Перейти к содержанию

Механизмы разграничения доступа

В системе используется два основных механизма по разграничению доступа: Дискреционная и Ролевая безопасность.

Дискреционная безопасность

Дискреционная безопасность - это уровень доступа (Пользователь/Администратор), который задается в карточке сотрудника. Используется в следующих случаях:

  • Для приложений, опубликованных как “административный”. Например, Tessa Admin, опубликованный с параметром /admin будет доступен только сотрудникам с уровнем доступа Администратор.

  • Для карточек с флагом “административный”. Т.е. сотруднику с уровнем доступа Администратор будут доступны все глобальные настройки (правая панель – меню Настройки), редактирование всех типов ролей, объектов маршрутов (шаблоны этапов, группы, вторичные процессы, методы расширений).

  • Администратор может редактировать любые роли, в том числе карточки сотрудников, включая настройку замещений для любого сотрудника, смену пароля и т.д.

    Note

    Пользователю также можно выдать права на редактирование карточек сотрудников и подразделений, за исключением редактирования карточек сотруников с административным доступом. Как это настроить описано в разделе Выдача прав пользователям на создание карточек сотрудников.

  • Администратор может закрывать сессии других сотрудников.

  • Администратор может для представлений и рабочих мест менять список ролей, кому они будут доступны. А также может выполнять импорт представлений и рабочих мест.

  • Администратору доступен просмотр истории действий.

  • Администратор может восстанавливать удаленные карточки или удалять их окончательно (см. Работа с удаленными карточками).

  • Администратор может менять любые шаблоны карточек (более подробно см. Руководство пользователя) за других пользователей, даже если те не давали таких прав.

Ролевая безопасность

  • По роли определяется доступ к разным объектам системы, которые не являются административными: к карточкам документов (по правилам доступа), к замещениям других сотрудников, к шаблонам карточек и файлов, к кнопкам маршрутов и др.

  • По вхождению в ту или иную роль пользователь видит представление со списком каких-то объектов (например, реестр документов и основную информацию по документам, отображенную в колонках).

  • По роли определяется видимость задач, а видимость задач в свою очередь влияет на возможность открыть карточку и подписывать в ней файлы; эти права выдаются “мимо” правил доступа. Более подробно см. раздел Система прав доступа к карточкам, включенным в типовое решение.

Back to top