Как правило, настройка профилей групп доступа обычно выполняется при внедрении и конфигурировании прикладного решения. Они предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам приложения, и "разрезов" ограничения этих прав (видов доступа), которые предполагается использовать в группах доступа.
В ряде случаев предустановленных профилей групп доступа оказывается недостаточно для осуществления требуемой настройки прав доступа пользователей. В таких случаях администратор имеет возможность добавить новые или изменить предустановленные профили групп доступа.
С помощью профилей становится возможным:
- задать общий список ролей для некоторой группы пользователей приложения. Например, для менеджеров может быть определен профиль групп доступа "Менеджер" с ролями:
- Добавление и изменение заказов клиентов,
- Чтение нормативно-справочной информации,
- ...
- определить, в разрезе каких видов доступа должен быть предоставлен доступ к отдельным элементам справочников, документов и пр., доступ к которым в целом разрешен с помощью определенного выше списка ролей. Например, в профиле "Менеджер" доступ может быть разрешен (или запрещен) к отдельным заказам клиентов, нормативно-справочной информации и прочим данным приложения в разрезе организаций, партнеров, видов хозяйственных операций и других имеющихся в конфигурации видов доступа. Настройка же конкретных значений организаций, партнеров, видов хозяйственных операций и прочих заданных в профиле видов доступа выполняется в соответствующих группах доступа.
Виды доступа и ограничения доступа
- В зависимости от своей специфики, различные роли могут поддерживать или не поддерживать ограничение доступа в разрезе тех или иных видов доступа. Например, роль Добавление и изменение заказов клиентов может ограничивать добавление и изменение заказов клиентов в разрезе организаций и партнеров, а роль Запуск веб-клиента - всегда разрешает запуск веб-клиента независимо ни от чего.
- Поэтому при настройке состава видов доступа в профиле необходимо иметь в виду, что в профиле всегда должен задаваться совокупный список видов доступа для всех перечисленных в нем ролей.
- Если же какой-либо вид доступа не был указан в профиле, то по нему ограничения не будут применены (как если бы он не использовался в логике ограничения прав в ролях).
Профиль для администрирования приложения
- В составе приложения имеется предопределенный профиль Администратор, в который включена единственная роль Полные права. Эта роль предоставляет полный доступ к данным приложения без каких-либо ограничений. Не рекомендуется добавлять роль Полные права в какие-либо другие профили, так как она автоматически отключает любые другие ограничения доступа (и профиль, содержащий такую роль, "вырождается" в профиль Администратор).
- Профиль Администратор используется в предопределенной группе доступа Администраторы. Не рекомендуется создавать другие группы доступа с этим профилем.