Комбинация прав

Общий принцип комбинации прав

В основе объединения правил лежит принцип приоритета привилегий.

Приоритет привилегий

Привилегии в списке выстроены по приоритетам. Каждая последующая включает возможности всех предыдущих. Например, привилегия «Удалять записи» разрешает видеть, изменять и удалять все записи, а также создавать новые.

Исключение — запрещающая привилегия «Запретить доступ». Она не дает никаких прав, запрещает даже видеть, при этом имеет самый высокий приоритет.

Вывод: если для сотрудника есть разрешающее правило на запись и на неё же запрещающее «Запретить доступ», то сотрудник не увидит запись.

Приоритет иерархии

Разделы содержат каталоги, каталоги имеют виды и содержат записи. Правила могут быть назначены на раздел, каталог, вид или отдельные записи. Эти правила равнозначны и не имеют приоритета в зависимости от вложенности данных. Приоритет определяется привилегиями.

Вывод: если для сотрудника на раздел назначена привилегия «Изменять все записи», а на каталог — «Видеть все записи», то сотрудник сможет изменять записи.

Приоритет правовых групп

Правила могут быть назначены на сотрудника или правовую группу. Все эти правила равнозначны и имеют одинаковый вес. Приоритет определяется привилегиями.

Вывод: если для правовой группы «Все сотрудники» назначено правило «Изменять все записи», а для сотрудника только «Видеть все записи», сотрудник сможет изменять записи.

Приоритет очередности правил

Правила в окне назначения доступа приведены списком. Приоритет правил не зависит от очерёдности правил. Приоритет определяется привилегиями.

Приоритет прав на поля

Право редактировать поле старше запрета редактировать поле. Право редактировать всю запись без исключения по полям старше права с исключениями. Подробнее в стать «Права на поля».

Вывод: если права на каталог запрещают редактировать поле, а на вид разрешает, то сотрудник сможет менять значение поля. И наоборот, если каталог разрешает, а вид запрещает, сотрудник все равно сможет изменять значение поля.


Право на записи каталога

Алгоритм построения списка доступных записей каталога отличается, когда есть разрешающие правила на каталог (или раздел) и когда их нет.

Когда есть правила на каталог или раздел

Если для сотрудника есть подходящее правило на каталог или раздел с привилегией «Видеть все записи» или выше, то он получит доступ на все записи каталога. Исключение составляют записи с привилегией «Запретить доступ» или попадающие под условия запрещающих правовых видов с привилегией «Запретить доступ».

Результат = Все записи каталога - Запрещенные правовые виды - Запрещенные записи

Когда нет правил на каталог и раздел

Если для сотрудника нет подходящих правил ни на каталог, ни на раздел, то он увидит лишь записи попадающие под разрешающие правовые виды или с индивидуальными разрешающими правами. При этом будут также скрыты записи с привилегией «Запретить доступ» или попадающие под условия запрещающих правовых видов с привилегией «Запретить доступ».

Результат = Разрешенные виды + Разрешенные записи - Запрещенные виды - Запрещенные записи

Право на записи вида

Алгоритм построения списка записей правового вида не зависит от прав на каталог и раздел.

Если для сотрудника есть подходящее правило на правовой вид, то записи этого вида будут доступны сотруднику. При этом из списка будут также записи с привилегией «Запретить доступ» или попадающие под условия других запрещающих правовых видов с привилегией «Запретить доступ».

Результат = Записи выбранного вида - Запрещенные правовые виды - Запрещенные записи

Право на запись

Доступ разрешен

Доступ сотруднику к записи будет разрешен, если есть подходящее разрешающее правило на раздел, каталог или саму запись. А также, если запись попадает в один из разрешающих правовых видов для этого сотрудника.

Доступ запрещен

Запись не будет доступна сотруднику, если есть подходящее запрещающее правило «Запретить доступ» на раздел, каталог или саму запись. А также, если запись попадает в один из запрещающих правовых видов для этого сотрудника.

Запись будет также недоступна, если нет ни одного подходящего правила.


results matching ""

    No results matching ""