При использовании атрибутного метода разграничения доступа в каждом из правил политики можно задать дополнительное условие проверки доступа. Выполнение дополнительного условия зависит от результата выполнения цели проверки контроля доступа и учитывается при определении эффекта правила.
Для создания дополнительного условия проверки доступа:
Дополнительное условие проверки доступа содержится в поле «Условие»:
в веб-приложении на боковой панели «Свойства»;
в настольном приложении в правой части окна менеджера безопасности.
Нажмите кнопку . После выполнения действия будет открыто окно «Создание условия»:
Задайте дополнительное условие проверки доступа в виде логического выражения. Для формирования выражения используйте атрибуты (операнды), функции и операторы.
Для получения подробной информации обратитесь к разделу «Создание формул и выражений».
Нажмите кнопку «ОК».
После выполнения действий будет задано дополнительное условие проверки доступа, результат которого учитывается при определении эффекта правила. Заданное выражение будет отображаться в поле «Условие».
Для редактирования дополнительного условия проверки доступа:
используйте поле «Условие». Редактирование выражения выполняется вручную;
Примечание. Если выражение задано неверно, то поле будет обведено красным цветом.
используйте окно «Создание условия». Редактирование выражения выполняется аналогично созданию.
После выполнения действий выражение будет изменено в поле «Условие» и в окне «Создание условия».
Для формирования выражения доступны системные и пользовательские атрибуты, которые содержатся в атрибутном доступе.
Системные атрибуты, для которых можно получить значение на основе информации, хранящейся в системе, делятся на группы:
Для разграничения прав доступа на элементы справочника НСИ используется атрибут объекта в виде «OBJECT.ELEMENT.<идентификатор атрибута>». Идентификаторы атрибута элемента содержатся на вкладке «Атрибуты» при открытии справочник НСИ на редактирование.
Примечание. Атрибут элемента задается только в дополнительном условии правила. При формировании условия могут использоваться только системные и обычные атрибуты, не имеющие множественных значений.
Если элементы справочника НСИ имеют иерархию, то при разграничении прав доступа на дочерние элементы необходимо исключить родительский элемент в дополнительном условии проверки доступа. Исключение родительского элемента задается с помощью атрибута элемента KEY в виде условия сравнения «OBJECT.ELEMENT.KEY > <ключ родительского элемента>».
Например, справочник НСИ содержит родительский элемент с ключом 0 и семь дочерних элементов с ключами 1,2,3,4,5,6,7. При запрете доступа к дочерним элементам, ключ которых меньше 5, в условии должно учитываться исключение родительского элемента с ключом 0:
После выполнения условия будет доступен родительский элемент, в котором содержатся дочерние элементы с ключами 5,6,7. Дочерние элементы с ключами 1,2,3,4 будут недоступны.
Для разграничения прав доступа на элементы справочников НСИ обратитесь к разделу «Права доступа на элементы справочников НСИ».
Для формирования выражения используются следующие категории системных функций:
Примечание. Категория доступна только в настольном приложении, если в редактор выражения были подключены пользовательские функции. Для получения подробной информации обратитесь к разделу «Подключение пользовательских функций».
См. также:
Настройка атрибутного метода | Добавление правил и политик проверки доступа