Создание объектов полномочий

Объект полномочий - объект репозитория, предназначенный для разграничения прав доступа пользователей/групп пользователей с помощью создания сегментов данных.

Сегмент данных - совокупность среза данных куба и прав субъектов безопасности на эти данные. Для создания сегментов данных доступны следующие кубы:

Срез данных куба - двумерная таблица данных, полученная путём обязательной фиксации минимум одного измерения куба. Фиксация измерения заключается в отметке элементов данного измерения.

Объекты полномочий могут быть двух типов:

Примечание. Объекты полномочий с динамическими правами доступа настраиваются только для шагов «Ввод данных» и «Согласование» при их создании.

При создании объекта полномочий любого типа происходит ограничение прав на куб для пользователей/групп пользователей. Для предоставления прав для пользователей/групп пользователей, укажите их при создании объекта полномочий и определите сегмент данных для них.

Для создания новых и редактирования готовых объектов полномочий используется «Мастер объекта полномочий».

Для открытия мастера

Базовые свойства

Первая страница мастера объекта полномочий «Базовые свойства». Вид страницы зависит от типа объекта полномочий:

На первой странице мастера задайте базовые свойства объекта полномочий:

После определения базовых свойств объекта полномочий нажмите кнопку «Далее».

Сегменты данных

Следующая страница мастера «Сегменты данных» предназначена для определения списка сегментов данных. Сегменты данных задаются с помощью установки отметок по измерениям выбранного источника. Это позволяет разделить источник данных на сегменты, доступные для работы отдельным группам пользователей.

На второй странице мастера выполните действия:

Добавление источника

Удаление источника

Установка отметки по измерениям источника

Для завершения работы мастера нажмите кнопку «Готово».

Примечание. Для корректной работы сегментов данных, ограничивающих доступ к различным операциям над объектами, для пользователей/групп пользователей требуются права только на чтение для сегментов и/или контейнеров, содержащих сегменты.

Таким образом, вне процессов с помощью объектов полномочий создаются статические сегменты данных, к которым предоставляются права выбранным пользователям/группам пользователей. Права доступа к статическим сегментам данных определяются дискреционным методом разграничения доступа. Дополнительно с дискреционным методом возможно использовать атрибутный метод.

Подробное описание выбора методов разграничения доступа и их настройки приведено в статье «Выбор методов разграничения доступа и их настройка».

Для работы в процессах с помощью объектов полномочий определяются динамические сегменты данных, которые создаются в момент запуска шага процесса и действуют до его завершения. Динамические сегменты данных предоставляют права доступа только на указанных шагах процесса и блокируют их вне данных шагов. Правами доступа на конкретном шаге процесса обладают только те пользователи/группы пользователей, которые были указаны при создании динамического объекта полномочий. Для остальных пользователей доступ ограничен.

Примечание. Пользователи из группы «Администраторы» всегда обладают правами доступа независимо от настройки объектов полномочий.

После создания объектов полномочий перейдите к их настройке в процессе.

См. также:

Настройка ролевой модели | Настройка объектов полномочий процесса