Загрузить Справка Поддержка
Автоматизация аудита по МСА
Комплект РД для малых компаний под ред. Неверова Г.Н.
Подготовка к проверке ВКД. Вебинар Неверова Г.Н.
контакты
Задать вопрос
Новая версия программы 9.0.1. Новый модуль "Мастер настройки проекта по аудиту", расширение модуля "Операции"

Управление политиками доступа

В форме Управление политиками доступа производится настройка прав доступа пользователей к объектам программы. Для открытия формы в строке меню нажмите Сервис и выберите пункт Управление политиками доступа.

Сервис. Пункты меню
Сервис. Пункты меню
×
Настройку прав пользователей рекомендуем поручить системному администратору, который ознакомился и разобрался с принципами настройки прав доступа, или сотрудникам компании разработчика.

В последнем случае вы можете описать ваши пожелания по настройке прав доступа с учетом объектов для управления политиками доступа.

После получения задания мы оценим стоимость данной работы (от 10000 руб. до 20000 руб. для документов и задач и до 30000 руб. для финансового аудита). При необходимости скорректируем и уточним настройку прав доступа. После оплаты счета выполним согласованную настройку прав доступа в удаленном режиме
Содержание страницы
Рекомендация
Перед настройкой прав доступа сделайте архив базы данных

Общие принципы управления политикой доступа

Важно
При настройке прав доступа необходимо учитывать установленный принцип разграничения прав доступа в форме Параметры
При неправильной настройке прав доступа вы можете столкнуться с ограничением доступа к функционалу программы

В форме Параметры приводится общий принцип разграничения прав доступа:

Вариант разграничения прав Принцип разграничения прав
Разрешить все Пользователям разрешены все действия, независимо от настроенных политик доступа. Всем пользователям разрешен доступ ко всему функционалу программы. Проверка прав доступа пользователей не производится
Запретить все Запрещены все действия, не зависимо от настроенных политик доступа. При установке данного параметра всем пользователям будет запрещен доступ к функционалу программы. Измение политики разграничения прав пользователей будет доступно пользователю Администратор
Запретить, если не разрешено Пользователю запрещено любое действие, если на его выполнение не получено явное разрешение
Разрешить, если не запрещено Пользователю разрешено любое действие, если на его выполнение не получен явный запрет
Важно
Перед изменением политики доступа настройте права доступа по паролю (группа объектов Сервис)

В первых двух случаях система прав даже не пытается вычислить политики, а сразу выдает соответствующее принципу разграничения прав решение: Разрешить все или Запретить все.

Во вторых двух случаях система прав сначала отбирает применимые в текущем контексте выполнения политики, вычисляет их и комбинирует их ответы для получения окончательного решения согласно соответствующему принципу разграничения прав.

Политика считается применимой в контексте выполнения, если в результате вычисления ее области применения получена ИСТИНА.

Вычисление политики заключается в вычислении всех ее правил и комбинаций результатов согласно установленному алгоритму комбинации.

Результатом вычисления каждого отдельного правила и политики в целом может быть одно из 4 значений:

  • Разрешить
  • Запретить
  • Неопределено - не является ни разрешением, ни запретом
  • Неприменимо - не является ни разрешением, ни запретом

Создание правил и объединение их в политику прав доступа

Созданные правила определяют политику прав доступа пользователей. Политика состоит из цели (область применения) и правил. Если по политике установлено несколько правил, то необходимо установить алгоритм комбинации данных правил.

Пример настройки входа в программу по паролю

Пример настройки правил и политик прав доступа по задачам

Правила создаются на вкладке Правила формы Управление политиками доступа.

Управление политиками доступа. Вкладка Роли
Управление политиками доступа. Вкладка Роли
×

Политики создаются на вкладке Политики формы Управление политиками доступа.

Управление политиками. Вкладка Политики
Управление политиками. Вкладка Политики
×

Алгоритмы комбинаций правил

Алгоритмы комбинации правил бывают следующих видов:

Вариант комбинации правил Комментарий
Запретить, если все запретили Результатом политики будет "Запретить" только тогда, когда результатом вычисления всех правил будет "Запретить", иначе результат политики - "Разрешить"
Разрешить, если все разрешили Результатом политики будет "Разрешить" только тогда, когда результатом вычисления всех правил будет "Разрешить", иначе результат политики - "Запретить"
Запретить, если не разрешено Результатом политики будет "Запретить" только тогда, когда при вычислении всех правил не будет получено ни одного результата "Разрешить", иначе результат политики - "Разрешить"
Разрешить, если не запрещено Результатом политики будет "Разрешить" только тогда, когда при вычислении всех правил не будет получено ни одного результата "Запретить", иначе результат политики - "Запретить"
Запретить, если один запретил Результатом политики будет "Запретить" только тогда, когда при вычислении всех правил будет получен хотя бы один результат "Запретить", иначе результат политики:
  • "Неприменимо" - если результаты всех правил "Неприменимо"
  • "Неопределено" - если результат хотя бы одной политики "Неопределено"
  • "Разрешить" - в остальных случаях
Разрешить, если один разрешил Результатом политики будет "Разрешить" только тогда, когда при вычислении всех правил будет получен хотя бы один результат "Разрешить", иначе результат политики:
  • "Неприменимо" - если результаты всех правил "Неприменимо"
  • "Неопределено" - если результат хотя бы одной политики "Неопределено"
  • "Разрешить" - в остальных случаях
Первое применимое Результатом политики будет результат первого правила, который не равен "Неприменимо", если вычисления всех правил дали результат "Неприменимо", то и результат политики будет "Неприменимо"

Если у политики только одно правило, то результатом политики будет результат вычисления этого правила независимо от алгоритма комбинации.

Вычисление правила происходит в два этапа:

  • Вычисление области применения. Если область применения не задана или результатом ее вычисления является ИСТИНА, то переходим к этапу 2. Иначе если результат вычисления ЛОЖЬ, то результат всего правила будет "Неприменимо". Если результат вычисления "Неопределено", то результат всего правила будет "Неопределено"
  • Вычисление условия. Если условие не задано или результатом его вычисления является ИСТИНА, то результат всего правила будет заданный эффект "Разрешить" или "Запретить". Иначе, если результат вычисления ЛОЖЬ, то результат всего правила будет "Неприменимо". Если результат вычисления "Неопределено", то результат всего правила будет "Неопределено"

Областью применения политики и (или) правила является логическое выражение, с помощью которого сравниваются некоторые параметры контекста выполнения. Такими параметрами являются "Действие", "Объект" и "Пользователь" (имеющий дополнительные свойства "Должность", "Имя", "Подразделение", "Роль"). Смыслом выражения является описание действия, которое хочет произвести пользователь над объектом.

В качестве действия и объекта выбирается одно из предопределенных значений. Не каждое действие может быть выполнено над объектом, так же как не каждый объект допускает выполнение какого-либо действия над собой. Например, нельзя сохранить задачу, т.о. выражение "Действие" = "Сохранить" И "Объект" = "Задача" всегда будет вычисляться с результатом "Неприменимо".

В качестве пользователя выбирается либо конкретный пользователь созданный в программе, либо его свойства сравниваются с некоторыми значениями. Например, "Пользователь" = "Иванова А.Н., Секретарь" ИЛИ "Пользователь.Должность" = "Менеджер".

Условием правила также является логическое выражение, с помощью которого описывают ситуацию, при наступлении которой применяется эффект правила "Разрешить" или "Запретить". При составлении условия могут использоваться параметры контекста выполнения и (или) любые другие объекты и (или) свойства объектов имеющие смысл в описываемой ситуации.

При составлении логических выражений области применения и (или) условия следует учитывать следующее:

  • В каждый момент времени выполняется только одно действие над одним объектом и только одним пользователем. Например,
    - нельзя одновременно изменить и удалить файл:
    "Действие" = "Открыть" И "Действие" = "Удалить" И "Объект" = "Файл" - всегда будет вычисляться с результатом "Неприменимо", так как файл невозможно удалить открытием и открыть удалением
    - нельзя выполнить одно действие одновременно над двумя объектами:
    "Действие" = "Открыть" И "Объект" = "Задача" И "Объект" = "Файл" - всегда будет вычисляться с результатом "Неприменимо", так как объект не может быть и задачей и файлом одновременно
    - нельзя выполнять действие одновременно разными пользователями:
    "Действие" = "Открыть" И "Пользователь.Должность" = "Менеджер" И "Пользователь.Должность" = "Директор" - всегда будет вычисляться с результатом "Неприменимо" так как у текущего пользователя может быть только одна должность
    Это относится к всем объектам и свойствам объектов за некоторыми исключениями, например "Пользователь.Роль". Так как пользователь может иметь несколько ролей, то выражение "Пользователь.Роль" = "Администратор" И "Пользователь.Роль" = "Руководитель" будет истинным тогда, когда пользователю назначат обе этих роли.
  • В большинстве случаев изменение объекта имеет смысл только тогда, когда он может быть открыт, исключение - файл, так как его открытие подразумевает только просмотр, а изменение подразумевает отрытие-просмотр-изменение-сохранение
  • Не все объекты поддерживают изменение в целом, а только изменение некоторых данных объекта.
    Например, нельзя в целом изменить задачу, можно только изменить ее данные, такие как "КрайнийСрок", "Напоминание" и другие. В таких случаях в области применения указывается "Действие" = "Изменить", а в условии "Задача.Данные" = "Напоминание", в области применения можно добавить И "Объект" = "Задача", если в условии используются только объекты "Задача.Данные", иначе придется перечислять все объекты, данные которых подлежат изменению.
  • В условиях можно описывать ситуации применимые к нескольким связанным объектам.
    Область применения "Действие" = "Удалить" И "Объект" = "Файл"
    Условие "Задача.Состояние" = "Черновик"
    Эффект "разрешить"
    В указанном примере действие совершается над файлом, но в условии проверяется состояние другого связанного объекта - задачи.

Пример настройки правил и политик прав доступа по задачам

Проверка политики доступа

  • В панели инструментов нажмите на кнопку Еще и выберите пункт Проверка. Откроется форма Проверка прав доступа.
    Проверка прав доступа
    Проверка прав доступа
    ×
  • В панели инструметов нажмите на кнопку Анализ. В области Результат будет показаны результаты проверки прав доступа.

Администрирование правил

Отфильтровать правила по эффекту можно с помощь контекстного меню, вызываемого правым кликом по заголовку таблицы на вкладке Правила.

При создании правила обязательными являются поле "Наименование" правила и переключатель эффекта, по умолчанию установленный в положение "запретить".

Администрирование политик

Отфильтровать политики по условному эффекту можно с помощь контекстного меню, вызываемого правым кликом по заголовку таблицы на вкладке Политики.

Эффект является условным, поскольку у политик нет явно заданного эффекта и результат зависит от правил, входящих в политику.

Если в результате удаления правил политика остается без правил, то ее условным эффектом становится "Неопределенная" и в списке она помечается пиктограмой и выделяется оранжевым цветом, такая политика не подлежит вычислению.

При создании политики обязательными являются поле "Наименование" политики, раздел "Область применения", раздел "Правила" и поле "Алгоритм комбинации".

См. также

Объекты для управления политиками доступа

Настройка принципа разграничения прав доступа