Контроль доступа ¶
Системой поддерживается органичение прав доступа для документов и для единого информационного дерева.
Ролевая модель ¶
Доступ основан на ролевой модели. Роль подразумевает исполнение сотрудником своих должностных обязанностей. Роль не персонифицирована, не правильно будет создавать роль под названием "Иван Иванович".
Администратор может вносить или удалять пользователя в определённой роли.
Одна роль может содержать несколько сотрудников–пользователей. Сотрудник-пользователь может иметь несколько ролей.
Для всех ролей, кроме "Администратор" можно настроить разрешения.
Основной контроль ¶
Разрешения для роли устанавливаются или для всех атрибутов данного типа документа, или отдельно для каждого атрибута типа. Разрешения для роли применяются для "тонкой" настройки взаимодействия роли с данным типом документов. Они позволяют определить, какие атрибуты данного типа документов может смотреть или редактировать данная роль, а также можно ли для данного типа создавать документы или удалять.
Для каждой роли можно задать права доступа ко всем типам документов. Например, роли "Секретарь" можно читать, редактировать, удалять и создавать только тип документа "Письма". При правильном назначении прав остальные типы документов секретарю будут не видны. Роли "Ректор" можно разрешить видеть, редактировать, создавать, удалять все типы документов. Тогда он сможет работать со всеми документами системы. Можно некоторым ролям разрешить просматривать какие-либо документы, но не иметь права редактировать и удалять их. Можно кому-то назначить видеть только часть атрибутов документа, например, видеть только название Контрагента.
Семейства безопасности ¶
Все документы можно разделить по специальным группам - семействам безопасности. Они не привязаны к типам документов, поэтому для них возможна настройка только общих прав доступа - чтение, запись, создание и удаление всего документа. Настройка прав для атрибутов невозможна.
Документ можно отнести к семейству безопасности из карточки документа или при создании нового документа. Выглядит как одноимённый атрибут с выпадающим списком.
Если документ не относится ни к какому семейству безопасности, тогда ему автоматически присваивается группа "Общие". По умолчанию, все права для семейств безопасности отключены, однако при включении правил хотя бы для одного, все остальные правила начинают действовать.
При помощи семейств безопасности можно например, отделить письма секретаря от писем ректора так, что пользователи, принадлежащие к роли "Секретарь" будут видеть только свои письма, но Ректор будет видеть все письма. Для этого нужно создать семейство безопасности под названием "Документы секретаря", затем в настройках роли "Секретарь" для семейства "Документы секретаря" разрешить все правила. Теперь все документы, которые будет создавать Секретарь, автоматически будут присваиваться к семейству безопасности "Документы секретаря"; все остальные документы Секретарь не сможет увидеть. К этому семейству безопасности будут принадлежать не только письма, но и все остальные документы, созданные Секретарём. Если включено хотя бы одно правило для семейств безопасности, все остальные правила семейств безопасности начинают действовать. То есть для условного семейства "Общие" для Секретаря отключены все правила. Семейства безопасности не позволяют настраивать правила для атрибутов, поэтому все ограничения атрибутов для типа документов и для Уровней безопасности будут отражаться и в документах, относящихся к семействам безопасности.
Уровни безопасности ¶
Также для каждого типа документа можно создавать особые подтипы - уровни безопасности, для которых будут действовать собственные правила. Они будут привязаны к типу документов, возможно изменение прав для атрибутов. Например, для роли "Секретарь" и для типа документов "Письмо" можно выделить уровень безопасности под названием "Письма без коментариев", у которых Секретарь, не смотря на то что установлено чтение, запись и удаление для писем, не сможет видеть атрибут "Комментарий" у писем, принадлежащих данному уровню безопасности.
Уровни безопасности предназначены для решения задач связанных с особым режимом секретности, для особо "чувствительных" документов.
Например, не всегда сотруднику, даже если он должен работать с данным типом документа, надо знать все реквизиты письма "чувствительного" контрагента, или не все суммы проекта, или иные сведения (атрибуты) документа, доступ к которым следует иметь очень ограниченному кругу лиц. Уровни безопасности позволяют решить эту коллизию.
Для каждого типа документов может быть несколько уровней безопасности.
Права доступа для каждого уровня безопасности настраиваются отдельно, причём имеется возможность настраивать права для атрибутов. С помощью этого механизма возможно частичное ограничение прав для типа документов, т.е. уровень безопасности будет наследовать права от типов документов и накладывать свои собственные ограничения.
Контроль доступа для единого информационного дерева ¶
Для роли помимо прав на документы есть возможность настроить права для единого информационного дерева.
Можно ограничить отображение части узлов дерева, а также запретить показывать перечень документов узла.
Дополнительно регулируется добавление документов в узел и удаление документов из узла.