Группы доступа
==================

.. _groups:

 .. image:: _static/groups/groups.png
       :width: 700
       :align: center

В поставке Citeck представлены следующие группы:

.. list-table::
      :widths: 10 20 
      :header-rows: 1
      :class: tight-table 
      
      * - Наименование группы
        - Описание
      * - **ECOS_ADMINISTRATORS**
        - Пользователи, включенные в группу, являются администраторами системы.
      * - **EVERYONE**
        - Группа, в которую входят все пользователи системы. Для настройки прав для всех пользователей системы.
      * - **_orgstruct_home_**
        - Системная группа для формирования оргструктуры.
      * - **USERS_PROFILE_ADMIN**
        - Пользователи, включенные в группу, могут редактировать профили других пользователей за исключением профилей администраторов системы.
      * - **AUTHORITY_GROUPS_MANAGERS**
        - Пользователи, включенные в группу, могут управлять содержимым групп, которые указаны в группе MANAGED_AUTHORITY_GROUPS.
      * - **MANAGED_AUTHORITY_GROUPS**
        - Группы, которые будут доступны для редактирования пользователям группы AUTHORITY_GROUPS_MANAGERS.
      * - 

          * **bp-administrator** 
          * **bp-manager**
          * **bp-developer**
          * **bp-viewer**

        - Группы, в которых предуставновлены :ref:`права на описание бизнес-процессов<ecos_bpmn>`
      * - **EXTERNAL_USERS**
        - Группа для :ref:`внешних пользователей<external_users>`
      * - **UNIFIED_PRIVATE_GROUP**
        - :ref:`Единая приватная группа<UNIFIED_PRIVATE_GROUP>` 


В :ref:`модулях Citeck<ecos_modules>` так же преднастроены группы. Информация о группах представлена в описании каждого модуля.

Внешние пользователи
---------------------

.. _external_users:

**Внешние пользователи** - пользователи, которые добавлены в систему для корректной работы системных функций (уведомления, отображение авторства), но при этом не могут войти в систему.

Такие пользователи могут взаимодействовать с системой посредством email переписки или через внешний портал.

Для внешних пользователей создана специальная системная группа **EXTERNAL_USERS**. Все, кто туда попадает, прямо или косвенно считаются внешними пользователями.

Логика связанная с внешними пользователями:

  1. При упоминании пользователя в комментарии уведомление об этом на email приходит только внутренним пользователям (не внешним). 
  2. При отправке email'а с ссылкой на документ можно настроить хост внешнего портала, на который внешний пользователь уже имеет право зайти.

URL внешнего портала
~~~~~~~~~~~~~~~~~~~~~~

Для настройки URL внешнего портала для внешних пользователей необходимо зайти в журнал **"Группы" (Рабочее пространство "Раздел администратора" - Модель)** и найти группу **EXTERNAL_USERS** или группу, которая туда входит.

Напротив группы нажать действие с шестеренкой:

 .. image:: _static/groups/ext_01.png
       :width: 700
       :align: center

Во всплывающем окне настроить URL внешнего портала:

 .. image:: _static/groups/ext_02.png
       :width: 400
       :align: center

После этого письма внешним пользователям, в шаблонах которых используется:

.. code-block::

  link.getRecordLink(docRef) и meta.getWebUrl()

будут возвращать URL, который настроен для группы внешних пользователей. 

При этом если письмо отправляется на несколько получателей, часть из которых являются внешними пользователями, а часть нет, то уведомление внутри ECOS разделяется на несколько реальных уведомлений по количеству уникальных URL'лов. 

При этом если в уведомлении заполнены поля cc или bcc, то разделения не происходит и логика с URL внешнего портала не работает. 

Иерерахия настройки URL внешнего портала
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
При вычислении URL внешнего портала используется следующая логика - URL может быть настроен для любой группы внутри **EXTERNAL_USERS** с любым уровнем вложенности и приоритетнее та настройка, которая находится глубже по иерархии.

Т.е. если пользователь входит в группы **EXTERNAL_USERS -> GROUP_0** и **EXTERNAL_USERS -> GROUP_1 -> GROUP_2**, и у каждой из групп есть настройка *extPortalUrl*, то приоритетнее будет настройка у **GROUP_2**. 

Разграничение пользователей различных заказчиков
-------------------------------------------------

.. _UNIFIED_PRIVATE_GROUP:

Функционал разграничения реализован через новый флаг у групп - **Приватная группа (privateGroup)** и новую группу **UNIFIED_PRIVATE_GROUP** (Единая приватная группа).

 .. image:: _static/groups/private.png
       :width: 600
       :align: center

Если этот флаг выставлен, то:

  1. Администратор и система видят всех пользователей и все группы вне зависимости от флага.
    
  2. Пользователи из группы **UNIFIED_PRIVATE_GROUP** видят всех пользователей в системе, и все пользователи из приватных групп видят тех, кто добавлен в **UNIFIED_PRIVATE_GROUP**.

  3. Пользователи не состоящие ни в одной приватной группе видят неприватные группы и пользователей, которые не входят ни в одну приватную группу.

  4. Пользователи, которые входят в приватные группы видят только пользователей из этих же групп и пользователей из группы **UNIFIED_PRIVATE_GROUP**.

Для модуля «Service Desk» можно создавать по **приватной группе** для каждого заказчика, а специалистов тех поддержки добавить в **UNIFIED_PRIVATE_GROUP**.