На разных этапах настройки ролевой модели, используемой для разграничения прав на доступ к данным продукта, можно продемонстрировать, как меняются права доступа для пользователей системы в зависимости от выполненных настроек.
Для демонстрации работы используем объекты бюджетной модели:
форма ввода «Бюджет расходов на страхование»;
процесс «Формирование бюджета расходов на страхование на уровне юридического лица».
После создания групп и включения пользователей в группы, рассмотрим как отличаются права администратора от прав пользователя уровня юридического лица «Машиностроение-1».
Пользователь с ролью администратора может зайти в форму ввода «Бюджет расходов на страхование», где ему будут видны данные по всем юридическим лицам и будет доступно изменения данных на листе формы ввода.
На данном этапе еще не созданы сегменты и правила атрибутного доступа. Поэтому пользователь, включенный в инструментальную группу для работы с моделью бюджетирования и в группу юридического лица «Машиностроение-1» может видеть, что в продукте ему доступна форма ввода «Бюджет расходов на страхование». При работе с формой пользователю не видны данные по бюджету, так как пользователь не имеет прав ни на чтение, ни на запись данных по этому бюджету.
После настройки сегментов данных, объектов полномочий и правил атрибутного доступа пользователям раздаются статические права на чтение по бюджетам, в функциональные группы которых они включены. Также пользователи имеют доступ только к данным по своим организационным единицам (подчиненным организационным единицам).
Продемонстрируем разграничение прав на сегменты при работе с формой ввода «Бюджет расходов на страхование» под разными пользователями.
Для пользователя, включенного в организационную группу для юридического лица «Машиностроение-1» при работе с формой ввода «Бюджет расходов на страхование» будут предоставлены права на чтение.
При попытке просмотра данных другого юридического лица или данных вышестоящих организаций информация пользователю будет недоступна, так как доступ на чтение этих сегментов данных запрещен с помощью правила атрибутного доступа.
При попытке изменения данных в таблице возникнет ошибка отсутствия необходимых прав, так как в соответствующем объекте полномочий были определены группы пользователей с правами только для чтения.
Для пользователя, включенного в организационную группы холдинга и юридических лиц, входящих в него, при работе с формой ввода «Бюджет расходов на страхование» будут видны данные по холдингу и этим юридическим лицам.
Прав на просмотр данных по другому холдингу или по группе компаний у пользователя нет. Также ему недоступно изменение данных в форме ввода по своим организациям.
Пользователь, работающий на уровне группы компаний имеет права на просмотр данных всех холдингов и всех юридических лиц. Запись данных в ячейки таблиц ему также недоступна.
Настройка динамических прав на запись для шагов процесса «Формирование бюджета расходов на страхование на уровне юридического лица» позволяет формировать динамические сегменты данных и динамические права для доступа к ним.
Для демонстрации запустим шаг процесса на выполнение для пользователя организации «Машиностроение-1». Выберем для запуска значения параметров шага процесса, определенные для пользователя: элемент организационной структуры, версию планирования и валюту.
При запущенном шаге процесса после входа в продукт под пользователем юридического лица «Машиностроение-1» у него появятся права на запись данных в динамический сегмент бюджета, который ограничен также выбранными параметрами запуска шага процесса. Таким образом изменение записей будет возможно только для версии планирования «Корректировка 4-ый квартал». При выборе другой версии планирования прав на запись не будет.
При раздаче динамических прав в продукте создается динамический сегмент с наименованием «D_Название шага бизнес-процесса», в рассматриваемом примере «D_Ввод данных по расходам на страхование по объектам страхования».
См. также: