Бизнес-данные в bpm'online хранятся в виде записей различных объектов. Каждому разделу, детали, справочнику и другим бизнес-объектам системы соответствует определенный объект. Объекты, в свою очередь, в большинстве случаев соответствуют таблицам в базе данных.
На заметку
Больше информации об объекте, как бизнес-сущности, доступно в статье “Создание схемы объекта” документации по разработке.
Управление доступом к данным подразумевает управление правами доступа к этим объектам. Интерфейс управления правами доступа к объектам доступен в дизайнере системы, по ссылке “Права доступа на объекты”.
Права доступа на объекты можно ограничить на трех уровнях: по операциям, по записям и по колонкам. В реестре интерфейса управления правами доступа (Рис. 1) вы можете определить, какие права доступа работают для выбранного раздела, детали или справочника.
По операциям
Этот вариант администрирования доступа позволяет предоставить или ограничить права на чтение, создание, редактирование и удаление данных объекта (CRUD-операции) для отдельных пользователей или ролей.
На заметку
Доступ к операциям в объекте не следует путать с доступом к системным операциям, который предоставляется в разделе [Доступ к операциям]. Подробнее о системных операциях читайте в статье “Описание системных операций”.
•Если признак [Доступ по операциям ограничен] не установлен, то все пользователи имеют возможность просматривать, создавать, редактировать и удалять все записи в объекте.
•Если признак [Доступ по операциям ограничен] установлен, это значит, что возможность выполнения CRUD-операций в объекте будет только у тех пользователей и ролей, которым такое право было специально предоставлено. Остальные пользователи и роли (за исключением администраторов) не будут иметь доступ к объекту. Например, только отдельные пользователи могут добавлять новые записи. Пользователи и роли, для которых не настроен доступ по операциям к такому объекту, не смогут видеть, добавлять, изменять или удалять его данные.
О том, как настроить доступ по операциям в объекте, читайте в статье “Настройка доступа по операциям”.
По записям
Этот вариант администрирования доступа позволяет управлять правами на чтение, редактирование и удаление отдельных записей выбранного объекта, а также на делегирование этих прав. По умолчанию доступ к новой записи есть только у ее автора и у системного администратора. Автор записи самостоятельно настраивает права доступа к ней для других пользователей (подробнее о настройке доступа на свои записи читайте в статье “Права доступа”). А системный администратор может настроить правила, согласно которым доступ на новую запись будет автоматически предоставляться определенным пользователям или ролям в зависимости от того, какой пользователь является автором записи и в какую роль он входит.
•Если признак [Доступ по записям ограничен] не установлен, то все пользователи имеют возможность просматривать, создавать, редактировать и удалять все записи в объекте (при условии, что для них не ограничен доступ по операциям).
•Если признак [Доступ по записям ограничен] установлен, то это значит, что отдельные пользователи или группы могут выполнять отдельные CRUD-операции с отдельными записями объекта (при условии, что для них не ограничен доступ по операциям). Например, только некоторые пользователи или роли могут редактировать отдельные записи объекта.
О том, как настроить доступ по записям в объекте, читайте в статье “Настройка доступа по записям”.
По колонкам
Этот вариант администрирования позволяет настроить права доступа к отдельным полям в разделах, справочниках и на деталях. Поле представляет собой отдельную колонку базы данных.
•Если признак [Доступ по колонкам ограничен] не установлен, то все пользователи имеют возможность просматривать и изменять либо только просматривать значения в редактируемых полях записей объекта (при условии, что для этих пользователей не ограничен доступ по операциям в данном объекте).
•Если признак [Доступ по колонкам ограничен] установлен, то это значит, что отдельные пользователи или группы могут просматривать и редактировать либо только просматривать значения в отдельных полях записей объекта (при условии, что для этих пользователей не ограничен доступ по операциям в данном объекте). Например, только отдельные пользователи могут редактировать значения определенных полей записи.
О том, как настроить доступ по колонкам в объекте, читайте в статье “Настройка доступа по колонкам”.
Признаки в колонках [Доступ по операциям ограничен], [Доступ по записям ограничен] и [Доступ к колонкам ограничен] в реестре объектов не редактируются. Они устанавливаются автоматически в зависимости от того, какой тип администрирования доступа (по операциям, по записям, по колонкам) используется для каждого объекта. Если ни один из типов доступа к объекту не ограничен (не установлен ни один из признаков), то все пользователи имеют полный доступ к объекту и имеют право на создание, чтение, редактирование и удаление данных объекта. Подробнее варианты администрирования прав доступа описаны в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Выбор объекта для настройки прав доступа
Данные в bpm'online представляют собой записи объектов — разделов, справочников, деталей и т. д. Настройка доступа к данным выполняется путем настройки доступа к объекту, в котором они содержатся. Например, если нужно ограничить доступ к данным на определенной детали, то права доступа настраиваются для объекта такой детали. Выбор объекта осуществляется в реестре объектов, доступном по ссылке “Права доступа на объекты” дизайнера системы.
Сначала необходимо определить, в каком объекте системы содержатся данные, доступ к которым нужно настроить. Когда объект определен, надо найти его в реестре, указав заголовок объекта в строке поиска.
Для удобства поиска список объектов в реестре можно отфильтровать по типам: “Разделы”, “Справочники”, “Все объекты”. По умолчанию установлен фильтр по разделам, т. е. отображаются только объекты разделов, включая пользовательские разделы. Если установить фильтр “Справочники”, то в списке объектов отобразятся только объекты зарегистрированных справочников.
На заметку
При использовании строки поиска поиск выполняется только по отфильтрованным объектам. Например, если в реестре объектов установлен фильтр “Разделы”, а выполняется поиск справочника, то объект справочника найден не будет.
Приступая к поиску нужного объекта, сначала установите фильтр (“Разделы”, “Справочники”, “Все объекты”) в реестре объектов, а затем введите ключевые слова в строку поиска.
Если необходимо настроить права доступа к разделу, установите фильтр “Разделы” и введите название объекта в строку поиска. Как правило, название объекта соответствует названию раздела в единственном числе. Например, объект раздела [Контакты] называется “Контакт”, объект раздела [Документы] — “Документ” и т. д.
Ниже приведены некоторые примеры разделов и соответствующих им объектов.
Название раздела | Заголовок объекта | Название объекта в БД |
---|---|---|
[Контакты] | Contact | Contact |
[Контрагенты] | Account | Account |
[Активности] | Activity | Activity |
[Продажи] | Opportunity | Opportunity |
[Лендинги и web-формы] | Лендинг (web-форма) | GeneratedWebForm |
Чтобы перейти к настройке прав на операции, записи и колонки детали, выберите объект необходимой детали. Обратите внимание, что кликабельны только названия или заголовки объектов. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Настройка доступа к справочнику
Если необходимо настроить доступ к справочнику, установите фильтр “Справочники” и введите название объекта в строку поиска. В большинстве случаев название объекта совпадает с названием справочника или соответствует ему в единственном числе. Например, объект справочника [Единицы измерения] называется “Единицы измерения”, а объект справочника [Валюты] — “Валюта”.
Ниже приведены некоторые примеры справочников и соответствующих им объектов.
Название справочника | Заголовок объекта | Название объекта в БД |
---|---|---|
[Области/штаты] | Области/штаты | Region |
[Список объектов, доступных пользователям портала] | Список объектов, доступных пользователям портала (представление) | VwSysSSPEntitySchemaAccessList |
[Шаблоны email сообщений] | Шаблон email сообщения | EmailTemplate |
[Типы знаменательных событий] | Тип знаменательного события | AnniversaryType |
[Категории продажи] | Категория продажи | OpportunityCategory |
Чтобы перейти к настройке прав на операции, записи и колонки детали, выберите необходимый объект. Обратите внимание, что в списке кликабельны только названия или заголовки объектов. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Настройка доступа к детали
Деталь — это элемент на странице записи, который отображает данные, связанные с текущей записью. Большинство деталей отображают записи разделов, например, деталь [Контакты] на странице контрагента. Некоторые детали, например, [Адреса] и [Знаменательные события], используют в качестве источников данных свои собственные объекты. При настройке доступа к детали нужно учитывать, данные какого объекта на ней отображены. Так, если деталь отображает данные какого-либо раздела (например, деталь [Контакты контрагента] на странице контрагента отображает данные, содержащиеся в разделе [Контакты]), то для настройки прав доступа нужно выбирать объект этого раздела. Если деталь отображает данные справочника, то доступ настраивается к объекту такого справочника. Если деталь использует свой собственный объект, то доступ настраивается к объекту этой детали.
На заметку
Название объекта детали можно узнать в мастере раздела, где эта деталь используется. Для этого необходимо перейти в режим редактирования детали и посмотреть значение в строке [Деталь].
Установите фильтр “Все объекты” и введите название детали в строку поиска. Если на детали представлены записи определенного раздела, то название нужного объекта совпадает с названием раздела, данные которого отображены. Например, объект детали [Контакты контрагента] называется “Контакт”.
Если на детали отображаются данные справочника, то в большинстве случаев, название нужного объекта совпадает с названием справочника, данные которого отображаются, в единственном числе.
Если данные указаны непосредственно на детали, то ей соответствует отдельный объект, название которого, как правило, состоит из названий детали и раздела, в котором такая деталь находится, в единственном числе. Например, объект детали [Файлы и ссылки] раздела [Контакты] называется “Файл и ссылка контакта”.
Ниже приведены некоторые примеры деталей и соответствующих им объектов.
Название раздела | Название детали | Заголовок объекта | Название объекта в БД |
---|---|---|---|
[Контакты] | Средства связи | Средство связи контакта | ContactCommunication |
[Контрагенты] | [Средства связи] | Средство связи контрагента | AccountCommunication |
[Контакты] | [Адреса] | Адрес контакта | ContactAddress |
[Контрагенты] | [Адреса] | Адрес контрагента | AccountAddress |
[Контакты] | [Карьера] | Карьера контакта | ContactCareer |
[Контрагенты] | [Платежные реквизиты] | Платежный реквизит контрагента | AccountBillingInfo |
[Контакты] | [Файлы и ссылки] | Файл и ссылка контакта | ContactFile |
Любой | [Активности] | Activity | Activity |
Чтобы перейти к настройке прав на операции, записи и колонки детали, выберите объект необходимой детали и кликните по ее названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Настройка доступа к ленте
Доступ пользователей к сообщениям в ленте наследуется от прав доступа на объект, к которому относятся эти сообщения. Например, если у пользователя есть право на чтение и создание записей раздела [Контрагенты], то он сможет просматривать и добавлять сообщения в ленту контрагента. При этом изменять и удалять он сможет только свои сообщения. Таким образом, чтобы обеспечить доступ пользователя к сообщениям ленты в определенном разделе, необходимо предоставить ему доступ на объект такого раздела. Как выбрать объект раздела читайте в блоке “Настройка доступа к разделу“.
Чтобы перейти к настройке прав доступа, выберите объект необходимого раздела и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Настройка доступа на теги
При настройке доступа на теги и выборе объекта тега нужно учитывать, записи какого раздела присвоен тег. Поскольку в bpm’online можно тегировать запись любого раздела, то чаще всего название объекта имеет такой вид: “Тег в записи раздела <название раздела>”. Например, “Тег в записи раздела контакты”, “Тег в записи раздела активности” и т. д.
На заметку
Перед поиском объекта тега в реестре отобразите все объекты системы, установив фильтр “Все объекты”, т. к. поиск выполняется только по отфильтрованным объектам. Например, если в реестре объектов установлен фильтр “Разделы”, а выполняется поиск объекта тега, то объект тега найден не будет.
Чтобы перейти к настройке прав доступа кликните по названию нужного объекта. Обратите внимание, что в списке кликабельны только названия или заголовки объектов. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.
Настройка доступа к группам раздела
Если необходимо настроить права доступа ко всем группам раздела, установите фильтр “Все объекты” и введите название объекта групп в строку поиска. Как правило, заголовок объекта имеет такой вид: “Группа раздела <Название раздела>”. Например, заголовок объекта групп раздела [Договоры] — “Группа раздела “Договоры””. Также заголовок объекта может состоять из слова “группа” и названия раздела в единственном числе. Например, заголовок объекта групп раздела [Контакты] — “Группа контакта”.
Ограничения доступа к группам раздела применяются ко всем группам, настроенным в разделе. Т. е. ограничить доступ к определенной группе раздела может администратор системы или пользователь, который ее создал, по действию [Настройка прав] (Рис. 2).
Настройка доступа к итогам
Аналитические данные по разделам bpm'online, как и данные раздела [Итоги] содержатся в отдельном объекте “Итог”. Название этого объекта в базе данных — “SysDashboard”.
Если для данного объекта не используется ограничение доступа по записям, то все пользователи имеют полный доступ ко всем итогам в системе. Если ограничение по записям используется, то права доступа на отдельные панели итогов настраиваются по действию [Настроить права доступа] меню действий (Рис. 3).
В системе реализовано наследование прав доступа от родительского объекта. Например, средства связи могут наследовать права доступа родительского контрагента. В таком случае пользователи, у которых нет прав на изменение основной записи контрагента, не смогут изменить и средства связи.
Для новых разделов эта функциональность по умолчанию выключена. Ее можно настроить отдельно в разделе [Конфигурация] в дизайнере объектов.
НА ЗАМЕТКУ
Как начать работу с разделом [Конфигурация] и как перейти в дизайнер объектов, читайте в статье “Раздел [Конфигурация]”. Описание дизайнера вы найдете в статье “Дизайнер объектов”.
Для настройки откройте дизайнер объекта, отобразите все свойства объекта (Рис. 4) и в поле [Наследовать права доступа от объекта] выберите из выпадающего списка родительский объект, права доступа которого будут наследоваться настраиваемым объектом (Рис. 5).
Смотрите далее