Как работают права доступа
Модель доступа к данным
В Timetta доступ пользователя к данным определяется комбинацией нескольких механизмов:
- Ролевая модель, ACL (Access Control List) — права, назначенные пользователю через роли и наборы прав;
- Лицензия (License) — лицензионные ограничения на использование функциональности;
- Назначенные права (Assigned permissions) — права, выдаваемые напрямую пользователю или роли в рамках конкретного объекта;
- Назначение воркфлоу (Workflow Assignment) — назначение пользователю задачи в рамках бизнес-процесса.
Примечание
Отдельно от описанной модели работают права на жизненный цикл сущностей.
Они определяют возможность перехода из одного состояния в другое.
Эти права настраиваются отдельно и не зависят напрямую от ролевой модели, лицензий или назначенных прав.
Уровень базового доступа
Основной уровень доступа пользователя к данным формируется комбинацией Ролевая модель, Лицензия и Назначенные права.
Этот уровень определяет, может ли пользователь:
- видеть сущности в списках, досках и поиске;
- открывать сущности;
- просматривать связанные данные;
- выполнять разрешённые действия.
Формально:
Access = License AND (ACL OR Assigned permissions)
Если у пользователя нет лицензии или соответствующих прав, данные этого типа для него не отображаются.
Ролевая модель
-
В Timetta предусмотрен фиксированный список системных ролей:
ПользовательУправление командойУправление проектамиУправление ресурсамиУправление финансамиУправление клиентамиАдминистратор
-
Каждая системная роль даёт доступ к одной из областей Timetta:
| Роль | Область |
|---|---|
| Пользователь | Моя работа, Аналитика |
| Управление командой | Команда |
| Управление проектами | Проекты |
| Управление ресурсами | Ресурсы |
| Управление финансами | Финансы |
| Управление клиентами | Клиенты |
| Администратор | Настройки |
-
Для каждой системной роли может быть создан один или несколько наборов прав для работы с системой:
-
Каждый набор прав состоит из гранул — минимальных единиц настройки доступа.
Гранулы обычно выделяются для каждой компоненты и действий.
Например: Артефакты, Изменение типа учёта проекта. -
Состав гранул в наборе прав зависит от системной роли, для которой он создан:
-
Большинство гранул разделяются на области — выборки данных, к которым применяются права.
Например: Мои проекты, Все проекты:
-
В наборе прав для каждой гранулы и области задаются доступные действия.
Например: просмотр, редактирование, удаление:
-
Пользователям назначаются настроенные наборы прав.
Это позволяет им выполнять разрешённые действия в соответствующих областях и компонентах.
Назначение прав
Наборы прав можно назначать:
- каждому пользователю индивидуально;
- сразу всей группе пользователей.
Итоговые права пользователя включают все назначенные ему индивидуальные и групповые наборы прав.
Наборы прав назначаются в разрезе системных ролей:
Доступ по назначенной задаче
Отдельно существует механизм доступа по назначенной задаче (Workflow Assignment).
Если пользователю назначено задание воркфлоу, система предоставляет ему доступ к конкретной сущности, связанной с этой задачей.
Этот механизм позволяет пользователю выполнить работу, даже если у него нет полного доступа к типу сущности.
Особенности такого доступа:
- действует только для конкретной сущности;
- не даёт доступа к спискам и поиску по данному типу данных.
Назначенные права (Assigned permissions)
В системе используются назначенные права — права, выдаваемые напрямую пользователю, роли или группе пользователей для конкретного объекта.
Такие права дополняют ACL и позволяют гибко управлять доступом к отдельным сущностям.
Назначенные права применяются в следующих компонентах системы.
| Компонент | Назначенные права |
|---|---|
| Задачи | Исполнитель и инициатор получают полные права. Наблюдатели получают права на чтение. Дополнительно на уровне проекта могут настраиваться права на задачи — они могут назначаться пользователю, роли (например, Команда проекта или Менеджер проекта) или группе пользователей. |
| Контрольные точки проектов | Ответственный и контроллер получают полные права на контрольную точку. |
| Вики | Используется собственная модель назначенных прав: владелец Вики-пространства имеет полные права, для пространства задаётся команда, у отдельных статей есть авторы и со-авторы. |
| Представления | Назначенные права дополняют ACL и позволяют управлять доступом к конкретным представлениям. Права могут назначаться пользователю, роли или группе пользователей. |
| Дашборды (панели показателей) | Права доступа к дашбордам могут назначаться пользователям, ролям и группам пользователей аналогично правам на представления. |
Итоговая логика доступа
Для списков и выборок данных:
License AND (ACL OR Assigned permissions)
Для открытия конкретной сущности:
License AND (ACL OR Assigned permissions OR Workflow Assignment)
Назначенные права могут дополнительно расширять доступ к конкретным объектам.
Примеры применения прав
- Минимальные права для прохождения аутентификации и входа в Timetta — набор прав для роли
Пользователь. Права могут быть назначены явно или через группы. - Чтобы пользователь не видел ничего, кроме области Моя работа, ему нужно назначить набор прав для роли
Пользовательи не назначать других наборов. - Чтобы сотрудник мог редактировать свои проекты и при этом не видел чужие, ему нужно назначить набор прав для роли
Управление проектамис активными правами Редактирование в области Мои проекты для гранулы Проекты. При этом не активировать права для областей Все проекты, Проекты моих клиентов, Проекты моих программ.