Управление правами в BPMN разделе

В Citeck доступ к разделам BPMN и операциям с процессами управляется через гибкую систему прав. Права назначаются группам пользователей на уровне каждого раздела и наследуются дочерними разделами и вложенными процессами. Это позволяет разграничить доступ: одни пользователи могут только просматривать процессы, другие — редактировать и публиковать их, третьи — управлять экземплярами запущенных процессов.

Настройка прав

Примечание

Настраивать права для разделов могут только системные администраторы (пользователи из группы ECOS_ADMINISTRATORS).

Права можно настраивать для каждого раздела отдельно. Для этого необходимо открыть страницу раздела BPMN:

https://{host}/admin?type=BPM

И напротив нужного раздела нажать кнопку действий и выбрать «Редактировать права»:

Выводится окно настройки:

В открывшемся окне можно настроить права для групп и пользователей, включить или выключить наследование следующих прав:

Права на типы

При создании и редактировании процессов часто требуется вносить изменения в конфигурацию типов. Чтобы разрешить редактирование и создание для пользователей без прав системного администратора, следует настроить права на родительских типах, как описано в статье Настройка прав для описания типов.

Пример вариантов настроек:

1. Настроить права на тип «base» и дать пользователям доступ на создание и редактирование любых типов.

2. Настроить права на тип «user-base» и дать пользователям доступ на создание и редактирование только бизнес-типов.

3. Создать отдельный прокси-тип, унаследованный от одного из стандартных (case/data-list/document/doclib-file и т.д.) и выдать права только на него.

Общие правила распределения прав по разделам

Все разделы принадлежат к дереву с одним корнем — корневым разделом. Права наследуются от родителя к дочерним разделам и от разделов к вложенным процессам.

Если при настройке прав у раздела убрать флаг «Наследовать права», то права не будут наследоваться.

Права на дочерних сущностях плюсуются к правам родительских, если включено наследование прав.

Корневой раздел

Корневой раздел имеет идентификатор ROOT и служит для настройки прав по умолчанию для всех остальных разделов.

Корневой раздел виден только администраторам системы (пользователям в группе ECOS_ADMINISTRATORS).

В корневом разделе нельзя создавать подразделы через действия напротив этого раздела. Для создания новых разделов в корне следует использовать кнопку «+» над всеми разделами:

Права по умолчанию для корневого раздела BPMN

Группа	Права
bp-administrator	read write bpmn-process-def-deploy bpmn-process-def-report-view bpmn-process-instance-run bpmn-process-instance-edit bpmn-process-instance-read bpmn-process-instance-migrate bpmn-section-edit-process-def
bp-manager	read bpmn-process-def-report-view
bp-developer	read bpmn-process-def-deploy bpmn-process-instance-run bpmn-process-def-report-view bpmn-process-instance-migrate
bp-viewer	read

Описание BPMN прав

Идентификатор	Название	Описание
read	Право на чтение (read)	Будет ли виден пользователю раздел и все процессы в нем.
write	Право на изменение (write)	Можно ли редактировать раздел и процессы в нем.
bpmn-section-create-process-def	Создание процессов в разделе	Можно ли создавать новые процессы в разделе.
bpmn-section-create-subsection	Создание подразделов	Можно ли создавать подразделы внутри раздела.
bpmn-section-edit-process-def	Редактирование процессов в разделе	Можно ли редактировать процессы в разделе.
bpmn-process-def-deploy	Деплой процесса	Можно ли публиковать описание процесса в BPMN движок.
bpmn-process-def-report-view	Просмотр отчета	Можно ли просматривать статистику по процессу.
bpmn-process-instance-read	Просмотр экземпляра процесса	Можно ли просматривать экземпляры процесса.
bpmn-process-instance-edit	Редактирование экземпляра процесса	Можно ли редактировать экземпляры процесса.
bpmn-process-instance-migrate	Миграция экземпляра процесса	Можно ли мигрировать экземпляры процесса.
bpmn-process-instance-run	Ручной запуск экземпляра бизнес-процесса	Можно ли запускать вручную новые экземпляры процесса.