Управление правами в DMN разделе

В Citeck предусмотрена гибкая система управления правами доступа к разделам и решениям DMN. Права настраиваются на уровне разделов и наследуются вложенными решениями, что позволяет разграничить доступ для разных групп пользователей — от системных администраторов до разработчиков бизнес-процессов.

В данной статье описано, как настраивать права на разделы DMN, какие права доступны, а также как распределяется наследование прав по дереву разделов.

Настройка прав

Примечание

Настраивать права для разделов могут только системные администраторы (пользователи из группы ECOS_ADMINISTRATORS).

Права можно настраивать для каждого раздела отдельно. Для этого необходимо открыть страницу раздела DMN:

https://{host}/admin?type=DMN

И напротив нужного раздела нажать кнопку действий и выбрать «Редактировать права»:

../../../_images/permissions_11.png

Выводится окно настройки:

../../../_images/permissions_21.png

В открывшемся окне можно настроить права для групп и пользователей, включить или выключить наследование следующих прав:

../../../_images/permissions_31.png

Права на типы

При создании и редактировании процессов часто требуется вносить изменения в конфигурацию типов. Чтобы разрешить редактирование и создание для пользователей без прав системного администратора, следует настроить права на родительских типах, как описано в статье Настройка прав для описания типов.

Пример вариантов настроек:

  1. Настроить права на тип «base» и дать пользователям доступ на создание и редактирование любых типов.

  2. Настроить права на тип «user-base» и дать пользователям доступ на создание и редактирование только бизнес-типов.

  3. Создать отдельный прокси-тип, унаследованный от одного из стандартных (case/data-list/document/doclib-file и т.д.) и выдать права только на него.

Общие правила распределения прав по разделам

Все разделы принадлежат к дереву с одним корнем — корневым разделом. Права наследуются от родителя к дочерним разделам и от разделов к вложенным решениям DMN.

Если при настройке прав у раздела убрать флаг «Наследовать права», то права не будут наследоваться.

Права на дочерних сущностях плюсуются к правам родительских, если включено наследование прав.

Корневой раздел

Корневой раздел имеет идентификатор ROOT и служит для настройки прав по умолчанию для всех остальных разделов.

Корневой раздел виден только администраторам системы (пользователям в группе ECOS_ADMINISTRATORS).

В корневом разделе нельзя создавать подразделы через действия напротив этого раздела. Для создания новых разделов в корне следует использовать кнопку «+» над всеми разделами:

Права по умолчанию для корневого раздела DMN

Группа

Права

bp-administrator
read
write
dmn-def-deploy
dmn-instance-edit
dmn-section-create-dmn-def
dmn-section-edit-dmn-def

bp-developer
read
bpmn-process-def-deploy

Описание DMN прав

Идентификатор

Название

Описание

read

Право на чтение (read)

Будет ли виден пользователю раздел и все решения DMN в нём.

write

Право на изменение (write)

Можно ли редактировать раздел и все решения DMN в нём.

dmn-def-deploy

Деплой

Можно ли публиковать описание DMN в движок.

dmn-instance-edit

Редактирование экземпляра

Можно ли редактировать экземпляр DMN.

dmn-section-create-dmn-def

Создание DMN в разделе

Можно ли создавать DMN в разделе.

dmn-section-create-subsection

Создание подразделов

Можно ли создавать подразделы.

dmn-section-edit-dmn-def

Редактирование DMN в разделе

Можно ли редактировать решения DMN в разделе.