.. _bpmn_permissions:

Управление правами в BPMN разделе
============================================================

В Citeck доступ к разделам BPMN и операциям с процессами управляется через гибкую систему прав. Права назначаются группам пользователей на уровне каждого раздела и наследуются дочерними разделами и вложенными процессами. Это позволяет разграничить доступ: одни пользователи могут только просматривать процессы, другие — редактировать и публиковать их, третьи — управлять экземплярами запущенных процессов.

.. contents::

Настройка прав
------------------

.. note::

      Настраивать права для разделов могут только системные администраторы (пользователи из группы **ECOS_ADMINISTRATORS**).

Права можно настраивать для каждого раздела отдельно. Для этого необходимо открыть страницу раздела BPMN:

.. code-block::

      https://{host}/admin?type=BPM

И напротив нужного раздела нажать кнопку действий и выбрать **"Редактировать права"**:

.. image:: _static/permissions_1.png
   :width: 400
   :align: center

Выводится окно настройки:

.. image:: _static/permissions_2.png
   :width: 600
   :align: center

В открывшемся окне можно настроить права для групп и пользователей, включить или выключить наследование следующих прав:

.. image:: _static/permissions_3.png
   :width: 400
   :align: center

Права на типы
--------------

При создании и редактировании процессов часто требуется вносить изменения в конфигурацию типов. Чтобы разрешить редактирование и создание для пользователей без прав системного администратора, следует настроить права на родительских типах, как описано в статье :ref:`Настройка прав для описания типов <data_type_rights>`.

Пример вариантов настроек:

      1. Настроить права на тип **"base"** и дать пользователям доступ на создание и редактирование любых типов.
      2. Настроить права на тип **"user-base"** и дать пользователям доступ на создание и редактирование только бизнес-типов.
      3. Создать отдельный прокси-тип, унаследованный от одного из стандартных (case/data-list/document/doclib-file и т.д.) и выдать права только на него.

Общие правила распределения прав по разделам
---------------------------------------------

Все разделы принадлежат к дереву с одним корнем — корневым разделом. Права наследуются от родителя к дочерним разделам и от разделов к вложенным процессам.

Если при настройке прав у раздела убрать флаг **"Наследовать права"**, то права не будут наследоваться.

Права на дочерних сущностях плюсуются к правам родительских, если включено наследование прав.

Корневой раздел
----------------

Корневой раздел имеет идентификатор **ROOT** и служит для настройки прав по умолчанию для всех остальных разделов.

Корневой раздел виден только администраторам системы (пользователям в группе **ECOS_ADMINISTRATORS**).

В корневом разделе нельзя создавать подразделы через действия напротив этого раздела. Для создания новых разделов в корне следует использовать кнопку **"+"** над всеми разделами:

Права по умолчанию для корневого раздела BPMN
----------------------------------------------

.. image:: _static/permissions_4.png
   :width: 600
   :align: center

.. list-table::
      :widths: 3 5
      :header-rows: 1
      :align: center
      :class: tight-table

      * - Группа
        - Права
      * - **bp-administrator**
        - | read
          | write
          | bpmn-process-def-deploy
          | bpmn-process-def-report-view
          | bpmn-process-instance-run
          | bpmn-process-instance-edit
          | bpmn-process-instance-read
          | bpmn-process-instance-migrate
          | bpmn-section-edit-process-def
      * - **bp-manager**
        - | read
          | bpmn-process-def-report-view
      * - **bp-developer**
        - | read
          | bpmn-process-def-deploy
          | bpmn-process-instance-run
          | bpmn-process-def-report-view
          | bpmn-process-instance-migrate
      * - **bp-viewer**
        - | read

Описание BPMN прав
-------------------

.. list-table::
      :widths: 5 5 10
      :header-rows: 1
      :align: center
      :class: tight-table

      * - Идентификатор
        - Название
        - Описание
      * - **read**
        - Право на чтение (read)
        - Будет ли виден пользователю раздел и все процессы в нем.
      * - **write**
        - Право на изменение (write)
        - Можно ли редактировать раздел и процессы в нем.
      * - **bpmn-section-create-process-def**
        - Создание процессов в разделе
        - Можно ли создавать новые процессы в разделе.
      * - **bpmn-section-create-subsection**
        - Создание подразделов
        - Можно ли создавать подразделы внутри раздела.
      * - **bpmn-section-edit-process-def**
        - Редактирование процессов в разделе
        - Можно ли редактировать процессы в разделе.
      * - **bpmn-process-def-deploy**
        - Деплой процесса
        - Можно ли публиковать описание процесса в BPMN движок.
      * - **bpmn-process-def-report-view**
        - Просмотр отчета
        - Можно ли просматривать статистику по процессу.
      * - **bpmn-process-instance-read**
        - Просмотр экземпляра процесса
        - Можно ли просматривать экземпляры процесса.
      * - **bpmn-process-instance-edit**
        - Редактирование экземпляра процесса
        - Можно ли редактировать экземпляры процесса.
      * - **bpmn-process-instance-migrate**
        - Миграция экземпляра процесса
        - Можно ли мигрировать экземпляры процесса.
      * - **bpmn-process-instance-run**
        - Ручной запуск экземпляра бизнес-процесса
        - Можно ли запускать вручную новые экземпляры процесса.