Управление доступом

Централизованное управление сервисом осуществляется через веб-клиент с единой точкой входа и ролевой политикой безопасности. Для авторизации в приложении используется:

  • логин и пароль пользователя;

  • тенант, к которому принадлежит учетная запись.

Тенанты

При наличии в организации нескольких подразделений (филиалов) для каждого из них возможно создать тенант. Тенант — логический объект, который включает совокупность пользователей и проектов, хранящих модели и наборы данных.

При авторизации пользователя в веб-приложении, помимо данных учетной записи, указывается тенант пользователя. Таким образом, пользователи из одного тенанта не смогут получить доступ к данным в другом тенанте.

В системе предустановлены следующие тенанты:

  • Тенант по умолчанию — основной тенант. Все встроенные пользователи и проекты относятся к тенанту по умолчанию.

  • BUCH — дополнительный тенант.

  • DIST — дополнительный тенант.

Пользователи

Управление пользователями системы осуществляет пользователь с административными правами. Управление включает в себя следующие операции:

  • Создание сущности пользователя.

  • Определение прав доступа пользователя.

  • Изменение сущности пользователя.

  • Просмотр информации о действиях пользователя.

  • Удаление сущности пользователя.

Пользователи по умолчанию

По умолчанию в системе созданы следующие пользователи:

  • superadmin — администратор системы, которому предоставлены все имеющиеся права доступа. Это кросстенантный пользователь, который имеет право заходить в любой тенант.

  • admin — администратор тенанта по умолчанию. Не имеет прав доступа в других тенантах.

Роли

Роль определяет набор прав доступа, которые администратор может присвоить пользователю. Роль содержит имя, описание и набор разрешенных действий по отношению к каждой сущности системы. Одна роль может быть назначена нескольким пользователям. Один пользователь также может иметь несколько ролей.

Если пользователю назначены роли с разным набором прав по отношению к одной и той же сущности, то применятся те права, которые дадут пользователю больше возможностей. Например, если одна роль пользователя разрешает только просмотр проектов, а другая роль разрешает просмотр и создание проектов, то пользователь с данными ролями сможет просматривать и создавать проекты.

Администратор имеет право изменять набор прав роли, расширяя или ограничивая доступ пользователя к сущностям системы.

Роли по умолчанию

По умолчанию в системе созданы следующие роли:

  • Administrator — содержит уникальный набор прав, требующийся для административного управления. По умолчанию роль Administrator уже имеют пользователи superadmin и admin.

  • TenantAdministrator — содержит набор прав для администраторов тенанта. По умолчанию никто из пользователей не имеет этой роли.

Права доступа

Права доступа роли сгруппированы по сущностям системы, тем самым определяя возможные действия пользователя с каждой сущностью. Рекомендуется назначать пользователю минимальные разрешения для выполнения должностных задач.

В системе существуют следующие виды прав:

  • Просмотр — позволяет пользователю просматривать определенные сущности системы и их свойства.

  • Создание — позволяет добавить в систему новую сущность.

  • Редактирование — позволяет изменять свойства уже добавленной сущности.

  • Удаление — позволяет удалить сущность из системы.

  • Управление — предоставляет пользователю полный набор прав по управлению сущностью (просмотр, создание, редактирование, удаление), а также дополнительные возможности, которые варьируются в зависимости от сущности.

Если какое-то право доступа не применимо к сущности, то параметр с этим правом будет неактивен при настройке роли.

См. также

Last updated