доступ к различным действиям в разделе "Разметка данных". При разворачивании группы прав доступна отдельная настройка каждого права:

  • Право Администрирование модели бизнес-процессов определяет доступ к созданию и настройке "бизнес-процессов".

  • Право Администрирование шаблонов бизнес-процессов определяет доступ к выбору шаблона во время создания бизнес-процессов.

  • Право Бизнес-роли определяет доступ к созданию и настройке бизнес-ролей.

Примечания:

  • Права на закладки в разделе "Правила качества" взаимосвязаны между собой, поэтому доступ к определенной закладке определяется сразу несколькими правами доступа.

  • Чтобы пользователь мог создавать правила качества данных, он должен иметь права: "Модель данных" на Чтение и Полное право "Администрирование модели качества данных". Если нет права "Модель данных" на Чтение, то в расширенном режиме не будут видны реестры / справочники, кроме существующих назначений; в простом режиме не будут видны реестры / справочники.

  • Для изменения фаз выполнения необходимо иметь право "Администрирование модели качества данных" на Редактирование.

  • Для доступа к простому режиму создания правил необходимо иметь право "Администрирование модели качества данных" на Чтение и Редактирование.

  • Для импорта модели качества данных: необходимо иметь право "Администрирование модели качества данных" на Редактирование.

  • Для экспорта модели качества данных: необходимо иметь право "Администрирование модели качества данных" на Чтение.

Права из вкладки "Операции"

Уровни прав:

  • Выбрать все: совокупность прав на Запуск и Редактирование.

  • Запуск: предоставляет право на запуск операций.

  • Редактирование: предоставляет право на создание, изменение и настройку операций.

Перечень прав:

  • Право Администрирование операций определяет доступ к разделу "Операции".

Особенности работы с правами на операции:

  • При попытке установить cron-расписание для операции у пользователя без прав на ее запуск возникнет ошибка.

  • При запуске операции проверяется цепочка триггеров для запуска последующих операций. Если у пользователя нет прав на запуск какой-либо операции из цепочки, запуск будет невозможен.

  • Для операций, созданных после миграции, права доступа необходимо настраивать вручную.

  • Разграничение прав применяется только для операций, которые не являются системными. Системные операции доступны для запуска всем пользователям, которые имеют доступ к разделу "Операции".

Права из вкладки "Справочники"

Группа прав Справочники настраивает права доступа для каждого справочника отдельно, а также для каждого отдельного атрибута. Во вкладке будет представлен список созданных в системе справочников и их атрибутов.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Создание + Редактирование + Удаление.

  • Чтение: просмотр существующих объектов: записей, атрибутов.

  • Создание: создание новых записей, атрибутов. Убедитесь, что включено право на Чтение.

    • Уровень прав позволяет заполнять атрибут новой записи, которая еще не опубликована.

  • Редактирование: изменение существующих записей, атрибутов. Убедитесь, что включено право на Чтение.

    • Уровень прав позволяет редактировать атрибут записи, которая уже опубликована - атрибут новой записи при этом заполнять нельзя.

    • Уровень прав позволяет также удалять значения атрибутов.

  • Удаление: удаление существующих объектов. Убедитесь, что включено право на Чтение.

Права из вкладки "Безопасность"

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Редактирование.

  • Чтение: определяет доступ только к просмотру указанных разделов (перечисленные функции создания и настройки будут недоступны на этом уровне).

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

Перечень прав:

  • Право Пользователи определяет доступ к работе с учетными записями ользователей. Право на чтение не дает доступ к разделу "Пользователи".

  • Право Роли определяет доступ к работе с ролями пользователей и группами прав. При разворачивании группы прав доступна отдельная настройка каждого права:

    • Право на чтение предоставляет возможность просматривать группы.

    • Право на редактирование предоставляет возможность изменять, создавать, удалять, перемещать группы и добавлять подгруппы для существующей группы пользователей. Право также необходимо для добавления подгрупп во внешние группы, так как все подгруппы, создаваемые через интерфейс, являются внутренними.

    • Внешние группы пользователей. Определяет доступ к разделу "Группы пользователей" и отображает только внешние группы, которые пришли с LDAP.

  • Право Импорт / Экспорт ролей определяет доступ к импорту/экспорту ролей. Право на Чтение предоставляет доступ к экспорту, право на Редактирование предоставляет доступ к импорту, права на Чтение и Редактирование предоставляют доступ к импорту и экспорту.

  • Право Метки безопасности определяет доступ к созданию и настройке "меток безопасности".

  • Право Администрирование замещений пользователей определяет доступ к работе с заместителями пользователей в разделе "Пользователи".

  • Право Внутренние группы пользователей определяет доступ к работе с разделом "Группы пользователей" и отображает только внутренние группы.

    • Право на Чтение предоставляет возможность просматривать группы.

    • Право на Редактирование предоставляет возможность изменять, создавать, удалять, перемещать группы и добавлять подгруппы для существующей группы пользователей. Это право также необходимо для добавления подгрупп во внешние группы, так как все подгруппы, создаваемые через интерфейс, являются внутренними.

  • Право Внешние группы пользователей определяет доступ к разделу "Группы пользователей" и отображает только внешние группы, которые пришли с LDAP.

    • Право на чтение предоставляет возможность просматривать группы.

    • Право на редактирование предоставляет доступ на добавление ролей и пользователей.

    • Создание и удаление групп недоступно.

Примечания:

  • Пользователь с правами "Пользователи", "Роли", "Метки безопасности", "Внутренние/Внешние группы пользователей" на Редактирование может изменять только свои группы, роли, учетную запись.

Права из вкладки "Менеджмент активов"

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

  • Право Пакетные операции определяет доступ ко всем пакетным операциям с записями активов. - Право Импорт определяет доступ к пакетной операции импорта данных из Excel. - Право Экспорт определяет доступ к пакетной операции экспорта записей в Excel. Разделено на два права:

    • Право Экспорт видимых колонок. Пользователю при экспорте связей доступен только один флаг "Экспортировать только видимые колонки" (без возможности снятия флага). Опция "Экспортировать связи" скрыта.

    • Право Экспорт данных. Пользователю при экспорте связей доступен флаг "Экспортировать связи"/либо продолжить экспорт без связей. Опция "Экспортировать только видимые колонки" скрыта.

  • Право Отключить лимит в 30 записей на пакетные операции отменяет ограничение на единовременную обработку до 30 записей активов за операцию.

  • Право Отключить лимит на экспорт записей в Excel отменяет ограничение на возможность экспорта неограниченного числа записей в xlsx.

  • Право Мультичерновики активов определяет доступ к работе с группами черновиков (мультичерновиками).

  • Право Возможность сохранять результаты профилирования предоставляет права на сохранение результатов профилирования через Rest-сервисы, URL адреса которых настраиваются в параметрах системы.

  • Право Связывание объектов позволяет сохранять, обрабатывать и применять предложения для создания связей между активами.

Примечания:

  • Право "Принудительный перевод статусов активов" доступно для управления в случае, если в файле backend.properties включен параметр com.unidata.mdm.data.status.manual.transitions.enabled (не отображается в параметрах системы).

Права из вкладки "Бизнес-процессы"

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

Перечень прав:

  • Право Удаление процесса дает доступ на удаление бизнес-процессов.

  • Права для каждого существующего процесса:

    • Право Процессы позволяет работать с процессами в разделе "Задачи".

    • Право Задачи позволяет работать с задачами на согласование изменений в разделе "Задачи".

    • Право Выбор исполнителя позволяет назначать исполнителя конкретной задачи.

    • Право Переназначение задач позволяет редактировать назначение задач и назначать задачи на себя или других пользователей.

    • Право Комментирование и добавление вложений дает доступ к созданию комментариев в карточке задачи/процесса, редактированию и удалению собственных комментариев, добавлению и удалению собственных вложений в задаче или процессах. Просмотр существующих комментариев и вложений доступен, даже если это право не включено.

Права из вкладки "Менеджмент справочников"

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

  • Право Менеджмент записей определяет доступ к работе с записями справочников. При разворачивании группы прав доступна отдельная настройка каждого права:

    • Право Отключить лимит на пакетные операции с записями отменяет ограничение на единовременную обработку до 30 записей справочников за операцию (присутствует ограничение в 50 000 записей).

    • Право Физическое удаление позволяет физически удалять записи справочников.

  • Право Пользовательские пакетные операции определяет доступ к доп.действиям с записями:

При отсутствии прав - соответствующие действия (импорт, экспорт, удаление) будут неактивны.

Права из вкладки "Разметка данных"

  • Право Просмотр каталога меток данных определяет доступ к просмотру раздела "Каталог меток данных".

  • Право Управление каталогом меток данных определяет доступ к выполнению действий в разделе "Каталог меток данных".

  • Право Запуск операции переназначения предоставляет доступ к выполнению действий во вкладке "Запуски" раздела "Каталог меток данных".

  • Право Запуск операции разметки предоставляет доступ к запуску операции разметки в разделе "Информационные системы".