Настройка доступа по операциям
Использование доступа по операциям позволяет разграничить права на выполнение операций чтения, создания, редактирования и удаления всех данных объекта. В этой статье рассмотрим, как предоставить или ограничить права отдельных пользователей и целых групп на выполнение операций с данными, содержащихся в двух разных объектах системы — в разделе и на детали.
На заметку
Доступ к операциям в объекте не следует путать с доступом к системным операциям, который предоставляется в разделе [Доступ к операциям]. Настройки прав доступа к администрируемым операциям системы (например, регистрации пользователей, настройке рабочих мест, изменению содержимого справочников, конфигурированию системы и т.д) выполняются в разделе [Доступ к операциям] дизайнера системы. Если у пользователя (как правило, у системного администратора) есть право на выполнение системных операций “Просмотр любых данных”, “Добавление любых данных”, “Изменение любых данных” и “Удаление любых данных”, то такой пользователь сможет просматривать, добавлять, изменять и удалять данные в любых объектах, независимо от ограничений доступа по операциям, записям или колонкам объектов. Подробнее о системных операциях и их использовании читайте в статье “Раздел [Доступ к операциям]”.
•Как настроить доступ к операциям в объекте раздела
•Как настроить доступ к операциям в объекте детали
Как настроить доступ к операциям в объекте раздела
Пример
Выполним настройку прав доступа к разделу [Продажи].
Менеджеры по продажам должны иметь возможность просматривать, добавлять, редактировать записи раздела [Продажи], но не должны иметь возможности их удалять.
У руководителей менеджеров по продажам должен быть полный доступ к данным раздела, включая удаление записей.
Для секретарей раздел [Продажи] должен быть скрыт.
Один из сотрудников, входящих в роль “Секретари”, а также остальные сотрудники компании должны иметь возможность просматривать записи раздела.
1.Перейдите в дизайнер системы, например, по кнопке 
, и откройте раздел настройки доступа к объектам по ссылке [Права доступа на объекты].
2.Выберите необходимый объект из списка или с помощью строки поиска. Например, чтобы настроить права доступа к разделу [Продажи], установите фильтр “Разделы” и выберите объект “Продажа”. Кликните по его заголовку или названию — откроется страница настройки прав доступа к объекту раздела [Продажи] (Рис. 1).
Рис. 1 — Выбор объекта раздела и переход на страницу настройки прав доступа
На заметку
Подробно о том, как найти объект в реестре и выбрать его для настройки прав доступа, описано в блоке “Выбор объекта для настройки прав доступа” статьи “Права доступа на объекты”.
3.Включите ограничение доступа по операциям с помощью переключателя “Использовать доступ по операциям” (Рис. 2).
Рис. 2 — Включение администрирования по операциям
На заметку
По умолчанию для организационной роли “All employees” (“Все сотрудники”) предоставляется доступ на операции чтения, создания, редактирования и удаления записей всех объектов. Пользователи, входящие в роль “All employees”, будут иметь права на указанные операции, даже если доступ по операциям не используется и переключатель выключен.
Важно
Если удалить роль “All employees” из области настройки доступа по операциям, а затем выключить переключатель “Использовать доступ по операциям” и применить изменения, то пользователи не смогут видеть записи объекта.
4.По кнопке [Добавить] добавьте роли и пользователей, для которых необходимо настроить права доступа. Используйте строку поиска, а также вкладки [Организационные роли], [Функциональные роли] и [Пользователи], чтобы быстро найти нужную роль или пользователя в списке окна выбора. В нашем примере это:
•роль “All employees” (Все сотрудники) — добавляется автоматически;
•организационная роль “Менеджеры по продажам”;
•организационная роль “Менеджеры по продажам”; Группа руководителей”;
•организационная роль “Секретари”;
•определенный пользователь с ролью “Секретари” (Рис. 3), например, Ульяненко Александра.
Рис. 3 — Добавление ролей и пользователей для предоставления им доступа к разделу
5.По умолчанию для каждой добавленной роли или пользователя устанавливается доступ на просмотр, создание, редактирование и удаление данных объекта. Откорректируйте уровень доступа в соответствии с необходимостью:
•Для роли “Все сотрудники” оставьте признак только в колонке [Чтение], а признаки в колонках [Создание], [Редактирование] и [Удаление] снимите. В итоге все сотрудники компании смогут просматривать записи раздела [Продажи], но не смогут их добавлять, вносить изменения и удалять.
•Для роли “Менеджеры по продажам” оставьте признаки в колонках [Создание], [Чтение] и [Редактирование], а признак в колонке [Удаление] снимите. В итоге сотрудники отдела продаж смогут просматривать, добавлять и редактировать записи раздела, но не будут иметь возможности их удалять.
•Для роли “Менеджеры по продажам. Группа руководителей” оставьте признаки в колонках [Создание], [Чтение], [Редактирование] и [Удаление]. Так руководитель менеджеров по продажам получит право на просмотр, добавление, изменение и удаление записей раздела [Продажи].
•Для роли “Секретари” снимите признаки в колонках [Создание], [Чтение], [Редактирование] и [Удаление]. В итоге для секретарей компании раздел [Продажи] будет скрыт.
•Для определенного пользователя, который входит в роль “Секретари” (в нашем примере это Ульяненко Александра) оставьте признак в колонке [Чтение]. Так пользователь Ульяненко Александра получит право на просмотр записей раздела [Продажи].
После выполнения настроек рядом с некоторыми правами доступа могут отображаться значки 
. Это означает, что некоторые настройки противоречат друг другу и для корректной работы прав доступа необходимо настроить их приоритет.
Настройка приоритета прав доступа на операции объекта
Возможны случаи, когда настроенные для некоторых ролей уровни доступа противоречат друг другу, т. к. роли пересекаются. Например, роли “Менеджеры по продажам”, “Менеджеры по продажам. Группа руководителей” и “Секретари” входят в роль “Все сотрудники”. А для одного из секретарей настроены права доступа, которые отличаются от прав, настроенных для всех секретарей. О необходимости настроить приоритеты свидетельствует значок 
рядом с противоречащим правом доступа.
Чем выше в списке правило, тем выше его приоритет. Наиболее приоритетному правилу соответствует значение “0” в колонке [Приоритет]. Чем ниже в списке расположено правило и чем больше число в колонке [Приоритет], тем ниже приоритет этого правила. Значок 
, который может отображаться рядом с некоторыми из правил, обозначает, что некоторые из настроенных правил пересекаются. Необходимо понизить или повысить приоритет одного правила, чтобы корректно работало другое (Рис. 4).
Рис. 4 — Предупреждение о необходимости откорректировать приоритет прав доступа
При настройке приоритетов прав доступа руководствуйтесь следующими правилами:
•Если пользователь входит в несколько ролей, для которых настраиваются права доступа, то для него будет применен уровень доступа той роли, которая расположена выше в списке.
Например, мы хотим запретить всем пользователям доступ к записям раздела [Продажи], но менеджерам по продажам (они также входят в роль “Все пользователи”) необходимо дать все права, кроме удаления записей. Для этого расположим роль “Менеджеры по продажам” выше, а роль “Все пользователи” — ниже.
•Если определенной роли, за исключением одного или нескольких пользователей, необходимо запретить доступ к какой-либо операции, то расположите такую роль ниже, а пользователей, которым надо предоставить доступ — выше.
Так, если мы запрещаем доступ к разделу [Продажи] для всех секретарей, но предоставляем право просмотра данных одному из них, то роль “Секретари” должна быть расположена ниже того сотрудника, который должен иметь доступ к разделу.
•Пользователи или роли, которые не добавлены в область настройки доступа по операциям, не получают доступа к операциям и не участвуют при определении приоритетов прав.
Настроим приоритет прав доступа для приведенного выше примера. Для изменения порядка отображения правил захватите правило курсором мыши и перетащите на нужное место (Рис. 5):
1.Организационную роль с максимальным уровнем доступа (в нашем примере это “Менеджеры по продажам. Группа руководителей”) расположите вверху списка.
2.Далее расположите роль “Менеджеры по продажам”.
3.Роль “All employees” и пользователь Ульяненко Александра, который входит в роль “Секретари”, имеют одинаковый уровень доступа. Поэтому расположите их под ролью “Менеджеры по продажам” в любом порядке.
4.У роли “Секретари” не должно быть доступа к разделу [Продажи], поэтому расположите ее внизу списка.
5.Сохраните настройки по кнопке [Применить] в верхнем левом углу страницы.
Рис. 5 — Настройка приоритета прав доступа
В результате выполненных настроек:
•У пользователей с ролью “Менеджеры по продажам” будет доступ к разделу [Продажи] с возможностью создавать и редактировать записи раздела. Удалять записи менеджеры по продажам не смогут.
•У руководителей менеджеров по продажам будет полный доступ к разделу с возможностью удаления записей.
•Все сотрудники компании смогут просматривать записи раздела, но не смогут их создавать, редактировать и удалять.
•Для всех секретарей компании, кроме Ульяненко Александры, раздел [Продажи] будет скрыт.
•Секретарь Ульяненко Александра сможет перейти в раздел и просмотреть записи.
Смотрите далее
•Как настроить доступ к операциям в объекте детали
Как настроить доступ к операциям в объекте детали
Пример
Выполним настройку доступа к детали [Файлы и ссылки] раздела [Договоры]. Пользователи с ролью “Менеджеры по продажам” должны иметь полный доступ к записям на детали.
Остальным пользователям необходимо разрешить только просмотр содержащихся на детали файлов и ссылок и запретить их редактирование и удаление.
1.Перейдите в дизайнер системы, например, по кнопке 
, и откройте раздел настройки доступа к объектам по ссылке [Права доступа на объекты].
2.Установите фильтр “Все объекты”.
3.Найдите объект “Файл и ссылка договора” с помощью строки поиска.
На заметку
Подробно о том, как определить нужный объект и выбрать его для настройки прав доступа, описано в блоке “Выбор объекта для настройки прав доступа” статьи “Права доступа на объекты”.
4.Кликните по заголовку или названию найденного объекта.
5.Включите ограничение доступа по операциям с помощью переключателя “Использовать доступ по операциям” (Рис. 6).
Рис. 6 — Включение администрирования по операциям
6.По кнопке [Добавить] добавьте роли и пользователей, для которых необходимо настроить права доступа. Используйте строку поиска, чтобы быстро найти нужную роль или пользователя в списке. В нашем примере это:
•роль “All employees” (Все сотрудники) — добавляется автоматически;
•роль “Менеджеры по продажам”.
7.По умолчанию для каждой добавленной роли или пользователя устанавливаются права на просмотр, создание, редактирование и удаление данных объекта. Откорректируйте уровень прав доступа в соответствии с необходимостью.
•Для роли “Менеджеры по продажам” оставьте признаки в колонках [Создание], [Чтение], [Редактирование] и [Удаление]. Так сотрудники отдела продаж смогут просматривать, добавлять, изменять и удалять данные на детали [Файлы и ссылки].
•Для роли “Все сотрудники” оставьте признак только в колонке [Чтение], а признаки в колонках [Создание], [Редактирование] и [Удаление] снимите. Так все сотрудники смогут только просматривать содержимое детали [Файлы и ссылки] договора, но не смогут его добавлять, редактировать и удалять.
8.При необходимости настройте приоритеты прав доступа для указанных ролей. Настройка может потребоваться, если уровни доступа противоречат друг другу, т. к. роли пересекаются. Например, роль “Менеджеры по продажам” входит в роль “Все сотрудники”. О необходимости настроить приоритеты свидетельствует значок 
рядом с противоречащим правом доступа. Подробнее о настройке приоритетов читайте в блоке “Настройка приоритета прав доступа на операции объекта”.
В результате выполненных настроек:
•У пользователей с ролью “Менеджеры по продажам” будет полный доступ к детали [Файлы и ссылки] договора с возможностью просматривать, создавать, редактировать и удалять содержимое детали.
•Все сотрудники компании смогут просматривать содержимое детали [Файлы и ссылки] договора, но не смогут их создавать, редактировать и удалять.
Смотрите также
