Когда на сотрудника действует несколько правил одновременно — Бипиум объединяет их по определённым принципам. Понимание этих принципов помогает предсказуемо настраивать доступ.
Принципы комбинации
Приоритет привилегий
Привилегии выстроены по старшинству:
Видеть < Изменять < ... < Администрировать
Если для сотрудника одновременно действуют два правила с разными привилегиями — применяется наивысшая.
Если сотруднику назначено «Видеть все записи» и одновременно «Изменять все записи» — он сможет изменять записи.
Приоритет иерархии
Правила одного субъекта объединяются по уровню вложенности объекта:
Раздел < Каталог < Вид < Запись
Правило на более глубокий объект перекрывает правило на родительский — для одного и того же субъекта. Правила разных субъектов (разных правовых групп) не перекрывают друг друга — берётся наивысшая привилегия.
Если на раздел назначено «Изменять все записи», а на каталог — «Видеть все записи» для того же сотрудника, он сможет только видеть записи в этом каталоге.
Приоритет правовых групп
Правила на сотрудника и на правовые группы равнозначны. Если сотрудник входит в несколько групп с разными привилегиями — берётся наивысшая.
Если группе «Все сотрудники» назначено «Изменять все записи», а конкретному сотруднику — «Видеть все записи», сотрудник сможет изменять записи.
Приоритет очередности правил
Правила в окне назначения доступа приведены списком. Приоритет правил не зависит от очерёдности правил. Приоритет определяется привилегиями и иерархией вложенности.
Приоритет прав на поля
Право редактировать поле старше запрета редактировать поле. Действует приоритет иерархии — если на каталоге запрещено редактировать поле, а на виде разрешено, сотрудник сможет менять поле в записях этого вида. Подробнее в статье Права на поля.
Если права на каталог запрещают редактировать поле, а на вид разрешает, то сотрудник сможет менять значение поля.
Как строится список доступных записей
Алгоритм построения списка доступных записей каталога отличается, когда есть разрешающие правила на каталог (или раздел) и когда их нет.
Есть правила на каталог или раздел
Сотрудник видит все записи каталога. Исключение — записи с привилегией «Нет доступа» или попадающие в запрещающие правовые виды.
Есть правила на вид, но нет на каталог и раздел
Сотрудник видит только записи из разрешающих видов или с индивидуальными правами на запись.
Есть правила на вид и раздел, но нет на каталог
Сложный случай. Правила вида перекрывают наследуемые правила раздела для записей, попадающих в этот вид. Для остальных записей применяются наследуемые правила раздела.
Правила на записи вида
Алгоритм построения списка записей правового вида не зависит от прав на каталог и отдел.
Если для сотрудника есть подходящее правило на правовой вид, то записи этого вида будут доступны сотруднику. При этом из списка будут также записи с привилегией «Нет доступа» или попадающие под условия других запрещающих правовых видов с привилегией «Нет доступа».
Право на запись
Доступ разрешен
Запись будет доступна сотруднику, если есть подходящее разрешающее правило на отдел, каталог, вид (в который попадает запись) или саму запись.
Доступ запрещен
Запись не будет доступна сотруднику, если нет ни одного подходящего разрешающего правила.
Примеры настройки
Полный доступ ко всем записям
Сотрудник видит и может изменять все записи, создавать новые, удалять и назначать права.
Когда использовать:
В небольших компаниях или отделах, где все сотрудники видят всё
Руководитель подразделения
Пример использования:
Изменять имеющиеся без права создавать новые
Сотрудник видит и может изменять уже созданные записи, но не может создавать новые.
Пример использования:
В каталогах, куда данные попадают автоматически. Например, заявки с сайта.
Данные регистрирует выделенный сотрудник, остальные только редактируют
Как настроить:
Видеть только те, где я ответственный
Сотрудник видит записи, где он назначен как ответственный. Для этого создан правовой вид с фильтром по полю типа сотрудник и значением [Сотрудники.Я].
Пример использования:
История своих звонков, когда данные о звонках вносятся автоматически
Список персональных распоряжений и указов
Как настроить:
Видеть и изменять только те, где я ответственный
Сотрудник видит и может изменять записи, где он назначен как ответственный. Для этого создан правовой вид с фильтром по полю типа сотрудник и значением [Сотрудники.Я].
Пример использования:
Отдел продаж, где сотрудники работают независимо по назначенной им базе
Отдел поддержки, где заявки распределяются между сотрудниками
Список делегированных задач
Как настроить:
Видеть все, а изменять только те, где я ответственный
Сотрудник видит все записи каталога, а те, где он назначен как ответственный — может изменять. Для этого создан правовой вид с фильтром по полю типа сотрудник и значением [Сотрудники.Я].
Пример использования:
Отдел продаж, где все видят общую базу, но работают по распределенным на них заказам
Как настроить:
Видеть и изменять только те, где я ответственный + создавать новые
Сотрудник видит и может изменять записи, где он назначен как ответственный. Для этого создан правовой вид с фильтром по полю типа сотрудник и значением [Сотрудники.Я].
Пример использования:
Отдел продаж, где каждый работает со своим списком клиентов, которых вносит сам
Распределение базы клиентов по городам или филиалам
Как настроить:
Полный доступ к каталогу
Сотрудник может изменять структуру каталога, раздавать права, создавать правовые виды.
Пример использования:
Администратор компании
Руководитель, управляющий настройкой своего раздела
Как настроить:
Скрытие каталога в меню
Скрытие каталога от сотрудника без потери доступа к данным при условии, что права описаны ниже по иерархии. Каталог визуально скрывается, но сотрудник может использовать данные в каталоге. Возможно скрыть только связанные между собой каталоги.
Пример использования:
Отдел продаж, где каждый работает с разными списками данных
