Права доступа на элементы справочников НСИ
Настройка прав доступа для элементов справочника НСИ зависит от выбранных методов разграничения доступа.
Дискреционный метод
При выборе дискреционного метода разграничения доступа выполните шаги:
Убедитесь, что установлен флажок «Использовать дискреционный контроль» на вкладке «Контроль доступа» в разделе «Редактор политик».
Настройте параметры доступа конкретного пользователя для:
требуемого справочника НСИ;
базы данных, в которой хранятся данные справочника.
Параметры доступа настраиваются на вкладке «Дискреционный контроль» на боковой панели «Свойства» в разделе «Навигатор».
Установите флажки напротив общих операций
для их запрета или разрешения. Для одновременной настройки доступа
к справочнику и базе данных выделите справочник и нажмите кнопку 
«Связанные объекты»
на панели
инструментов. Установите флажки напротив объектов, права которых
должны быть изменены, на вкладке «Дискреционный
контроль» и нажмите кнопку «Применить
права».
Установите флажок «Элементы имеют дискреционные права доступа» на странице «Базовые настройки» в мастере справочника НСИ.
Настройте права доступа выбранного элемента справочника с помощью команды «Права доступа» в контекстном меню элемента справочника. После чего будет открыто окно «Права доступа» для настройки прав доступа элемента справочника. Команда доступна для элемента справочника, выбранного в справочнике НСИ, открытом на редактирование в навигаторе объектов.
Если окно вызвано для нескольких элементов, то будут отображены настройки прав доступа элемента, который находится в фокусе. При установке прав доступа эти же права будут установлены для всех выбранных элементов.
В открывшемся окне установите флажки напротив операций, которые будут разрешены или запрещены пользователю при работе с элементами. Явно запретите операции с элементами, к которым у пользователя не должно быть доступа.
Отключение дискреционного доступа к элементам
Для отключения дискреционного доступа к элементам справочника НСИ:
Убедитесь, что у элементов на атрибутах ответственных за дискреционные права не добавлены параметры, не добавлены ключи, снят флажок «Альтернативная иерархия» в свойствах.
Снимите флажок «Элементы имеют дискреционные права доступа» на странице «Базовые настройки» в мастере справочника НСИ.
В результате отключения дискреционного доступа к элементам справочника НСИ пользователь будет иметь полный доступ к элементам справочника.
Атрибутный метод
Разграничение прав доступа на элементы справочников НСИ выполняется:
при одновременном использовании атрибутного и дискреционного методов;
при использовании только атрибутного метода.
Выбор методов разграничения доступа осуществляется на вкладке «Контроль доступа» в разделе «Редактор политик».
При выборе атрибутного и дискреционного методов разграничения доступа выполните шаги:
Убедитесь, что установлены флажки «Использовать атрибутный доступ» и «Использовать дискреционный контроль» на вкладке «Контроль доступа» в разделе «Редактор политик» и выбран алгоритм комбинации прав доступа «OR».
Убедитесь, что в параметрах управления дискреционным контролем доступа для конкретного пользователя разрешены все операции над объектами:
папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;
база данных, в которой хранятся данные справочника НСИ;
внутренняя таблица справочника НСИ.
Дискреционные права доступа настраиваются отдельно для каждого объекта на вкладке «Дискреционный контроль» на боковой панели «Свойства» в разделе «Навигатор».
Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ»:
набор политик определяет пользователя, для которого настраивается доступ к элементам справочника НСИ. Например:
Цель: SUBJECT.NAME = <наименование пользователя>;
Алгоритм комбинации правил: Переопределение разрешением;
политика определяет доступ к справочнику НСИ по ключу или идентификатору. Например:
Цель: OBJECT.KEY = <ключ справочника НСИ> или OBJECT.ID = <идентификатор справочника НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
правила определяют доступ к элементам справочника НСИ. Например:
Цель: OPERATION = <значение специфической операции>.
Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.
Примечание. При составлении дополнительного условия учитывайте особенности использования атрибута элемента справочника НСИ.
Примеры правил для разграничения доступа к элементам справочника НСИ приведены в разделе «Пример».
Установите флажок «Элементы имеют атрибутные права доступа» на странице «Базовые настройки» в мастере справочника НСИ.
После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ. При одновременном использовании атрибутного и дискреционного методов также доступно разграничение прав доступа на элементы справочников НСИ с помощью дискреционного контроля доступа. Для получения подробной информации обратитесь к разделу «Дискреционный метод».
При выборе только атрибутного метода разграничения доступа должна использоваться встроенная авторизация. Разграничение прав доступа на элементы справочников НСИ настраивается для пользователей, не входящих во встроенную группу ADMINISTRATORS. Для этого выполните шаги:
Убедитесь, что установлен флажок «Использовать атрибутный доступ» на вкладке «Контроль доступа» в разделе «Редактор политик».
Создайте структуру атрибутного доступа, которая определит права доступа конкретного пользователя на элементы справочника НСИ, в разделе «Атрибутный доступ». В структуре атрибутного доступа должны содержаться:
разрешения доступа к справочнику НСИ и следующим объектам:
папка, в которой содержится справочник НСИ. Если справочник НСИ расположен не в корне репозитория, а в отдельной папке или иерархии папок, то для каждой папки не должно быть запрещенных операций;
база данных, в которой хранятся данные справочника НСИ;
внутренняя таблица справочника НСИ;
запреты доступа к элементам справочника НСИ.
Установите флажок «Элементы имеют атрибутные права доступа» на странице «Базовые настройки» в мастере справочника НСИ.
После выполнения действий будут работать правила атрибутного метода разграничения доступа для элементов справочника НСИ.
Настройка прав доступа для элементов справочника НСИ доступна в среде разработки с помощью сборки ABAC. Пример запрета доступа пользователю на чтение элемента справочника НСИ приведен в разделе «Права доступа на элементы справочника НСИ».
Пример
Пример структуры атрибутного доступа при использовании только атрибутного метода разграничения доступа. Структура содержит два набора политик, ограничивающих доступ конкретного пользователя к элементам справочника НСИ:
первый набор политик содержит политику и правило, которые определяют полный доступ конкретного пользователя ко всем объектам репозитория:
параметры набора политик:
Цель: SUBJECT.NAME = <наименование пользователя>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры политики:
Цель: OBJECT.KEY >= 0;
Алгоритм комбинации правил: Переопределение разрешением;
параметры правила:
Цель: OPERATION IN 1;
Эффект: Разрешить;
Алгоритм комбинации правил: Переопределение разрешением;
второй набор политик определяет класс объектов, для которого настраивается доступ, политика определяет доступ к конкретному справочнику НСИ по ключу или идентификатору, правила определяют доступ к элементам справочника НСИ:
параметры набора политик:
Цель: OBJECT.CLASS = <класс объектов: справочник НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры политики:
Цель: OBJECT.KEY = <ключ справочника НСИ> или OBJECT.ID = <идентификатор справочника НСИ>;
Алгоритм комбинации правил: Переопределение разрешением;
параметры правила:
Цель: OPERATION = <значение специфической операции>.
Для правил задается дополнительное условие, в котором указывается сравнение атрибута элемента со значением, соответствующим типу данных идентификатора атрибута, и эффект, определяющий разрешение или запрет доступа по результату выполнения правила.
Параметры правил для разграничения доступа к элементам справочника НСИ, например:
запрет на чтение элементов одноуровневого справочника НСИ с ключами 1 и 2:
Цель: OPERATION = 1048576;
Условие: (OBJECT.ELEMENT.KEY >= 0) And (OBJECT.ELEMENT.KEY <= 2);
Эффект: Запретить;
запрет на редактирование элемента справочника НСИ с ключом 3:
Цель: OPERATION = 2097152;
Условие: OBJECT.ELEMENT.KEY = 3;
Эффект: Запретить.
Отключение атрибутного доступа к элементам
Для отключения атрибутного доступа к элементам справочника НСИ снимите флажок «Элементы имеют атрибутные права доступа» на странице «Базовые настройки» в мастере справочника НСИ.