Методика формирования прав доступа пользователей в новом релизе Альфа-Авто редакция 6.1

1. Новая концепция по формированию прав доступа пользователей

1.1. В конфигурации Альфа-Авто редакции 6.1 для настройки доступа пользователей к объектам используются:

• Cправочник «Профили групп доступа». Один профиль содержит набор ролей.
• Cправочник «Группы доступа». У одной группы доступа может быть указан только один профиль групп доступа и назначены пользователи или группы пользователей.
• Cправочник «Пользователи». Пользователи указываются в требуемой группе доступа или группах доступа.

1.2. Состав ролей в редакции 6.1 значительно уменьшен за счет удаления атомарных ролей, предоставляющий доступ к одному объекту, и создания функциональных ролей (по типовым должностям предприятия). Функциональные роли делятся на 2 типа:

• Ключевые роли (в названии фигурирует наименование «Ключевой...»). Исключение: роли «Механик УРВ» и «Руководитель». Ключевые роли предоставляют полный доступ к объектам по направлению деятельности должности пользователя, формированию отчетности.
• Роли аналитиков (в названии фигурирует наименование «Аналитик»). Роли дают доступ на просмотр для объектов по направлению деятельности должности пользователя, формированию отчетности.

Каждая функциональная роль включена в отдельный профиль групп доступа. Список таких профилей при обновлении формируется автоматически и собирается в группу «Основные профили» (Рис. 1).

Важно! В группу «Основные профили» входят также профили:

• Администратор. Профиль с ролями на полный доступ. Не рекомендуется использовать для ежедневной работы пользователей подразделений предприятия;
• Администратор системы Альфа-Авто. Профиль для администратора Альфа-Авто;
• Базовый профиль. Профиль содержит полный перечень ролей, необходимых для входа в программу.

Все созданные автоматически профили недоступны для редактирования.

Рисунок 1. Справочник «Профили групп доступа». Группа «Основные профили».

Помимо профилей с функциональными ролями, в программе при обновлении создаются дополнительные профили с ролями, предоставляющие доступ к отдельным возможностям программы (Рис. 2):

Рисунок 2. Справочник «Профили групп доступа». Группа «Дополнительные профили».

1.3. Справочник «Группы доступа» также предзаполняется автоматически. Группы доступа по профилям групп доступа с функциональными ролями находятся в группе «Основные группы доступа», а дополнительные профили — в группе «Дополнительные группы доступа» (Рис. 3):

Рисунок 3. Справочник «Группы доступа» заполнен после обновления на ред.6.1.

1.4. Для упрощения назначения пользователям группы доступа рекомендуется использовать группы в справочнике «Пользователи». Для возможности использования групп должен быть установлен флаг «Группы пользователей» (Рис. 4):

Рисунок 4. Включение использования групп в справочнике «Пользователи».

В этом случае, потребуется только настроить доступ у групп пользователей (Рис. 5 и Рис. 6) и распределить пользователей по группам пользователей. При появлении впоследствии новых пользователей, их надо будет только включить в требуемую группу пользователей.

Рисунок 5. Справочник «Пользователи». Распределение пользователей по группам пользователей.

Рисунок 6. Пример настройки группы пользователей «Механики».

Количество групп пользователей может быть любым и отличаться составом групп доступа в каждой из них. Наименования группам пользователей рекомендуется давать таким образом, чтобы было понятно, кто в них входит.

Если группы пользователей не будут использоваться — группы доступа назначаются каждому пользователю в отдельности.

Доступен и «смешанный вариант» — в группу доступа включена группа пользователей и отдельный пользователь (Рис. 7).

Важно! Группа доступа «Базовый профиль» должна быть у всех пользователей.

Рисунок 7. Пример включения пользователей в группу доступа «Механик УРВ»

1.5. Для анализа доступа к объектам в разрезе ролей и профилей групп доступа можно использовать отчет «Отчет по правам доступа».

Отчет располагается в разделе «Администрирование» (Рис. 8):

Рисунок 8. Отчет по правам доступа

2. Порядок формирования прав доступа пользователей в редакции 6.1

Так как поставляемые профили групп доступа и группы доступа покрывают 100% ролей, рекомендуется использовать их при настройке.

Не запрещается создавать свои профили групп доступа и группы доступа, при этом рекомендуется для них в справочниках создать отдельные группы и в наименовании добавлять префикс \ постфикс, чтобы не путать с поставляемыми.

2.1. При использовании групп пользователей:

• Создать группы пользователей и распределить по ним пользователей.
• Для каждой группы пользователей указать группы доступа из числа поставляемых (как в п 2.2).

2.2. При неиспользовании групп пользователей и использовании поставляемых групп доступа:

• Для каждого пользователя указать группы доступа из числа поставляемых.
• Обязательно добавить группу доступа «Базовая группа» (Рис. 9).

Рисунок 9. Пример базового набора поставляемых групп доступа у пользователя

В группу доступа «Базовая» включен профиль «Базовый профиль», в котором описан минимальный набор прав доступа для работы в системе для любого пользователя с ограниченным доступом (Рис. 10).

Рисунок 10. Группа доступа «Базовая»

Поставляемый профиль групп доступа «Базовый профиль» НЕ редактируется и его состав ролей заранее заполнен системой (Рис. 11).

Рисунок 11. Профиль групп доступа «Базовый профиль»

2.3. Если необходимо создать новую группу доступа с индивидуальным набором ролей необходимо выполнить следующие действия:

2.3.1 Создать новый профиль групп доступа, выбрать одну или несколько ролей с необходимым набором ограничений прав доступа (Рис. 12).

Рисунок 12. Создание профиля групп доступа

2.3.2. Создать новую группу доступа, указать профиль из п.1.2.3.1 (Рис. 13):

Рисунок 13. Создание группы доступа

2.3.3. После этого можно перейти к настройке пользователя. Необходимо включить текущего пользователя в группы доступа: «Базовая группа» и в группу, которая была создана в п.1.2.3.2. Итоговый вариант настройки пользователя в его карточке должен иметь набор групп доступа как на Рис. 14.

Рисунок 14. Добавление групп доступа пользователю

2.4. Если требуется ограничить доступ пользователей к документам, в зависимости от реквизитов документа (подразделение, склад и др.), то рекомендуется воспользоваться функционалом RLS (ограничения доступа на уровне записей), для чего дополнительно потребуется:

• В настройках «Вариант работы» установить вариант «Производительный», и флаг «Ограничивать доступ на уровне записей» (Рис. 15):

Рисунок 15. Включение режима ограничения доступа на уровне записей

• В профилях групп доступа и группах доступа настроить ограничения.