База знаний Comindware - Системные роли. Определения, настройка, объединение, удаление

Определения

В Comindware Business Application Platform предусмотрена возможность контроля доступа к различным ресурсам посредством ролей, разрешений и прав доступа.

Для контроля доступа к системным ресурсам используются системные роли.

Системные роли определяют политику безопасности для:

пользователей, настраивающих систему и приложения;
служебных аккаунтов, используемых для интеграции с внешними системами посредством API и LDAP.

Можно создать особые системные роли со специальными свойствами и разрешениями или объединить стандартные системные роли для создания особой роли.

Для контроля доступа конечных пользователей к ресурсам приложения используются роли в приложении. Роли в приложении не дают доступа к настройке приложений или системы и использованию API.

Роль — это совокупность разрешений, назначенная аккаунту или группе аккаунтов.
Разрешение — это полномочие на совершение определенного действия с объектом: полный доступ, создание, просмотр, изменение, удаление и т. п.
Права доступа — это совокупность всех разрешений, предоставленных аккаунту или группе аккаунтов. Права доступа формируются посредством: ролей, правил для форм, выражений, языка запросов и скриптов.
Ресурс — любая сущность в системе, к которой осуществляет доступ пользователь или внешний сервис.

Стандартные системные роли

В Comindware Business Application Platform предусмотрены перечисленные ниже стандартные системные роли с заранее заданными разрешениями на доступ к ресурсам системы.

Системные администраторы — могут изменять все параметры на странице «Администрирование» и во всех приложениях, а также использовать все методы API, настраивать, создавать, редактировать и удалять все шаблоны, записи, экземпляры процессов, аккаунты, диаграммы и любые другие сущности в системе.
- Полный доступ
  - Система— доступ ко всем ресурсам системы.
  - Функции администрирования на страницах:
    - Адаптеры — настройка особых адаптеров для интеграции с внешними сервисами.
    - Аккаунты — настройка пользователей.
    - Глобальная конфигурация — настройка параметров сервера.
    - Журналы событий — просмотр журналов работы системы и взаимодействия с внешними сервисами.
    - Подключения — настройка подключений к внешним сервисам и путей передачи данных.
    - Приложения — настройка приложений.
    - Производительность — просмотр показателей производительности системы.
    - Резервное копирование — настройка конфигураций резервного копирования.
    - Системные роли — настройка системных ролей.
    - Темы — настройка тем визуального оформления системы.
  - Системные ресурсы:
    - Веб-интерфейс — использование интерфейса конечного пользователя приложений.
    - Вызовы API — использование всех методов API.
    - Системный LDAP — настройка синхронизации аккаунтов посредством протокола LDAP.
    - Администраторы безопасности — могут настраивать параметры безопасности системы, но не могут настраивать приложения и подключения к внешним службам, а также изменять данные в шаблонах.
      - Полный доступ
        
        Аккаунты
        
        Системные роли
      - Просмотр
        
        Журналы событий
    - Администраторы инфраструктуры — могут настраивать подключения к внешним службам и резервное копирование, но не могут настраивать параметры безопасности системы и приложения, а также изменять данные в шаблонах.
      - Полный доступ
        
        Адаптеры
        
        Подключения
        
        Резервное копирование
      - Просмотр
        
        Журналы событий
    - Системные архитекторы — могут только настраивать приложения и изменять данные в шаблонах.
      - Полный доступ
        
        Приложения

Просмотр списка системных ролей и настройка роли

Примечание

Настроить свойства и разрешения можно только у системных ролей, созданных пользователями, т. е. ролей, у которых в списке указан создатель.
Если выбрать системную роль, созданную системой (у которой в списке не указан создатель), у неё можно настроить только участников роли.

На странице «Администрирование» в разделе — «Администрирование аккаунтов» выберите пункт «Системные роли» ‌.
Отобразится список системных ролей.
Нажмите кнопку «Создать» или дважды нажмите строку роли в списке.
Отобразится страница системной роли с вкладками «Свойства роли» и «Разрешения».
Настройте свойства роли.
Настройте разрешения на доступ к ресурсам.
Сохраните роль.

Настройка свойств роли

Заполните перечисленные ниже поля на вкладке «Свойства роли» и перейдите к вкладке «Разрешения» для настройки доступа к ресурсам.

Название — наименование роли. Обязательное поле.
Системное имя — уникальное имя роли. Не должно начинаться с цифры. Рекомендуется использовать буквы латинского алфавита, цифры и символ «_». Заполняется автоматически по названию.
Описание — дополнительный комментарий относительно назначения роли.
Создатель — аккаунт, создавший роль.
Дата создания — дата и время создания роли.
Изменил(а) — аккаунт, последним изменивший роль.
Дата изменения — дата и время последнего изменения роли.

Активная — установите или снимите этот флажок, чтобы использовать или отключить данную роль. Данный флажок нельзя снять для ролей, созданных системой (у которых не указан создатель).

Выберите участников роли
- Доступные аккаунты и группы — в этом списке отображаются аккаунты и группы, которым можно назначить данную роль.
  - Чтобы назначить роль аккаунту или группе, дважды нажмите соответствующую строку.
  - Чтобы назначить роль всем аккаунтам и группам, отображающимся в списке, нажмите кнопку «Выбрать все» .
- Выбранные аккаунты и группы — в этом списке отображаются аккаунты и группы, которым назначена данная роль. Чтобы снять назначение роли аккаунту или группе, дважды нажмите соответствующую строку.
- Содержимое обоих списков можно отфильтровать:
  - начните вводить текст в поле «Поиск» ‌, в списке отобразятся подходящие аккаунты и группы;
  - установите или снимите флажок «Аккаунты» ‌ , чтобы показать или скрыть отдельные аккаунты;
  - установите или снимите флажок «Группы» ‌, чтобы показать или скрыть группы аккаунтов.

Настройка разрешений для ресурсов

Откройте вкладку «Разрешения», на которой предусмотрены следующие области:

(1) Список системных ресурсов — содержит ресурсы, к которым можно предоставить доступ участникам данной роли.

(2) Список разрешений — показывает ресурсы и назначенные для них разрешения для данной роли. Каждая строка задаёт набор разрешений для одного ресурса.

Настройка разрешений системной роли
Перетаскивайте ресурсы из списка ресурсов в список разрешений, чтобы настроить полномочия на действия с ресурсами в рамках системной роли:
- Система— доступ ко всем ресурсам системы.
- Адаптеры — настройка особых адаптеров для интеграции с внешними сервисами.
- Аккаунты — настройка пользователей.
- Веб-интерфейс — использование интерфейса конечного пользователя приложений.
- Вызовы API — использование всех методов API.
- Глобальная конфигурация — настройка параметров сервера.
- Журналы событий — просмотр журналов работы системы и взаимодействия с внешними сервисами.
- Подключения — настройка подключений к внешним сервисам и путей передачи данных.
- Приложения — настройка и использование приложений.
- Производительность — просмотр показателей производительности системы.
- Резервное копирование — настройка конфигураций резервного копирования.
- Системные роли — настройка системных ролей.
- Системный LDAP — настройка синхронизации посредством протокола LDAP.
- Темы — настройка тем визуального оформления системы.
Разворачивайте и сворачивайте пункты в списке ресурсов, чтобы просмотреть дочерние и родительские ресурсы.
Чтобы отфильтровать список ресурсов, начните вводить название ресурса в поле «Поиск» ‌. В списке ресурсов отобразятся искомые ресурсы.
Устанавливайте флажки в следующих столбцах, чтобы настроить разрешения для ресурсов:
- Просмотр — разрешение на просмотр данных ресурса.
- Полный доступ — предоставление доступа ко всем функциям администрирования ресурса.

Удаление разрешений для ресурсов

На вкладке «Разрешения» в списке разрешений выберите один или несколько ресурсов, разрешения для которых требуется удалить.
Нажмите кнопку «Удалить».
Подтвердите удаление разрешений.
Будут удалены выбранные строки разрешений.

Восстановление исходных разрешений системной роли

Откройте роль.
Нажмите кнопку «Очистить».
Будут восстановлены исходные разрешения роли на момент её последнего сохранения.

Объединение системных ролей

Объединение ролей

Можно создать новую роль, объединив в ней свойства нескольких других ролей. Для этого выполните указанные ниже действия.

Выберите несколько ролей в списке ролей.
Нажмите кнопку «Объединить в новую роль».
В отобразившемся окне «Клонирование» введите название и системное имя новой роли.
Нажмите кнопку «Сохранить».
Объединённая роль отобразится в списке ролей.

Клонирование системной роли

Можно создать новую роль, скопировав текущую. Для этого выполните указанные ниже действия.

Откройте роль в приложении.
Нажмите кнопку «Клонировать».
В отобразившемся окне «Клонирование» введите название и системное имя новой роли.
Нажмите кнопку «Сохранить».

Удаление системной роли

Примечание

Удалить можно только системные роли, созданные пользователями, т. е. роли, у которых в списке указан создатель.
Если выбрать системную роль, созданную системой (у которой в списке не указан создатель), то кнопка «Удалить» не будет отображаться.

Выберите подлежащие удалению роли в списке ролей.
Нажмите кнопку «Удалить».
Подтвердите удаление роли.

Связанные статьи

Роли в приложении

Шаблон роли