Объект полномочий - объект репозитория, предназначенный для разграничения прав доступа пользователей/групп пользователей с помощью создания сегментов данных.
Сегмент данных - совокупность среза данных куба и прав субъектов безопасности на эти данные. Для создания сегментов данных доступны следующие кубы:
Срез данных куба - двумерная таблица данных, полученная путём обязательной фиксации минимум одного измерения куба. Фиксация измерения заключается в отметке элементов данного измерения.
Объекты полномочий могут быть двух типов:
Статические. Определяют статистические права, постоянно действующие во времени;
Динамические. Определяют динамические права, действующие только во время выполнения отдельного шага процесса. До и после выполнения данного шага процесса указанные права доступа отсутствуют.
Примечание. Объекты полномочий с динамическими правами доступа настраиваются только для шагов «Ввод данных» и «Согласование» при их создании.
При создании объекта полномочий любого типа происходит ограничение прав на куб для пользователей/групп пользователей. Для предоставления прав для пользователей/групп пользователей, укажите их при создании объекта полномочий и определите сегмент данных для них.
Для создания новых и редактирования готовых объектов полномочий используется «Мастер объекта полномочий».
Первая страница мастера объекта полномочий «Базовые свойства». Вид страницы зависит от типа объекта полномочий:
На первой странице мастера задайте базовые свойства объекта полномочий:
Наименование. Введите наименование объекта полномочий;
Идентификатор. Измените уникальный идентификатор объекта полномочий при необходимости;
Примечание. Укажите примечание к объекту полномочий при необходимости;
Тип объекта полномочий. Определите тип доступа для пользователей/групп пользователей:
Статический. При установке переключателя появятся две области «Права на чтение» и «Права на чтение и запись», где отмечаются пользователи/группы пользователей, полномочия которых действуют постоянно во времени, независимо от выполнения шагов процесса, на основе принадлежности пользователя к определённой группе пользователей;
Для шагов процесса. При установке переключателя появляется область «Допустимые роли», где отмечаются пользователи/группы пользователей, полномочия которых будут определяться при настройке отдельных шагов процесса. Полномочия действуют только при выполнении конкретных шагов процесса и отсутствуют в остальное время.
После определения базовых свойств объекта полномочий нажмите кнопку «Далее».
Следующая страница мастера «Сегменты данных» предназначена для определения списка сегментов данных. Сегменты данных задаются с помощью установки отметок по измерениям выбранного источника. Это позволяет разделить источник данных на сегменты, доступные для работы отдельным группам пользователей.
На второй странице мастера выполните действия:
Установка отметки по измерениям источника
Для завершения работы мастера нажмите кнопку «Готово».
Примечание. Для корректной работы сегментов данных, ограничивающих доступ к различным операциям над объектами, для пользователей/групп пользователей требуются права только на чтение для сегментов и/или контейнеров, содержащих сегменты.
Таким образом, вне процессов с помощью объектов полномочий создаются статические сегменты данных, к которым предоставляются права выбранным пользователям/группам пользователей. Права доступа к статическим сегментам данных определяются дискреционным методом разграничения доступа. Дополнительно с дискреционным методом возможно использовать атрибутный метод.
Подробное описание выбора методов разграничения доступа и их настройки приведено в статье «Выбор методов разграничения доступа и их настройка».
Для работы в процессах с помощью объектов полномочий определяются динамические сегменты данных, которые создаются в момент запуска шага процесса и действуют до его завершения. Динамические сегменты данных предоставляют права доступа только на указанных шагах процесса и блокируют их вне данных шагов. Правами доступа на конкретном шаге процесса обладают только те пользователи/группы пользователей, которые были указаны при создании динамического объекта полномочий. Для остальных пользователей доступ ограничен.
Примечание. Пользователи из группы «Администраторы» всегда обладают правами доступа независимо от настройки объектов полномочий.
После создания объектов полномочий перейдите к их настройке в процессе.
См. также:
Настройка ролевой модели | Настройка объектов полномочий процесса