1. Řízení přístupových oprávnění

    RoleSecurity
    Článek: AN0001557Aktualizováno:: 19.09.2019

    Tato kapitola popisuje řízení oprávnění pomocí uživatelských rolí vytvořených v ObjectGears Administrátorem. Základní vestavěné role ObjectGears (typy rolí) jsou popsány zde.

    V ObjectGears jsou přístupová oprávnění řízena prostřednictvím rolí, které jsou přiřazeny jednotlivým uživatelům. Uživatel může mít více rolí. Nové role vytváří Administrátor a určuje, ve kterých modelech mohou být použity. V instanci ObjectGears jsou již při instalaci dostupné následující systémové role:

    Kód Název Popis
    authenticated_users Všichni autentizovaní uživatelé Role je automaticky přiřazena všem přihlášeným uživatelům.
    unauthenticated_users Všichni nepřihlášení uživatelé Role je automaticky přiřazena všem nepřihlášeným uživatelům.
    all_users Všichni uživatelé Role je automaticky přiřazena všem uživatelům.
    og_report Tvorba reportů Role umožňuje vytvářet a měnit uživatelské reporty.

    Uživatel je do role přiřazen buď v aplikaci nebo je přiřazení dáno členstvím ve skupině MS Active Directory. Ve druhém případě musí být splněno toto:

    1. Parametr AssingRoleToUser v souboru web.config je nastaven na False.
    2. U rolí ObjectGears je nastaven atribut Název v systému na jméno skupiny AD ve formátu jméno_domény\jméno_skupiny.
    3. Uživatel je členem dané skupiny MS AD.

    Role může být použita pro přístup na více objektů ObjectGears (jednotlivé třídy, dotazy) či být spojena s dalšími oprávněními v aplikaci. Na každý objekt může mít určitá role libovolnou kombinaci dostupných přístupových oprávnění, např. v případě tříd to jsou:

    1. Čtení dat
    2. Vkládání dat
    3. Změna dat (vyžaduje roli Čtení dat)
    4. Mazání dat
    5. Hromadná změna dat (vyžaduje roli Čtení dat)
    6. Hromadné smazání dat

    Platí, že oprávnění se sčítají. Pokud je tedy uživatel členem dvou rolí, z nichž jedna mu umožňuje na dané třídě Číst a Vkládat data a druhá Číst, Měnit a Mazat data, může data Číst, Vkládat, Měnit i Mazat.

    V případě tříd je možné práva řídit až na jednotlivé záznamy. Uživatel pak vidí nebo provádí jiné operace pouze se záznamy odpovídajícími jeho pozici v dané organizační struktuře. Na každé třídě lze libovolně kombinovat práva bez vlivu organizační struktury nebo podle různých orgaizačních struktur. Toto představuje velkou flexibilitu v řízení přístupových práv v jednom modelu/aplikaci ObjectGears.

    Oprávnění je možné ve třídách řídit i na úrovni jednotlivých sloupců záznamu.

    Přístup na jednotlivé funkce aplikace je řízen dvojím způsobem:

    • Funkci je nutné explicitně na objektu (třídě, workflow atd.) povolit
    • Uživatel musí mít příslušnou roli, která je k funkci přiřazena

    Příklad: Data ve třídě je možné upravovat, jen pokud je to na třídě povoleno. Také musí být na třídě k aktualizaci přiřazena role a tu musí uživatel mít přiřazenu. Bez splnění těchto dvou podmínek uživatel nemůže záznamy třídy aktualizovat.

    Omezení přidělení rolí

    Uživatel si pro některé případy může přidělené role odebrat, čímž si sníží rozsah oprávnění. Toho lze docílit kliknutím na obrazovce na své jméno vpravo nahoře a v kontextovém menu vybrat Uživatel info. Na zobrazené stránce je v sekci Seznam přidělených rolí možné některé z přidělených rolí odškrtnout. Po uložení změn se uživateli pro atuální přihlášení (session) role odeberou.

    Role neaktivované při přihlášení

    Ve chvíli přihlášení nemá uživatel aktivované role, u který Administrátor nezaškrtl volbu Ihned přiřadit uživateli. Pokud chce uživatel takovou roli použít, musí si ji po každém přihlášení aktivovat. Toto opět provede v sekci Seznam přidělených oprávnění v kontextovém menu vybrat Uživatel info. Toto nastavení je vhodné u silných rolí, u kterých by uživatel měl explicitně určit, že s nimi chce pracovat.

    Omezení přístupu jen pro některé uživatele

    V určitých případech je třeba omezit přístup do aplikace jen na některé uživatele - např. pouze administrátoři (nastavení Povolit přístup jen administrátorům) nebo pouze vyjmenovaní uživatelé (nastavení Povolit přístup uživatelům). Toto nastavení se provádí v menu Správa - Systém - Informace o aplikaci.

    Omezení je vhodné použít např. v těchto případech:

    • Došlo k chybě a je třeba zakázat uživatelům přístup
    • Provedli jste obnovu ze zálohy a před povolením přístupu uživatelům potřebujete provést určité úpravy

    Spolu se zákazem můžete povolit přístup jen určitým uživatelům, kteří jsou schopni provést opravy v datech před plným spuštěním.

    Zakázání přístupu uživatelům souvisí s funkcí zakázání integračních objektů. Obě zajistí ochranu dat ve zvláštních případech.

    V tomto článku
    ×