Правила и привилегии

Правила

Форма доступа

Доступ к объекту — разделу, каталогу, виду или записи — задаётся через форму доступа. Каждое правило состоит из двух частей: субъект (сотрудник или правовая группа) и привилегия (что этому субъекту разрешено делать).

Наследуемые правила

Правила, выделенные серым цветом — наследуемые. Они приходят от родительского объекта: раздела или каталога. Наследуемые правила нельзя удалить — только просмотреть. Иконка справа от правила подсказывает от какого объекта оно унаследовано.

Комбинация правил для сотрудника

Когда сотрудник обращается к записи, Бипиум собирает все подходящие для него правила — от раздела, каталога, всех видов и самой записи. Если подходит несколько правил — применяется правило с наивысшей привилегией. Подходящими считаются правила, назначенные на этого сотрудника или на правовую группу, в которую он входит. Каждый сотрудник автоматически входит в группу «Все сотрудники».

Подробнее об алгоритме объединения правил читайте в статье Комбинация прав.

Привилегии

Привилегия определяет что сотрудник может делать с данными объекта. Привилегии выстроены по приоритету — каждая следующая включает возможности всех предыдущих.

Приоритеты привилегий

Привилегии выстроены в цепочку по старшинству:

Видеть все записи < Изменять все записи < Создавать записи < Экспортировать < Удалять записи < Назначать права < Администрировать

Каждая последующая привилегия включает возможности всех предыдущих. Например, привилегия «Удалять записи» автоматически даёт право видеть, изменять, создавать и экспортировать. Это значит что не нужно назначать несколько привилегий — достаточно назначить одну наивысшую.

Принадлежность привилегий

Привилегии «Видеть», «Изменять», «Удалять», «Назначать права», «Экспортировать», назначенные на раздел, каталог или вид, действуют не на сам объект, а на все записи внутри него. Назначенные на запись — действуют на эту конкретную запись.

Создавать. Назначается на раздел, каталог или вид. Если назначена на вид — сотрудник сможет создавать записи в каталоге, даже если созданная запись не попадёт в этот вид.

Назначать права. Назначенная на каталог даёт право менять права на каталог, все виды и все записи внутри него. Также позволяет создавать, изменять и удалять правовые виды. Но не позволяет изменять правила с привилегией «Администрировать» для других сотрудников — Бипиум это заблокирует.

Администрировать. Назначается только на раздел или каталог. Дает право переименовывать, сортировать, создавать каталоги и менять их структуру. При наследовании на записи передаётся как «Назначать права».

Наследование привилегий

Привилегии наследуются сверху вниз по иерархии: раздел → каталог → записи. Также на записи наследуются привилегии от всех правовых видов, в которые эта запись попадает.

Например, если на раздел назначено «Видеть все записи» — сотрудник увидит все записи во всех каталогах этого раздела. Если на раздел назначено «Администрировать» — на каталоги и записи это наследуется как «Назначать права» (наивысшая разрешающая привилегия для записей).

В форме доступа наследуемые правила выделены серым цветом — их нельзя удалить.

Комбинация правил для сотрудника

Если на сотрудника одновременно действует несколько правил — Бипиум выбирает наивысшую привилегию из всех подходящих. Правила могут прийти от разных источников: напрямую на сотрудника, через правовые группы, через наследование от раздела или каталога.

Привилегия «доступ к разрешенным»

Специальная служебная привилегия, которую Бипиум показывает автоматически на каталоге или разделе. Она означает что у части записей этого каталога есть отдельные правила — на видах или самих записях. Бипиум отображает её чтобы показать полный список сотрудников, которые смогут увидеть каталог в меню.

Правила с этой привилегией можно повысить, но нельзя удалить. Чтобы убрать доступ сотрудника к разрешенным записям — удалите правила на конкретных видах или записях.