Путь: Приложение “Администратор”/Разделы данных/Права и роли/Классическое приложение

Пользователи работают в Системе в строгом соответствии с правами доступа, определяемыми их ролями. Роль пользователя и профили разграничения настраиваются администратором Системы в приложении Администратор, вызываемом из главного меню комплекса.

Для разграничения прав используется технология разделения прав на уровне записи таблицы — Row Level Security (RLS). Права на операции (просмотр, редактирование) с конкретной таблицей данных определяются ролью пользователя. Для каждого пользователя могут быть определены несколько ролей (комбинированная роль).

В рамках одной роли права различных пользователей могут быть разграничены. Каждому пользователю устанавливается область ответственности, т.е. подразделы данных (о типоразмерах СИ, экземплярах СИ, драгметаллах и пр.), доступные ему на чтение или на редактирование в соответствии c его ролью. Области ответственности различных пользователей могут пересекаться.

Разграничение прав для пользователя устанавливается путем задания условий, т.е. определяется подмножества главных таблиц, доступные пользователю на просмотр и редактирование.

Рассмотрим настройку прав и ролей пользователей АСУ МС на примере роли “Инженер-метролог”.

Инженер-метролог – роль, которой доступны на чтение без разграничения все разделы данных, кроме раздела Экземпляры СИ, для которого права на чтение могут быть разграничены. Права на запись предусмотрены в разделах: Типоразмеры СИ, Группы СИ, Нормативные документы (только данные в подразделе Типы СИ), Экземпляры СИ. Права на запись в этих разделах разграничиваются. Запись полностью запрещена в разделах Справочники АСУ МС, Персоны, Клейма в виде наклеек.

Назначить пользователю АСУ МС роль инженера-метролога можно двумя способами:

1.     Через SQL Server Management Studio с помощью запроса:

insert into prmusers (roleids, USERNAME) values (128, 'CORP\NAME')

где 'CORP\NAME' следует заменить на данные своей компании

CORP - доменное имя организации,

NAME - учетная запись пользователя

Код «128» соответствует роли «Инженер-метролог». Коды других ролей отображены ниже

ВНИМАНИЕ! Данным способом назначить роль пользователю может только администратор SQL сервера.

2.     Через приложение “Администратор”/“Права и роли”/“Классическое приложение”. В левой части окна выбрать необходимого пользователя, далее отметить галочкой роль “Инженер-метролог”.

ВНИМАНИЕ! Данным способом назначить роль пользователю можно только от учетной записи с ролью «Администратор АСУ МС».

Ознакомиться с правами, предусмотренными в базе данных по умолчанию для каждой роли, можно по кнопке [Таблица прав доступа для ролей]. В ней представлены максимальные права для каждой роли.

   Для каждой роли дополнительно можно установить поля-разграничители на чтение/запись на отдельные подразделы базы данных в Профиле разграничений для роли.

Профиль разграничений позволяет настроить права для роли в целом (Поверитель, Инженер-метролог, Ремонтник и т.д.). По умолчанию в программе установлены разграничители на все доступные для разграничения роли подразделы базы данных. Чтобы изменить права на доступ к тому или иному разделу, администратору необходимо перейти в Профиль разграничений, одни щелчком мыши выбрать нужную роль и далее справа установить галочки в разделах, к которым выбранная роль будет иметь ограниченный доступ. Если снять все галочки для всех ролей, то права на доступ у пользователей будут в соответствии с таблицей прав доступа для ролей (Приложение 1 к Руководству пользователя).

Например, для роли инженер-метролог можно для всех пользователей данной роли настроить доступ на чтение/запись в соответствии с таблицей прав доступа для ролей (то есть предопределенные по умолчанию). Для этого надо войти в профиль разграничений воспользовавшись одноименной кнопкой, выбрать в левой части профиля роль "Инженер-метролог", перейти в правую часть окна и кликом правой кнопки мыши в любом месте вызвать контекстное меню, где выбрать пункт Очистить все. Затем нажать на кнопку [Применить]. Эту операцию надо проделать поочередно во всех подразделах, представленных в правой части.

В профиле разграничений можно дополнительно ограничить роль в правах на чтение/запись, указав поля ограничители для подразделов базы данных для данной роли.

Для этого надо войти в профиль разграничений, воспользовавшись одноименной кнопкой. В левой части окна выбрать роль, а в правой части следует указать для нее подразделы, на которые будут наложены разграничения на чтение/запись. Выбрать можно только из тех подразделов, которые доступны для данной роли (показаны в правой части окна). Значения, не подлежащие редактированию для выбранной роли "притушены" и подлежат чтению и/или редактированию по умолчанию.

Например, в левой части выбираем роль Инженер-метролог, а в правой части выбираем разграничения по местам установки в разделе Экземпляры СИ и нажимаем кнопку применить. Это означает, что всем пользователям с этой ролью мы будем разрешать чтение/запись в паспортах СИ в разделе данных Экземпляры СИ в соответствии таблицей прав доступа для роли инженер-метролог, но установленных на определенных местах установки. При этом во всех остальных разделах мы снимаем все разграничения (убираем все "галочки") в профиле разграничений.

ВНИМАНИЕ! Профиль разграничений настраивается для роли в целом. Для каждого пользователя конкретные значения настраиваются в разделе Разграничения. Разграничения для каждого пользователя должны быть по всем разделам, указанным в профиле разграничений.

После этого в окне ролей в левой части выбираем конкретного пользователя, затем в правой части указываем для него роль и нажимаем кнопку [Применить].

После нажатия на кнопку [Применить] можно перейти к выбору конкретных значений разграничений для этого пользователя с ролью Инженер-метролог в соответствии с установленным в профиле разграничением (по месту установки).

Нажимаем кнопку [Разграничение прав пользователя].

В окне "Разграничение ..." необходимо в левой части окна выбрать в разделе Экземпляры подраздел Места установки, поскольку в профиле разграничений именно этот подраздел является разграничителем. Затем в правой части выбрать те места установки, которые будут доступны пользователю для чтения/записи. Нашему пользователю на чтение будут доступны все паспорта СИ, а на редактирование только те, которые установлены в 456 отделе.

Если при переходе в “Профиль разграничений для роли” возникает ошибка “У Вас нет прав для изменения ролей” как изображено ниже, обратитесь к Администратору АСУ МС.