Комбинация прав

Общий принцип комбинации прав

В основе объединения правил лежит принцип приоритета привилегий.

Приоритет привилегий

Видеть < Изменять < ... < Администрировать

Привилегии в списке выстроены по приоритетам. Каждая последующая включает возможности всех предыдущих. Например, привилегия «Удалять записи» разрешает видеть, изменять и удалять все записи, а также создавать новые.

Вывод: если для сотрудника есть правило «видеть все записи» и одновременно действует другое правило «изменять все записи», то сотрудник сможет изменять записи.

Приоритет иерархии

Раздел < Каталог < Вид < Запись

Правила могут быть назначены на раздел, каталог, вид или отдельные записи. Правила для одного и того же субъекта объединяются по приоритету вложенности. То есть правило на запись перезатирает правила на виды. Правила на виды перезатирают правило на каталог. Правило на каталог затирают правило на раздел.

Если для сотрудника походят правила нескольких субъектов, то их правила не перезатирают друг друга. Такие правила объединяются по приоритету привилегий — сотрудник получить максимальную из привилегий для подходящих субъектов.

Вывод: если для сотрудника на раздел назначена привилегия «Изменять все записи», а на каталог — «Видеть все записи», то сотрудник сможет видеть записи.

Приоритет правовых групп

Правила могут быть назначены на сотрудника или правовую группу. Все эти правила равнозначны и имеют одинаковый вес. Приоритет определяется привилегиями и иерархией вложенности.

Вывод: если для правовой группы «Все сотрудники» назначено правило «Изменять все записи», а для сотрудника только «Видеть все записи», сотрудник сможет изменять записи.

Приоритет очередности правил

Правила в окне назначения доступа приведены списком. Приоритет правил не зависит от очерёдности правил. Приоритет определяется привилегиями и иерархией вложенности.

Приоритет прав на поля

Право редактировать поле старше запрета редактировать поле. Право редактировать всю запись без исключения по полям старше права с исключениями. Подробнее в стать «Права на поля».

Однако, действует приоритет иерархии. Это значит, что если для одного субъекта есть разные права на редактирование поля на каталоге и на виде, то право на редактирование конкурентного поля будет применено от правила вида.

Вывод: если права на каталог запрещают редактировать поле, а на вид разрешает, то сотрудник сможет менять значение поля.


Право на все записи каталога

Алгоритм построения списка доступных записей каталога отличается, когда есть разрешающие правила на каталог (или раздел) и когда их нет.

Когда есть правила на каталог или раздел

Если для сотрудника есть подходящее правило на каталог или раздел с привилегией «Видеть все записи» или выше, то он получит доступ на все записи каталога. Исключение составляют записи с привилегией «Нет доступа» или попадающие под условия запрещающих правовых видов с привилегией «Нет доступа».

Результат = Все записи каталога - Запрещенные правовые виды - Запрещенные записи

Когда есть правила на вид, но нет на каталог и раздел

Если для сотрудника нет подходящих правил ни на каталог, ни на раздел, то он увидит лишь записи попадающие под разрешающие правовые виды или с индивидуальными разрешающими правами на записи. При этом будут также скрыты записи с привилегией «Нет доступа» или попадающие под условия запрещающих правовых видов с привилегией «Нет доступа».

Результат = Разрешенные виды + Разрешенные записи - Запрещенные виды - Запрещенные записи

Когда есть правила на вид и раздел, но нет на каталог

Если для сотрудника нет подходящих правил на каталог, но есть на раздел и вид, то правила на вид перезатрут правило на раздел. Сотрудник не увидит все записи каталога, но увидит записи попадающие под разрешающие правовые виды или с индивидуальными разрешающими правами на записи. При этом будут также скрыты записи с привилегией «Нет доступа» или попадающие под условия запрещающих правовых видов с привилегией «Нет доступа».

Результат = Разрешенные виды + Разрешенные записи - Запрещенные виды - Запрещенные записи

Право на записи вида

Алгоритм построения списка записей правового вида не зависит от прав на каталог и раздел.

Если для сотрудника есть подходящее правило на правовой вид, то записи этого вида будут доступны сотруднику. При этом из списка будут также записи с привилегией «Нет доступа» или попадающие под условия других запрещающих правовых видов с привилегией «Нет доступа».

Результат = Записи выбранного вида - Запрещенные правовые виды - Запрещенные записи

Право на запись

Доступ разрешен

Запись будет доступна сотруднику, если есть подходящее разрешающее правило на раздел, каталог, вид (в который попадает запись) или саму запись.

Доступ запрещен

Запись не будет доступна сотруднику, если есть нет ни одного подходящего разрешающего правила.


results matching ""

    No results matching ""