Безопасность и разграничение доступа

Для защиты от несанкционированного доступа к информации технологическая платформа поддерживает функции разграничения  доступа, как на уровне пользователей системы, так и на уровне групп пользователей.
Класс пользователя определяется принадлежностью к группе. Можно создавать несколько групп определенного типа (например, две группы привилегированных пользователей).
Группы пользователей могут быть следующих типов

Группа

Описание

Администраторы

Полный доступ ко всем функциям и компонентам ИАС, управление списком пользователей и глобальными настройками системы.

Привилегированные пользователи

Создание и редактирование компонентов ИАС и управление доступом к ним.

Пользователи

Просмотр и редактирование данных в компонентах ИАС

Гости

Просмотр данных в компонентах ИАС

 

Существует четыре типа доступа к компонентам ИАС:

  • Владелец (изменение, запуск, управление доступом к компоненту). Этот тип доступа автоматически присваивается пользователю, создавшему компонент ИАС. Лишить права доступа типа «Владелец» могут только администраторы системы.
  • Полный доступ (изменение, запуск, управление доступом к компоненту)
  • Изменение (разрешение на запуск и редактирование настроек компонента)
  • Просмотр (разрешение только на запуск компонента)

Если пользователь не имеет доступа типа Просмотр к компоненту ИАС, то он не будет видеть его в иерархии элементов.
Кроме того, для пользователя и для группы можно задать стартовый элемент. Если стартовый элемент представляет собой раздел, то пользователь видит только усеченный вариант иерархии элементов ИАС, начинающийся с этого раздела. Если это любой другой элемент ИАС – дерево иерархии элементов не отображается, пользователь может работать только заданным компонентом и компонентами, открывающимися от него.
Доступ к компоненту ИАС определяется двумя факторами: уровнем доступа пользователя и уровнем доступа группы, причем уровень доступ пользователя превалирует над уровнем группы.
Проверка возможности выполнения операции над компонентом строится по следующему сценарию:

  • Проверяется уровень доступа пользователя. Если он позволяет выполнить операцию, то операция разрешается, если нет – переход к пункту 2.
  • Проверяется уровень доступа группы. Если он достаточен – операция разрешается.

Таким образом, задавая различные уровни доступа и стартовые элементы для разных пользователей прикладной системы можно создавать уникальные рабочие места, обладающие необходимым набором функций.