Настроить доступ по записям

Продукты
Все продукты

Права доступа на объекты можно ограничить на следующих уровнях:

Администратор системы может управлять правами на чтение, обновление или удаление отдельных записей, а также возможностями делегирования этих прав.

Распределение прав доступа по записям включается переключателем “Использовать доступ по записи” в разделе Права доступа на объекты дизайнера системы и зависит от авторства записи. Если автор записи входит в роль, которая указана в столбце “Автор записи”, то система раздает права роли-получателю, указанной в столбце “Получатель прав”. Если роль-получатель является подчиненной, то роль ее руководителей наследует все полученные права доступа.

По умолчанию максимальные права на управление записью имеют:

  • Системные администраторы, которым дан доступ на системные операции “Добавление любых данных”, “Чтение любых данных”, “Изменение любых данных”, “Удаление любых данных”. Эти настройки имеют более высокий приоритет, чем настройки, заданные в разделе Права доступа на объекты.

  • Автор записи и роль руководителей автора с возможностью делегирования прав другим пользователям.

  • Ответственный за запись и роль руководителей ответственного с возможностью делегирования прав другим пользователям.

    Подробнее: Настроить права доступа на запись.

На заметку. Если для объекта отключено администрирование прав доступа по записям, то записи будут доступны всем пользователям, у которых есть доступ по операциям в объекте.

Если администрирование по записям включено, но права доступа не настроены, то записи будут доступны только их автору, роли руководителей автора, ответственному по записи, роли руководителей ответственного, а также системным администраторам.

Если вы только начинаете знакомство с Creatio, то рекомендуем ознакомиться с концепцией прав доступа на объекты Creatio в онлайн-курсе Управление пользователями и ролями. Права доступа.

Пример. Выполним настройку прав доступа для записей раздела Продажи.

Если записи созданы менеджерами по продажам, то все сотрудники, входящие в эту роль, должны иметь возможность их просматривать (с делегированием), а также редактировать, но не иметь возможности удалять.

Если записи созданы руководителями менеджеров по продажам, то менеджеры должны иметь доступ на их чтение и редактирование, но без делегирования, а руководители должны иметь полный доступ с правом делегирования.

В нашем примере авторами записей и получателями прав будут сотрудники, входящие в роли “Менеджеры по продажам” и “Менеджеры по продажам. Группа руководителей”.

На заметку. Если для обеспечения отказоустойчивости в вашем приложении используется балансировщик нагрузки, то настройку необходимо выполнить на одном экземпляре приложения, после чего перенести на другие. Аналогичным образом выполняется установка приложений Marketplace, пакетов с пользовательской кастомизацией и другие настройки, требующие компиляции. Подробнее: Установить приложение Marketplace на среду с балансировщиком.

  1. Перейдите в дизайнер системы, например, по кнопке btn_system_designer.png, и откройте раздел настройки доступа к объектам по ссылке “Права доступа на объекты”.

  2. Например, чтобы настроить права доступа к разделу Продажи, установите фильтр “Разделы” и выберите объект “Продажа”. Кликните по его заголовку или названию — откроется страница настройки прав доступа к объекту раздела Продажи (Рис. 1).

    Подробнее: Права доступа на объекты.

    Рис. 1 — Выбор объекта раздела и переход на страницу настройки прав доступа
    chapter_obgect_permissions_administer_by_operations_section.gif
  3. Включите ограничение доступа по операциям с помощью переключателя “Использовать доступ по записям” (Рис. 2).

    Рис. 2 — Включение администрирования по записям
    chapter_objects_permissions_section_permissions_administer_by_records.png
  4. По кнопке Добавить откроется окно, в котором необходимо указать пользователя или роль, на чьи записи будут раздаваться права доступа, а также пользователя или роль, которая получит эти права. Используйте строку поиска, чтобы быстро найти нужную роль или пользователя в списке. В нашем примере нужно добавить три записи (Рис. 3).

    Рис. 3 — Пример добавления ролей для настройки прав доступа
    gif_section_object_permissions_select_groups.gif
  5. По умолчанию права доступа для получателей не установлены. Чтобы определить уровни доступа, для каждого из получателей в колонке, соответствующей праву (чтение, редактирование или удаление) нажмите кнопку btn_access_rights_select_permission.png и выберите “Разрешено” btn_access_rights_granted.png или “Разрешено с делегированием” btn_access_rights_granted_with_delegation.png. В нашем примере устанавливаются следующие права (Рис. 4):

    Рис. 4 — Пример настройки прав доступа по записям
    section_object_permissions_access_by_records_setup.png
    1. Чтобы сотрудники отдела продаж могли просматривать записи, созданные их коллегами, делегировать это право другим пользователям, вносить в записи изменения, но не могли их удалять, для роли “Менеджеры по продажам” установите признак “Разрешено с делегированием” btn_access_rights_granted_with_delegation00001.png в колонке Чтение и признак “Разрешено” btn_access_rights_granted00002.png в колонке Редактирование.

    2. Чтобы сотрудники отдела продаж могли просматривать записи, созданные их руководителями, вносить в записи изменения, но не могли их удалять, для роли “Менеджеры по продажам” установите признак “Разрешено” btn_access_rights_granted00003.png в колонках Чтение и Редактирование.

    3. Чтобы руководители менеджеров по продажам имели право на просмотр, изменение и удаление записей раздела Продажи, созданных их коллегами, а также возможность делегировать эти права другим пользователям, установите признак “Разрешено с делегированием” btn_access_rights_granted_with_delegation00004.png для роли “Менеджеры по продажам. Группа руководителей” в колонках Чтение, Редактирование и Удаление для записей, авторы которых входят в роль “Менеджеры по продажам. Группа руководителей”.

      На заметку. В отличие от прав доступа по операциям, для прав доступа по записям порядок добавления не влияет на приоритет.

  6. Чтобы сохранить настроенные права доступа, нажмите кнопку Применить.

    Важно. Если права доступа настроены в разделе, в котором уже есть записи, то необходимо выполнить актуализацию прав доступа. Иначе настроенные права доступа будут применяться только к новым записям раздела.

    Актуализация прав доступа — это ресурсоемкая процедура. В зависимости от количества записей в разделе, а также ролей и пользователей, для которых она выполняется, актуализация может занять от 3 минут и более и повлиять на производительность системы. Чтобы этого избежать, рекомендуем выполнять актуализацию прав доступа во время наименьшей нагрузки на систему.

    Чтобы применить новые права доступа к существующим записям раздела, откройте страницу настройки прав доступа к объекту и в меню Действия выберите пункт “Актуализировать права по записям” (Рис. 5).

    Рис. 5 — Запуск актуализации прав по записям раздела
    section_object_permissions_actual_access_rights.png

В результате актуализации прав записи будут удалены все права, установленные настройками по умолчанию, и созданы новые. Права, которые были добавлены пользователем вручную на странице настройки прав определенной записи или настроены в рамках бизнес-процесса, при актуализации прав не удаляются.

На заметку. Для одной роли может существовать несколько записей прав. Например, это могут быть права, созданные в результате выполнения действия Актуализировать права по записям и полученные в ходе выполнения бизнес-процесса, или добавленные пользователем вручную и полученные в ходе выполнения бизнес-процесса.