Настройка и администрирование

Права доступа на объекты

Бизнес-данные в bpm'online хранятся в виде записей различных объектов — каждому разделу, детали, справочнику и другим бизнес-объектам системы соответствует определенный объект. Объекты, в свою очередь, в большинстве случаев соответствуют таблицам в базе данных.

На заметку

Больше информации об объекте как бизнес-сущности доступно в статье “Создание схемы объекта” документации по разработке.

Управление доступом к данным подразумевает управление правами доступа к этим объектам. Интерфейс управления правами доступа к объектам доступен в дизайнере системы, по ссылке “Права доступа на объекты”.

Права доступа на объекты можно ограничить на трех уровнях: по операциям, по записям и по колонкам. В реестре интерфейса управления правами доступа (Рис. 1) вы можете определить, какие права доступа работают для выбранного раздела, детали или справочника.

Рис. 1 — Объекты разделов и примеры ограничений доступа к ним

chapter_objects_permissions_object_permissions_interface.png 

По операциям

Этот вариант администрирования доступа позволяет предоставить или ограничить права на чтение, создание, редактирование и удаление данных объекта (CRUD-операции) для отдельных пользователей или ролей.

На заметку

Доступ к операциям в объекте не следует путать с доступом к системным операциям, который предоставляется в разделе [Доступ к операциям]. Если у пользователя (как правило, у системного администратора) есть право на выполнение системных операций “Просмотр любых данных”, “Добавление любых данных”, “Изменение любых данных” и “Удаление любых данных”, то такой пользователь сможет просматривать, добавлять, изменять и удалять данные в любых объектах, независимо от ограничений доступа по операциям, записям или колонкам объектов. Подробнее о системных операциях читайте в статье “Описание системных операций”.

Если признак [Доступ по операциям ограничен] не установлен, то все пользователи имеют возможность просматривать, создавать, редактировать и удалять все записи в объекте.

Если признак [Доступ по операциям ограничен] установлен, это значит, что возможность выполнения CRUD-операций в объекте будет только у тех пользователей и ролей, которым такое право было специально предоставлено. Остальные пользователи и роли (за исключением администраторов) не будут иметь доступ к объекту. Например, только отдельные пользователи могут добавлять новые записи. Пользователи и роли, для которых не настроен доступ по операциям к такому объекту, не смогут видеть, добавлять, изменять или удалять его данные.

О том, как настроить доступ по операциям в объекте, читайте в статье “Настройка доступа по операциям”.

По записям

Этот вариант администрирования доступа позволяет управлять правами на чтение, редактирование и удаление отдельных записей выбранного объекта, а также на делегирование этих прав. По умолчанию доступ к новой записи есть только у ее автора и у системного администратора. Автор записи самостоятельно настраивает права доступа к ней для других пользователей (подробнее о настройке доступа на свои записи читайте в статье “Права доступа”). А системный администратор может настроить правила, согласно которым доступ на новую запись будет автоматически предоставляться определенным пользователям или ролям в зависимости от того, какой пользователь является автором записи и в какую роль он входит.

Если признак [Доступ по записям ограничен] не установлен, то все пользователи имеют возможность просматривать, создавать, редактировать и удалять все записи в объекте (при условии, что для них не ограничен доступ по операциям).

Если признак [Доступ по записям ограничен] установлен, то это значит, что отдельные пользователи или группы могут выполнять отдельные CRUD-операции с отдельными записями объекта (при условии, что для них не ограничен доступ по операциям). Например, только некоторые пользователи или роли могут редактировать отдельные записи объекта.

О том, как настроить доступ по записям в объекте, читайте в статье “Настройка доступа по записям”.

По колонкам

Этот вариант администрирования позволяет настроить права доступа к отдельным колонкам (полям) объекта.

Если признак [Доступ по колонкам ограничен] не установлен, то все пользователи имеют возможность просматривать и изменять либо только просматривать значения в редактируемых полях записей объекта (при условии, что для этих пользователей не ограничен доступ по операциям в данном объекте).

Если признак [Доступ по колонкам ограничен] установлен, то это значит, что отдельные пользователи или группы могут просматривать и редактировать либо только просматривать значения в отдельных полях записей объекта (при условии, что для этих пользователей не ограничен доступ по операциям в данном объекте). Например, только отдельные пользователи могут редактировать значения определенных полей записи.

О том, как настроить доступ по колонкам в объекте, читайте в статье “Настройка доступа по колонкам”.

Признаки в колонках [Доступ по операциям ограничен], [Доступ по записям ограничен] и [Доступ к колонкам ограничен] в реестре объектов не редактируются и устанавливаются автоматически в зависимости от того, какой тип администрирования доступа (по операциям, по записям, по колонкам) используется для каждого объекта. Если ни один из типов доступа к объекту не ограничен (не установлен ни один из признаков), то все пользователи имеют полный доступ к объекту и имеют право на создание, чтение, редактирование и удаление данных объекта. Подробнее варианты администрирования прав доступа описаны в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Выбор объекта для настройки прав доступа

Данные в bpm'online представляют собой записи объектов — разделов, справочников, деталей и т. д. Настройка доступа к данным выполняется путем настройки доступа к объекту, в котором они содержатся. Например, если нужно ограничить доступ к данным на определенной детали, то права доступа настраиваются для объекта такой детали. Выбор объекта осуществляется в реестре объектов, доступном по ссылке “Права доступа на объекты” дизайнера системы.

Сначала необходимо определить, в каком объекте системы содержатся данные, доступ к которым нужно настроить. Когда объект определен, надо найти его в реестре, указав заголовок объекта в строке поиска.

Для удобства поиска список объектов в реестре можно отфильтровать по типам: “Разделы”, “Справочники”, “Все объекты”. По умолчанию установлен фильтр по разделам, т. е. отображаются только объекты разделов, включая пользовательские разделы. Если установить фильтр “Справочники”, то в списке объектов отобразятся только объекты зарегистрированных справочников. При выборе фильтра “Все объекты” в реестре отобразятся все объекты системы.

На заметку

При использовании строки поиска поиск выполняется только по отфильтрованным объектам. Например, если в реестре объектов установлен фильтр “Разделы”, а выполняется поиск справочника, то объект справочника найден не будет.

Приступая к поиску нужного объекта, сначала установите фильтр (“Разделы”, “Справочники”, “Все объекты”) в реестре объектов, а затем введите ключевые слова в строку поиска.

Настройка доступа к разделу

Если необходимо настроить права доступа к разделу, установите фильтр “Разделы” и введите название объекта в строку поиска. Как правило, название объекта соответствует названию раздела в единственном числе. Например, объект раздела [Контакты] называется “Контакт”, объект раздела [Документы] — “Документ” и т. д.

Ниже приведены некоторые примеры разделов и соответствующих им объектов.

Название

раздела

Заголовок объекта

Название

объекта в БД

[Контакты]

Контакт

Contact

[Контрагенты]

Контрагент

Account

[Активности]

Активность

Activity

[Продажи]

Продажа

Opportunity

[Лендинги и web-формы]

Лендинг (web-форма)

GeneratedWebForm

Чтобы перейти к настройке прав на операции, записи и колонки раздела, выберите объект необходимого раздела и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Настройка доступа к справочнику

Если необходимо настроить доступ к справочнику, установите фильтр “Справочники” и введите название объекта в строку поиска. В большинстве случаев название объекта совпадает с названием справочника или соответствует ему в единственном числе. Например, объект справочника [Единицы измерения] называется “Единицы измерения”, а объект справочника [Валюты] — “Валюта”.

Ниже приведены некоторые примеры справочников и соответствующих им объектов.

Название

справочника

Заголовок объекта

Название

объекта в БД

[Области/штаты]

Области/штаты

Region

[Список объектов, доступных пользователям портала]

Список объектов, доступных пользователям портала (представление)

VwSysSSPEntitySchemaAccessList

[Шаблоны email сообщений]

Шаблон email сообщения

EmailTemplate

[Типы знаменательных событий]

Тип знаменательного события

AnniversaryType

[Категории продажи]

Категория продажи

OpportunityCategory

Чтобы перейти к настройке прав на операции, записи и колонки справочника, выберите объект необходимого справочника и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Настройка доступа к детали

Деталь может отображать данные раздела, справочника или содержать данные, указанные непосредственно на детали. При настройке доступа к детали нужно учитывать, данные какого объекта на ней отображены. Так, если деталь отображает данные какого-либо раздела (например, деталь [Контакты контрагента] на странице контрагента отображает данные, содержащиеся в разделе [Контакты]), то для настройки прав доступа нужно выбирать объект этого раздела. Если деталь отображает данные справочника, то доступ настраивается к объекту такого справочника. Если деталь использует свой собственный объект, то доступ настраивается к объекту этой детали.

На заметку

Название объекта детали можно узнать в мастере раздела, где эта деталь используется, перейдя в режим редактирования детали и посмотрев значение в строке [Деталь].

Установите фильтр “Все объекты” и введите название детали в строку поиска. Если на детали представлены записи определенного раздела, то название нужного объекта совпадает с названием раздела, данные которого отображены. Например, объект детали [Контакты контрагента] называется “Контакт”.

Если на детали отображаются данные справочника, то в большинстве случаев, название нужного объекта совпадает с названием справочника, данные которого отображаются, в единственном числе.

Если данные указаны непосредственно на детали, то ей соответствует отдельный объект, название которого, как правило, состоит из названий детали и раздела, в котором такая деталь находится, в единственном числе. Например, объект детали [Файлы и ссылки] раздела [Контакты] называется “Файл и ссылка контакта”.

Ниже приведены некоторые примеры деталей и соответствующих им объектов.

Название

раздела

Название

детали

Заголовок объекта

Название

объекта в БД

[Контакты]

[Средства связи]

Средство связи контакта

ContactCommunication

[Контрагенты]

[Средства связи]

Средство связи контрагента

AccountCommunication

[Контакты]

[Адреса]

Адрес контакта

ContactAddress

[Контрагенты]

[Адреса]

Адрес контрагента

AccountAddress

[Контакты]

[Карьера]

Карьера контакта

ContactCareer

[Контрагенты]

[Платежные реквизиты]

Платежный реквизит контрагента

AccountBillingInfo

[Контакты]

[Файлы и ссылки]

Файл и ссылка контакта

ContactFile

Любой

[Активности]

Активность

Activity

Чтобы перейти к настройке прав на операции, записи и колонки детали, выберите объект необходимой детали и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Настройка доступа к ленте

Доступ пользователей к сообщениям в ленте наследуется от прав доступа на объект, к которому относятся эти сообщения. Например, если у пользователя есть право на чтение и создание записей раздела [Контрагенты], то он сможет просматривать и добавлять сообщения в ленту контрагента, при этом изменять и удалять сможет только свои сообщения. Таким образом, чтобы обеспечить доступ пользователя к сообщениям ленты в определенном разделе, необходимо предоставить ему доступ на объект такого раздела. Как выбрать объект раздела читайте в блоке “Настройка доступа к разделу”.

Чтобы перейти к настройке прав на операции, записи и колонки раздела, выберите объект необходимого раздела и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Настройка доступа на теги

При настройке доступа на теги и выборе объекта тега нужно учитывать, записи какого раздела присвоен тег. Поскольку в bpm’online можно тегировать запись любого раздела, то чаще всего название объекта имеет такой вид: “Тег в записи раздела <название раздела>”. Например, “Тег в записи раздела контакты”, “Тег в записи раздела активности” и т. д.

На заметку

Перед поиском объекта тега в реестре отобразите все объекты системы, установив фильтр “Все объекты”, т. к. поиск выполняется только по отфильтрованным объектам. Например, если в реестре объектов установлен фильтр “Разделы”, а выполняется поиск объекта тега, то объект тега найден не будет.

Чтобы перейти к настройке прав доступа, выберите объект необходимого раздела и кликните по его названию или заголовку. Как использовать разные варианты доступа, читайте в статьях “Настройка доступа по операциям”, “Настройка доступа по записям” и “Настройка доступа по колонкам”.

Настройка доступа к группам раздела

Если необходимо настроить права доступа ко всем группам раздела, установите фильтр “Все объекты” и введите название объекта групп в строку поиска. Как правило, заголовок объекта имеет такой вид: “Группа раздела <Название раздела>”. Например, заголовок объекта групп раздела [Договоры] — “Группа раздела “Договоры””. Также заголовок объекта может состоять из слова “группа” и названия раздела в единственном числе. Например, заголовок объекта групп раздела [Контакты] — “Группа контакта”.

Ограничения доступа к группам раздела применяются ко всем группам, настроенным в разделе. Т. е. ограничить доступ к определенной группе раздела может администратор системы или пользователь, который ее создал, по действию [Настройка прав] (Рис. 2).

Рис. 2 — Переход к настройке прав доступа к группе “Мои активности” раздела [Активности]

chapter_object_permissions_group_permissions.png 

Настройка доступа к итогам

Если необходимо настроить права доступа к аналитическим данным, содержащимся в разделе [Итоги] и в представлениях итогов в других разделах, установите фильтр “Все объекты” и введите название объекта итогов в строку поиска. В этом случае заголовок объекта соответствует названию раздела в единственном числе — “Итог”, а название объекта в базе данных — “SysDashboard”.

Если для данного объекта не используется ограничение доступа по записям, то все пользователи имеют полный доступ ко всем итогам в системе. Если ограничение по записям используется, то права доступа на отдельные панели итогов настраиваются по действию [Настроить права доступа] меню действий (Рис. 3).

Рис. 3 — Настройка прав доступа к представлению “Итоги” раздела [Контакты]

chapter_object_permissions_dashboards_permissions.png 

Наследование прав доступа

В системе реализовано наследование прав доступа от родительского объекта. Например, средства связи могут наследовать права доступа родительского контрагента. В таком случае пользователи, у которых нет прав на изменение основной записи контрагента, не смогут изменить и средства связи.

Для новых разделов эта функциональность по умолчанию выключена, ее можно настроить отдельно в разделе [Конфигурация] в дизайнере объектов.

На заметку

Как начать работу с разделом [Конфигурация] и как перейти в дизайнер объектов, читайте в статье “Раздел [Конфигурация]”. Описание дизайнера вы найдете в статье “Дизайнер объектов”.

Для настройки откройте дизайнер объекта, отобразите все свойства объекта (Рис. 4) и в поле [Наследовать права доступа от объекта] выберите из выпадающего списка родительский объект, права доступа которого будут наследоваться настраиваемым объектом (Рис. 5).

Рис. 4 — Переход в расширенный режим отображения свойств объекта

chapter_objects_permissions_inheriting_permissions.png 

Рис. 5 — Настройка наследования прав доступа от родительского объекта

scr_object_to_inherit_access_permissions_from.png 

Смотрите далее

Настройка доступа по операциям

Настройка доступа по записям

Настройка доступа по колонкам

Смотрите также

Объектная модель данных bpm’online

Обучающее видео

Управление пользователями и ролями. Права доступа

Был ли данный материал полезен?

Как можно улучшить эту статью?