Практикум. Система учета заявок на канцтовары. Ролевая модель.

Платформа позволяет пользователям управлять правами доступа к объектам платформы и допустимым операциям с ними, благодаря различным настройкам ролевой модели. Основой ролевой модели доступа к данным является концепция сбора прав в ролях.

Необходимо настроить права к системе для двух групп пользователей: сотрудник-инициатор и сотрудник АХР.

Сотрудник-инициатор должен иметь возможность просмотра своих заявок и их создания, а также просматривать справочник канцтоваров и отдельные экземпляры.

Сотрудник АХР должен иметь возможность добавления и обновления записей в справочнике канцтоваров, просмотра поступивших заявок от всех сотрудников-инициаторов и изменения заявок сотрудников-инициаторов.

Для решения поставленной бизнес-задачи необходимо настроить две группы пользователей: Инициатор и Сотрудник АХР. Также необходимо настроить права к объектам системы, с которыми эти пользователи будут взаимодействовать, а именно:

Для решения бизнес-задачи в системе должно быть предусмотрено два типа пользователей: Сотрудник-инициатор, который имеет доступ только к созданию заявки и просмотру собственных заявок, и Сотрудник АХР, который имеет доступ ко всем заявкам и списку канцтоваров. Сотрудниками-инициаторами будут являться пользователи, принадлежащие группе доступа «Все пользователи», которая является системной и ее не нужно создавать – эта группа по умолчанию имеет разрешение только на чтение некоторых объектов и имеет ограничения на создание, изменение и удаление типов и объектов системы. Любой создаваемый пользователь должен сопоставляться этой группе.

Для сотрудников АХР необходимо создать свою группу доступа. Чтобы создать новую группу доступа, необходимо на стартовой странице в разделе «Роли» нажать на кнопку «Создать».

В открывшейся форме создайте роль: заполните Наименование – «Сотрудник АХР», идентификатор - EMP_AHR.

Сохраните настроенную группу доступа с помощью кнопки «Сохранить» на панели инструментов.

Вернитесь на стартовую страницу и аналогично создайте роль «Сотрудник-инициатор» [EMP_INITIATOR]. Сохраните созданную группу доступа.

Для каждой созданной группы доступа необходимо добавить пользователей.

Каждый пользователь Системы ассоциируется с сотрудником, занесенным в справочник сотрудников. Соответственно, для создания нового пользователя необходимо убедиться, что соответствующий сотрудник заведен в Системе. Каждый сотрудник может принадлежать одной или нескольким группам доступа одновременно.

Создайте нового сотрудника в реестре типа объектов «Персональные данные», для этого перейдите в пункт меню «Справочники» - «Сотрудники».

Для того, чтобы была возможность осуществить авторизацию в системе через созданного сотрудника, необходимо создать для него пользователя и указать группы доступа, к которым пользователь принадлежит. Для этого перейдите в пункт меню «Администрирование» - «Управления доступом» - «Пользователи».

Создайте новый объект и выберите тип «Сотрудник».

Заполните минимальный набор полей для создания сотрудника:

Сохраните сотрудника с помощью кнопки сохранения на панели управления.

Для того, чтобы была возможность осуществить авторизацию в системе через созданного сотрудника, необходимо создать для него пользователя и указать группы доступа, к которым пользователь принадлежит. Для этого перейдите в пункт меню «Администрирование» - «Управления доступом» - «Пользователи».

Добавьте нового пользователя. В поле «Сотрудник» выберите из списка созданного ранее сотрудника. Также можно создать нового сотрудника при создании пользователя с помощью кнопки «Создать нового».

В группе «Учетные данные» необходимо указать способ авторизации пользователя в системе. В реестре «Учетные данные» создайте новый объект настройки авторизации с помощью кнопки . В окне выбора типа учетных данных выберите «Учетные данные. Парольная аутентификация».

Заполните поле «Логин» и «Пароль» — это учетные данные, необходимые для авторизации в системе. Логин может состоять только из латинских букв и цифр, пробелы и специальные символы не допускаются. Пароль должен содержать не менее 8 символов. Пароль должен содержать не менее 1 символов верхнего регистра. Пароль должен содержать не менее 1 цифр. Пароль должен содержать не менее 1 специальных символов. Пароль соответствует 1 из 4 правил, как минимум 3 является обязательными.

В группе «Группы пользователя» необходимо добавить группу, которой будет принадлежать пользователь. По умолчанию все пользователи имею группу доступа «Все пользователи», которая имеет минимальный набор прав для доступа к объектам системы.

Добавьте группу доступа «Сотрудник АХР».

Сохраните настройки пользователя.

Аналогично создайте нового сотрудника и добавьте пользователя для группы доступа «Сотрудник-инициатор».

Для того чтобы пользователи могли взаимодействовать с объектами типов, далее необходимо настроить права на экземпляры типов объектов.

Настроенные права доступа определяют возможность создания новых экземпляров типов объекта, а также их чтения, редактирования и удаления.

Все пользователи, зарегистрированные в системе, по умолчанию относятся к группе доступа «Все пользователи», которая является системной. Такой пользователь имеет разрешение только на чтение некоторых объектов и имеет ограничения на создание, изменение и удаление типов и объектов системы. При создании новых групп доступа необходимо произвести настройку контроля прав.

Основной настройкой прав доступа к экземплярам является определение вида контроля прав для типа объекта. Для этого предусмотрены следующие настройки:

Настройте права доступа к экземплярам типов объекта через настройки типа.

Через стартовую страницу откройте настройки типа объектов «Справочник». В разделе «Дополнительные настройки» перейдите на вкладку «Контроль доступа», в поле «Вид контроля прав» из раскрывающегося списка выберите значение «Все пользователи имеют право на чтение», для того чтобы все пользователи системы имели право только на чтение экземпляров типа.

Аналогично настройте вид контроля прав для типов объектов «Справочник канцтоваров» и «Категория» и установите значение «Все пользователи имеют право на чтение». Сохраните настройки типа объектов и вернитесь к предметной области.

Настройте права таким образом, чтобы сотрудники-инициаторы могли видеть только свои заявки. Для этого перейдите в настройки типа объектов «Заявка»: в разделе «Дополнительные настройки» на вкладке «Контроль доступа» по умолчанию выбран «Системный контроль прав». Оставьте поле без изменений для того, чтобы пользователи указанных групп доступа могли взаимодействовать только со своими записями.

Настройте права по умолчанию, чтобы Сотрудник АХР мог видеть заявки от всех пользователей. Для этого откройте настройки типа «Заявка» и на верхней панели нажмите на кнопку «Настройка прав по умолчанию».

В появившемся окне добавьте группу доступа «Сотрудник АХР», для этого нажмите на кнопку «Добавить группу или пользователя», после этого в модальном окне установите флаг для группы «Сотрудник АХР» и нажмите на кнопку «Добавить».

В окне настройки прав появится добавленная группа. Установите флаги в столбце «Разрешено» в колонках «Чтение», «Запись», «Удаление». После этого сохраните настройки с помощью кнопки на панели управления и закройте окно настройки прав.

Сохраните тип объектов и вернитесь к предметной области.

Перейдите в настройки типа объектов «Позиция в заявке» и выберите вид контроля прав – «Наследование прав от связанного объекта», а в поле «Атрибут для наследования прав» выберите объектный атрибут, связывающий заказ и заявку «Заявка». Эта настройка позволяет разграничить доступ к экземплярам типа объекта на основе прав доступа к связанному объекту, чтобы сотрудники-инициаторы имели право на создание новых экземпляров, на просмотр, редактирование и удаление только своих экземпляров типа объекта «Заявка» и дочерних объектов тип объектов «Позиции в заявке».

После этого сохраните настройки с помощью кнопки на панели управления и вернитесь к предметной области.

Для типа объектов можно настраивать права доступа для разных групп доступа и отдельных пользователей.

Настройка прав доступа для типов и объектов осуществляется:

На предметной области перейдите к настройкам типа объектов «Заявка». Откройте настройки прав доступа с помощью кнопки «Права доступа».

В появившемся модальном окне, для того чтобы добавить группу или пользователя, необходимо нажать на кнопку . После этого в модальном окне выбрать субъект безопасности (группу/пользователя).

Добавьте группы доступа «Сотрудник АХР» и «Сотрудник-инициатор», для этого выберите их в списке и нажмите на кнопку «Добавить».

В модальном окне настройки прав для добавленных групп активируйте переключатели в столбце Разрешено в колонках «Чтение», «Создание», «Чтение экземпляров», «Редактирование экземпляров». Сохраните настройки с помощью кнопки «Ок».

Затем сохраните изменения. Таким образом обе группы пользователей смогут просматривать и взаимодействовать с экземплярами типа объекта.

Аналогично настройте права для типа объектов «Позиции в заявке», для групп доступа «Сотрудник-инициатор» и «Сотрудник АХР». активируйте переключатели в столбце Разрешено в колонках «Чтение», «Создание», «Чтение экземпляров», «Редактирование экземпляров».

Настройте права для типа объектов «Справочник». Для группы «Сотрудник-инициатор» дайте право только на чтение типа и чтение экземпляра типа. Для группы «Сотрудник АХР» дайте разрешения на Чтение, Создание, Чтение экземпляров, Редактирование экземпляров, Удаление экземпляров.

Аналогично настройте права для типов объектов «Справочник канцтоваров» и «Категория». Таким образом сотрудник АХР сможет пополнять справочник с канцтоварами и редактировать имеющиеся записи, а сотрудник-инициатор сможет только просматривать.

Для того чтобы каждый пользователь видел только предназначенный ему реестр, необходимо настроить доступ к каждому из созданных визуалов.

Перейдите в пункт меню «Администрирование» – «Управление доступом» – «Доступ к объектам системы»;

В поле Тип объектов с помощью поиска найдите и выберите тип объектов «Настройка базового реестра». С помощью поиска справа вверху найдите объекты типа «Заявки».

Выделите объект «Заявки на канцтовары»: добавьте группу доступа «Сотрудник АХР» и дайте разрешения на Чтение. Также добавьте группу доступа «Сотрудник-инициатор» и дайте запрет на Чтение. Сохраните изменения с помощью кнопки .

Аналогично для представления «Мои заявки» для группы «Сотрудник-инициатор» дайте право на чтение, а группе доступа «Сотрудник АХР» запретите чтение. Также сохраните изменения.

Таким образом каждый пользователь будет видеть свое представление реестра.