Описание прав доступа

Главные принципы

Права доступа определяют, какие действия пользователь может выполнять в системе и к каким данным он имеет доступ. В системе права доступа назначаются не напрямую пользователям, а через роли. Настройка прав выполняется в разделе "Роли" → вкладка "Права доступа".

Совет

  • Применение прав распространяется по иерархии сверху вниз: права могут задаваться глобально на любом уровне (такой уровень будет считаться родительским), а переопределяться - на дочернем.

  • Отсутствие права означает полное ограничение доступа к соответствующему действию или объекту

  • Для выполнения многих операций требуется комбинация прав из разных вкладок

На этой странице описаны:

  • группы прав доступа;

  • уровни прав;

  • назначение каждого типа прав.

Примечание

Также см. краткую статью из быстрого старта: "Предоставление прав доступа пользователям"

Вкладка "Права доступа" содержит несколько внутренних вкладок, каждая из которых представляет собой группу прав, относящихся к определенной функциональной области системы.

Настройка прав обычно требует работы сразу с несколькими вкладками

  • Система - права к действиям администратора системы.

  • Модели - группа отвечает за доступ к работе с различными моделями: модели данных, качества данных, сопоставления, бизнес-процессов и классификаторов.

  • Операции - права к управлению операциями.

  • Данные - права доступа к созданным в системе реестрам/справочникам и их атрибутам.

  • Классификаторы - права к настройке созданных в системе классификаторов и их атрибутов.

  • Безопасность - группа отвечает за доступ к настройкам действий с учетными записями пользователей, ролями, группами и замещениями пользователей.

  • Виджеты - группа отвечает за отображение виджетов, которые доступны пользователю.

  • Бизнес-процессы - права к настройке созданных в системе бизнес-процессов и задач.

  • Менеджмент записей - группа отвечает за настройку прав на действия с единичными записями или на пакетные действия с ними.

Пример отображения вкладки "Права доступа" и внутренних вкладок

Рисунок 1 – Пример отображения вкладки "Права доступа" и внутренних вкладок

Права из вкладки "Система"

Назначение вкладки: управление доступом к системным разделам и функциям администрирования.

Уровень прав:

  • Полные: совокупность всех доступных прав на создание, чтение, редактирование и удаление (при наличии).

Перечень прав:

  • Право Библиотеки определяет доступ к разделу "Библиотеки";

  • Право Потоки выполнения определяет доступ к разделу "Потоки выполнения";

  • Право Управление журналом аудита определяет доступ к разделу "Журнал;

  • Право Параметры системы определяет доступ к разделу "Параметры системы";

  • Право Колонки по умолчанию определяет доступ к, которые будут использованы в выдаче таблицы результатов поиска;

  • Право Управление пользовательскими параметрами определяет доступ к созданию и изменению пользовательских параметров;

  • Право Управление настройками виджетов определяет доступ к редактирование имени, описания и статуса доступных ему виджетов;

  • Право Получение логов сервера определяет доступ к скачиванию логов;

  • Право Администрирование системных кнопок определяет доступ к администрированию системных кнопок;

  • Право Получение логов сервера определяет доступ к разделу "Каталог доступа".

Примечания:

  • Для детализации доступа к группам параметров в файле конфигурации backend.properties используется параметр org.unidata.mdm.core.secured.property.groups.

Права из вкладки "Модели"

Назначение вкладки: управление доступом к моделям данных и их настройке.

Примечание

Перед настройкой прав во вкладке сначала ознакомьтесь с Примечаниями.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Редактирование.

  • Чтение: определяет доступ только к просмотру указанных разделов (перечисленные функции создания и настройки будут недоступны на этом уровне).

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

Перечень прав:

  • Право Администрирование модели правил сопоставления определяет доступ к действиям с правилами сопоставления.

  • Право Администрирование модели качества данных определяет доступ к различным действиям в разделе "Качество данных". При разворачивании группы прав доступна отдельная настройка каждого права:

    • Право Правила качества определяет доступ к работе с правилами качества, при условии, что также включены права: "Категории" и "Функции".

    • Право Наборы правил позволяет создавать и настраивать наборы правил качества, при условии, что также включены права: "Категории", "Наборы правил", "Правила качества", "Функции".

    • Право Назначения позволяет назначать правила качества на реестры/справочники, при условии, что также включены права: "Категории", "Наборы правил", "Назначения", "Правила качества", "Функции".

    • Право Функции позволяет создавать и настраивать функции правил качества.

    • Право Категории определяет доступ к работе с категориями правил качества.

    • Право Фазы позволяет создавать и настраивать Фазы выполнения" при условии, что также включены права: "Категории", "Наборы правил", "Назначения", "Правила качества", "Функции".

  • Право Модель данных определяет доступ к работе с разделами: "Модель данных"; "Источники данных"; "Единицы измерения"; "Перечисления"; "Импорт/экспорт".

  • Право Администрирование модели бизнес-процессов определяет доступ к созданию и настройке "бизнес-процессов".

  • Право Администрирование шаблонов бизнес-процессов определяет доступ к выбору шаблона во время создания бизнес-процессов.

  • Право Администрирование модели классификаторов определяет доступ к созданию и настройке "классификаторов". Права на каждый отдельный созданный классификатор настраиваются во вкладке прав "Классификаторы". В списке будут доступны только те классификаторы, к которым пользователю предоставлен доступ.

    • Право на уровне "Чтение" предоставит доступ к просмотру раздела "Классификаторы", а также просмотру метаинформации, версий и узлов, экспорту классификаторов.

    • Право на уровне "Редактирование" предоставит доступ к редактированию метаинформации, версий и узлов и импорту классификаторов. Создание нового классификатора доступно, если предоставлен доступ на редактирование верхнего уровня во вкладке "Классификаторы".

Примечания:

  • Права на закладки в разделе "Правила качества" взаимосвязаны между собой, поэтому доступ к определенной закладке определяется сразу несколькими правами доступа.

  • Чтобы пользователь мог создавать правила качества данных, он должен иметь права: "Модель данных" на Чтение и Полное право "Администрирование модели качества данных". Если нет права "Модель данных" на Чтение, то в расширенном режиме не будут видны реестры / справочники, кроме существующих назначений; в простом режиме не будут видны реестры / справочники.

  • Для изменения фаз выполнения необходимо иметь право "Администрирование модели качества данных" на Редактирование.

  • Для доступа к простому режиму создания правил необходимо иметь право "Администрирование модели качества данных" на Чтение и Редактирование.

  • Для импорта модели качества данных: необходимо иметь право "Администрирование модели качества данных" на Редактирование.

  • Для экспорта модели качества данных: необходимо иметь право "Администрирование модели качества данных" на Чтение.

Права из вкладки "Операции"

Назначение вкладки: управление запуском и настройкой операций обслуживания системы.

Уровни прав:

  • Выбрать все: совокупность прав на Запуск и Редактирование.

  • Запуск: предоставляет право на запуск операций.

  • Редактирование: предоставляет право на создание, изменение и настройку операций.

Перечень прав:

  • Право Администрирование операций определяет доступ к разделу "Операции".

Особенности работы с правами на операции:

  • При попытке установить cron-расписание для операции у пользователя без прав на ее запуск возникнет ошибка.

  • При запуске операции проверяется цепочка триггеров для запуска последующих операций. Если у пользователя нет прав на запуск какой-либо операции из цепочки, запуск будет невозможен.

  • Для операций, созданных после миграции, права доступа необходимо настраивать вручную.

  • Разграничение прав применяется только для операций, которые не являются системными. Системные операции доступны для запуска всем пользователям, которые имеют доступ к разделу "Операции".

Права из вкладки "Данные"

Назначение вкладки: управление доступом к данным реестров и справочников.

Группа прав Данные настраивает права доступа для каждого реестра/справочника отдельно, а также для каждого отдельного атрибута. Во вкладке будет представлен список созданных в системе реестров/справочников и их атрибутов. Данные внутри вкладки свернуты по умолчанию.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Создание + Редактирование + Удаление.

  • Чтение: просмотр существующих объектов: записей, связей, атрибутов.

  • Создание: создание новых записей, связей, атрибутов. Убедитесь, что включено право на Чтение.

    • Уровень прав позволяет заполнять атрибут новой записи, которая еще не опубликована.

  • Редактирование: изменение существующих записей, связей, атрибутов. Убедитесь, что включено право на Чтение.

    • Уровень прав позволяет редактировать атрибут записи, которая уже опубликована - атрибут новой записи при этом заполнять нельзя.

    • Уровень прав позволяет также удалять значения атрибутов.

  • Удаление: удаление существующих объектов. Убедитесь, что включено право на Чтение.

Примечания:

  • Для удобства навигации используйте строку поиска, расположенную над ресурсами.

    • Поиск выполняется как по именам реестров/справочников (моделей), так и по именам их атрибутов.

    • При обнаружении совпадений система автоматически раскрывает соответствующие узлы дерева.

    • Найденные элементы подсвечиваются в интерфейсе.

    • Для возврата к полному виду дерева очистите строку поиска.

  • Право на атрибут невозможно задать без права на реестр. При установке прав на весь реестр/справочник возможно снять права с конкретного атрибута.

  • Для комплексных атрибутов:

    • "Создание" применяется к черновикам;

    • "Редактирование" — к опубликованным записям.

Массовое назначение прав доступа

На странице категории прав "Данные" реализована возможность массового назначения прав доступа для нескольких ресурсов одновременно.

Доступность функции

Кнопка "Массовое назначение" доступна при выполнении следующих условий:

  • Роль сохранена и не содержит несохраненных изменений.

  • Глубина поиска установлена на значение "1" (если используется поиск).

Если условия не выполнены, кнопка будет недоступна (заблокирована).

Настройка глубины поиска

Чтобы настроить глубину поиска нажмите на иконку image1 "Глубина поиска", которая расположена справа от панели поиска и настройте уровень глубины поиска:

  • Уровень "1" - осуществляет поиск по именам сущностей.

  • Уровень "2" - осуществляет поиск по именам сущностей и атрибутам первого уровня.

Настройка массового назначения

При нажатии на кнопку "Массовое назначение" открывается окно настройки:

  1. Применить — выбор ресурсов, к которым будут применены права:

    • К отфильтрованным — ресурсы, отображаемые в результате текущего поиска (если поиск не выполнялся, опция недоступна).

    • Ко всем — все ресурсы из категории "Данные".

  2. Назначение прав — выбор прав, которые будут установлены для выбранных ресурсов:

    • Можно выбрать один или несколько уровней прав (Чтение, Создание, Редактирование, Удаление).

    • Если права не выбраны, текущие права для выбранных ресурсов будут сброшены.

  3. После настройки параметров и нажатия кнопки "Применить" система отображает окно подтверждения, в котором указывает:

    • Количество ресурсов, которые будут изменены.

    • Предупреждение о том, что операция необратима — возврат к предыдущим настройкам будет невозможен.

Особенности

  • При массовом назначении прав все права, установленные на атрибуты, очищаются. После этого права на атрибуты наследуются от прав, установленных на родительские сущности (реестры/справочники).

  • Операция применяется только к ресурсам категории "Данные" (реестрам и справочникам), а не к их атрибутам по отдельности.

Окно настройки массового назначения прав

Рисунок 2 - Окно настройки массового назначения прав

Права из вкладки "Классификаторы"

Назначение вкладки: управление доступом к классификаторам и их элементам.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Редактирование.

  • Чтение: определяет доступ только к просмотру указанных разделов (перечисленные функции создания и настройки будут недоступны на этом уровне).

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

Перечень прав:

  • Корневое право Классификаторы:

    • Предоставляет права на все дочерние элементы. Если выбраны права на Чтение на этом уровне - автоматически добавляются права на Чтение при создании нового классификатора.

    • Предоставляет доступ на создание и импорт новых классификаторов (если во вкладке "Модели" предоставлен доступ к праву "Администрированию модели классификаторов" на уровне Редактирование).

  • Права дочернего уровня - по именам классификаторов:

    • Право на Чтение классификатора позволяет выбирать узлы классификатора в карточке записи.

    • Право на Редактирование позволяет изменять и импортировать выбранный классификатор, его версии и узлы (если во вкладке "Модели" предоставлен доступ к праву "Администрированию модели классификаторов" на уровне Редактирование).

Примечания:

  • Поиск и редактирование классификатора доступны, если есть право "Администрирование модели классификаторов" на Чтение + Редактирование и на конкретный классификатор (права только на конкретный классификатор не дают возможности его редактировать).

  • Права только на Чтение конкретных классификаторов без права "Администрирование модели классификаторов" дают возможность: видеть информацию в записях во вкладке "Классификация", которая относится только к доступным классификаторам; а также возможность добавлять/удалять эту информацию при наличии необходимых прав на Редактирование записи.

  • Вкладка "Назначения" в разделе "Классификаторы" будет активна для просмотра всегда, за исключением поведения, если у пользователя нет прав на Чтение права "Модель данных" из вкладки "Модели".

Права из вкладки "Безопасность"

Назначение вкладки: управление доступом к механизмам безопасности.

Уровни прав:

  • Выбрать все: совокупность прав на Чтение + Редактирование.

  • Чтение: определяет доступ только к просмотру указанных разделов (перечисленные функции создания и настройки будут недоступны на этом уровне).

  • Редактирование: определяет доступ к созданию, настройке, изменению объектов и отдельных параметров в указанных разделах.

Перечень прав:

  • Право Пользователи определяет доступ к работе с учетными записями ользователей. Право на чтение не дает доступ к разделу "Пользователи".

  • Право Роли определяет доступ к работе с ролями пользователей и группами прав. При разворачивании группы прав доступна отдельная настройка каждого права:

    • Дочерние права отвечают за возможность работы с каждой конкретной (одноименной) вкладкой прав доступа.

    • Для выдачи прав на определенную вкладку необходимо сначала выдать права на родительское право "Роли", вследствие чего все дочерние права будут выбраны автоматически, и далее можно будет единично редактировать доступные права. Без родительского права "Роли" у пользователя не будет возможности работать с ролями.

    • Права "Роли" не влияют на возможность импорта/экспорта.

  • Право Импорт / Экспорт ролей определяет доступ к импорту/экспорту ролей. Право на Чтение предоставляет доступ к экспорту, право на Редактирование предоставляет доступ к импорту, права на Чтение и Редактирование предоставляют доступ к импорту и экспорту.

  • Право Метки безопасности определяет доступ к созданию и настройке "меток безопасности".

  • Право Администрирование замещений пользователей определяет доступ к работе с заместителями пользователей в разделе "Пользователи".

  • Право Внутренние группы пользователей определяет доступ к работе с разделом "Группы пользователей" и отображает только внутренние группы.

    • Право на Чтение предоставляет возможность просматривать группы.

    • Право на Редактирование предоставляет возможность изменять, создавать, удалять, перемещать группы и добавлять подгруппы для существующей группы пользователей. Это право также необходимо для добавления подгрупп во внешние группы, так как все подгруппы, создаваемые через интерфейс, являются внутренними.

  • Право Внешние группы пользователей позволяет просматривать и редактировать группы пользователей с выключенным/включенным флагом "Внешний".

    • Право "Внешние группы пользователей" на Чтение предоставляет доступ к разделу "Группы пользователей".

    • Право на Редактирование предоставляет доступ к созданию групп, изменению пользователей в группах, добавлению ролей на группу, удалению группы. Группы, пришедшие из LDAP, не редактируются, но доступно добавление ролей и пользователей.

Примечания:

  • Пользователь с правами "Пользователи", "Роли", "Метки безопасности", "Внутренние/Внешние группы пользователей" на Редактирование может изменять только свои группы, роли, учетную запись.

Права из вкладки "Виджеты"

Назначение вкладки: управление отображением виджетов на главной странице.

Уровень прав:

  • Полные: Открывает доступ к просмотру выбранного виджета.

Перечень прав включает в себя виджеты:

  • Виджет Модель данных;

  • Виджет Статистика использования объектов;

  • Виджет Сквозной поиск;

  • Виджет Статистика использования модулей;

  • Виджет Общие поисковые запросы;

  • Виджет Задачи;

  • Виджет Избранные записи;

  • Виджет Статистика нарушений правил качества;

  • Виджет Статистика объектов с ошибками;

  • Виджет Статистика задач по пользователям;

  • Виджет Количество уникальных пользователей;

  • Виджет Данные;

  • Виджет Черновики;

  • Виджет Пользовательские поисковые запросы;

  • Виджет Статистика обработки задач.

Права из вкладки "Бизнес-процессы"

Назначение вкладки: управление доступом к процессам и задачам.

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

Перечень прав:

  • Право Удаление процесса дает доступ на удаление бизнес-процессов.

  • Права для каждого существующего процесса:

    • Право Процессы позволяет работать с процессами в разделе "Задачи".

    • Право Задачи позволяет работать с задачами на согласование изменений в разделе "Задачи".

    • Право Выбор исполнителя позволяет назначать исполнителя конкретной задачи.

    • Право Переназначение задач позволяет редактировать назначение задач и назначать задачи на себя или других пользователей.

    • Право Комментирование и добавление вложений дает доступ к созданию комментариев в карточке задачи/процесса, редактированию и удалению собственных комментариев, добавлению и удалению собственных вложений в задаче или процессах. Просмотр существующих комментариев и вложений доступен, даже если это право не включено.

Права из вкладки "Менеджмент записей"

Назначение вкладки: управление действиями над записями.

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

Менеджмент записей:

  • Право Отключить лимит на пакетные операции с записями позволяет отменять лимит на единовременную обработку до 30 записей за операцию при запуске пакетных операций.

  • Право История записи позволяет просматривать историю записи в карточке записи.

  • Право Редактирование описания версий определяет доступ к редактированию описаний версий при импорте записей.

  • Право Дубликаты позволяет работать с "дубликатами записей.

    • Полные права предоставляют доступ к работе с разделом "Дубликаты", а также к возможности сравнивать и объединять дубликаты записей.

    • Доступ к непосредственно дублирующимся записям регулируется через группу прав "Данные"

  • Право История консолидации определяет доступ к просмотру истории консолидации в карточке записи.

  • Право Физическое удаление предоставляет возможность физически удалять записи.

  • Право Ручная отправка в системы-потребители предоставляет возможность ручной отправки в системы-потребители.

Пользовательские пакетные операции:

Определяют доступ к действиям с пакетными операциями. При разворачивании группы прав доступна отдельная настройка каждого права: на импорт, экспорт, модификацию записей или их удаление.

Уровень прав:

  • Полные: совокупность всех доступных прав. Автоматически включает права на создание, чтение, редактирование и удаление (при наличии).

  • При отсутствии прав - соответствующие действия: импорт, экспорт, модификация, удаление будут неактивны.

  • Право Импорт.

  • Право Экспорт.

  • Право Модификация.

  • Право Модификация без запуска бизнес-процесса определяет возможность пакетной модификация записей без запуска бизнес-процесса. Записи будут изменены и опубликованы без прохождения этапов бизнес-процесса.

  • Право Восстановление.

  • Право Восстановление без запуска бизнес-процесса определяет возможность пакетного восстановления логически удаленной записи без запуска бизнес-процесса. Записи будут восстановлены и опубликованы без прохождения этапов бизнес-процесса.

  • Право Клонирование.

  • Право Клонирование без запуска бизнес-процесса определяет возможность пакетного клонирования записей без запуска бизнес-процесса. Записи будут клонированы и опубликованы без прохождения этапов бизнес-процесса.

  • Право Удаление.

  • Право Удаление без запуска бизнес-процесса определяет возможность пакетного логического удаления записей без запуска бизнес-процесса. Записи будут удалены без прохождения этапов бизнес процесса.

Избранное:

Права группы регулируют доступ пользователя к функциям работы с избранными записями и их группировками в папки.

  • Право Управление избранными записями определяет доступ к избранным записям.

  • Если право отсутствует:

    • Виджет "Избранные записи" на главной странице не отображается.

    • Флаг "Избранный" для записи в табличном поиске недоступен.

    • Кнопка "Показать избранные" в табличном поиске не будет отображаться.

  • Право Управление избранными папками определяет доступ к созданию, редактированию и удалению пользовательских папок для группировки избранных записей.

  • Если право отсутствует:

    • Виджет "Избранные записи" отображается, но все кнопки управления папками (добавление, редактирование, удаление, перемещение) заблокированы.

    • Просмотр существующих папок и их содержимого разрешен.