В профиле группы доступа мы определяем набор ролей и видов доступа. На основании одного профиля доступа можно создать произвольное количество групп доступа сотрудников. Всем сотрудникам, включенным в группы доступа, будут доступны роли, указанные в списке ролей профиля. В случае, если в профиле указаны виды доступа, то в группах доступа необходимо будет определить к каким значениям этих видов будет открыт (или закрыт) доступ.
Вернемся в группу доступа. Группа доступа в обязательном порядке содержит ссылку на один из профилей доступа. Рассмотрим группу доступа созданную по профилю «Стандартный доступ».
В составе пользователей этой группы доступа указана группа пользователей (из справочника «Группы пользователей») «Все пользователи», таким образом, все пользователи системы документооборота получают весь набор разрешающих ролей, которые указаны в профиле доступа «Стандартный доступ». При настройке прав доступа на реальных предприятиях можно не устанавливать профиль «Стандартные пользователи» всем пользователям предприятия, а создать более детальную настройку по своим группам пользователей.
В форме группы доступа сверху справа мы видим список заданных в профиле видов доступа. Для каждого вида доступа можно указать два варианта разрешения доступа:
- Доступ разрешен только указанным в списке
- Доступ разрешен всем, кроме указанных в списке
Справа внизу формы расположен список конкретных значений доступа, выбираемых из значений соответствующих справочников.
Обратите внимание на то, что мы установили полные запреты на доступ по всем видам документов (список конкретных разрешенных значений пуст), а также по всем организациям, грифам доступа и корпоративным папкам. Доступ к этим объектам мы будем определять в дальнейшем более гибко, не для всех пользователей сразу, а для конкретных пользователей или небольших групп пользователей.
Если пользователь входит в различные группы доступа, то при попытке получить доступ к документам или другим объектам системы будет проанализирован доступ каждой группы и если хотя бы по одной группе пользователь проходит проверку, то доступ к объекту разрешается. Например, пользователь присутствует в трех группах доступа, и если набор ролей и набор значений по видам доступа удовлетворяет составу реквизитов запрашиваемого документа, то пользователь получает доступ. Упрощенная схема проверки доступа приведена на рисунке ниже.
Важно! Внутри каждой группы доступа проверка на предоставление доступа осуществляется по всем видам доступа, если набор значений какого-либо вида доступа не удовлетворяет соответствующему реквизиту документа, то доступ по этой группе не предоставляется. Например, в какой-либо группе доступа указано, что доступ предоставляется к документам всех юридических лиц (вид доступа «Организации») и видам документов «входящий» и «исходящий», а проверяемый документ имеет тип «внутренний», в таком случае доступ к документу предоставлен не будет, хотя проверка по виду доступа «Организации» прошла успешно. Тем не менее, доступ к этому документу может быть предоставлен, если значения видов доступа из другой группы доступа этого пользователя полностью удовлетворит набору реквизитов документа.