Политики доступа

Данный раздел описывает процесс работы с политиками доступа к объектам в системе. Работа осуществляется в разделе Настройки → Управление доступом → Политики доступа веб-интерфейса системы.

Раздел доступен учетным записям со статусом Суперадминистратор.

О политиках доступа

Политики доступа определяют правила, разграничивающие права доступа к объектам в системе и операциям над ними для пользователей с заданной ролью. Использование политик доступа обеспечивает безопасность и целостность данных.

Политика доступа создается в рамках определенного тенанта и привязывается к одной или нескольким ролям.

Приоритеты разрешений и политик доступа

Правила в политике доступа ограничивают разрешения, назначенные роли. Таблица ниже показывает, при каких соотношениях разрешений и правил роль будет обладать доступом к сущности в системе.

Разрешение на сущность	Правило политики доступа	Итоговый доступ
Задано	Не определено	Разрешен
Задано	Запрещает доступ	Запрещен
Не задано	Разрешает доступ	Запрещен
Задано	Разрешает доступ	Разрешен
Задано	Определено несколько правил	Разрешен, если хотя бы одно правило разрешает доступ

Разрешение на сущность

Правило политики доступа

Итоговый доступ

Задано

Не определено

Разрешен

Задано

Запрещает доступ

Запрещен

Не задано

Разрешает доступ

Запрещен

Задано

Разрешает доступ

Разрешен

Задано

Определено несколько правил

Разрешен, если хотя бы одно правило разрешает доступ

Типы политик доступа

В текущей версии системы существует только один тип политик — политики доступа к объектам.

Политика доступа к объектам

Политики доступа к объектам определяют, какие роли могут получать доступ к определенным объектам в системе.

Политика доступа к объектам содержит по крайней мере одно правило, определяющее домен и сущность, доступ к которой разрешен для роли.

Если для роли создано несколько политик доступа, затрагивающих определенную сущность, политики применяются через логическое "ИЛИ".

Если политика доступа содержит несколько правил, затрагивающих определенную сущность, правила применяются через логическое "ИЛИ".

Интерфейс раздела

Панель инструментов раздела включает следующие компоненты:

Кнопка Создать () позволяет создать новую политику доступа.
Кнопка позволяет удалить выбранные политики доступа.
Поле Поиск предназначено для быстрого поиска политик доступа в отображаемом списке по названию.
Кнопка Фильтр () позволяет открыть в правой части рабочей области панель для настройки фильтрации политик.

В рабочей области отображается таблица политик, доступных пользователю.

Таблица содержит следующие столбцы:

Название — название политики доступа, используемое для ее идентификации в системе.
Роли — названия ролей, использующих политику доступа.
Описание — описание политики доступа.
Объекты правила — имена объектов правила в составе политики доступа.
Дата создания — дата создания политики доступа.
Дата изменения — дата последнего изменения политики доступа.

При работе с таблицей политик доступны следующие операции:

Поиск политик доступа по полю Название.
Сортировка политик доступа по полям Название, Описание, Дата создания и Дата изменения.
Фильтрация политик доступа по полям Роли и Объекты правила. Роли и объекты правила выбираются из выпадающего списка. Возможен выбор нескольких пунктов.

При выборе конкретной политики доступа в правой части рабочей области отображается ее карточка с детальной информацией.

Работа с политикой доступа

Доступные операции над политикой:

Создание политики доступа
Просмотр политики доступа
Изменение политики доступа
Удаление политики доступа

Создание политики доступа

Чтобы создать политику доступа:

Перейдите в раздел Настройки → Управление доступом → Политики доступа.
Нажмите на кнопку Создать (). Система отобразит окно создания политики.
Введите название политики доступа.
При необходимости введите описание политики доступа.
Из выпадающего списка Роль выберите роли, использующие политику.

Добавьте правила доступа к объектам.

Чтобы добавить правило:

Из выпадающего списка Домен выберите домен, в котором находятся объекты. Отображаются только зарегистрированные и включенные домены.
Из выпадающего списка Объект правила выберите сущность, к объектам которой будет предоставлен доступ в рамках правила.

Введите условие правила на языке RQL. В результате выполнения правила отобразятся только объекты, отвечающие этому условию.

В правиле можно обращаться к сущностям и атрибутам сущностей.

Возможно использование в правиле псевдонимов окружения — текущего пользователя и текущих значений даты и времени.

Чтобы удалить заданное правило, нажмите на кнопку trash в правом верхнем углу его панели настроек.

Нажмите на кнопку Создать. Система создаст политику доступа и отобразит соответствующее уведомление. Новая политика доступа появится в списке вкладки.

Пример использования условий в правилах политики доступа

Объект правила: инцидент (сущность)
```
createdBy = @CurrentUser.id AND incident_status IN select(unnest(ARRAY(@status.critical, @status.blocker)))
```
В результате роль получит доступ к инцидентам со статусом ниже Критический, владельцем которых является текущий пользователь.
Объект правила: задача (сущность)
```
task.status = 'high'
```
В результате роль получит доступ ко всем задачам со статусом Критический.

Просмотр политики доступа

Чтобы просмотреть политику доступа:

Перейдите в раздел Настройки → Управление доступом → Политики доступа.
Нажмите на строку политики доступа в списке. Система отобразит в правой части экрана карточку этой политики доступа с подробной информацией о ней.

В верхней части карточки отображается название политики доступа.

Карточка содержит основные сведения о политике доступа:

ID — идентификатор политики доступа.
Название — название политики доступа.
Описание — описание политики доступа.
Тип — тип политики доступа.
ID тенанта — идентификатор тенанта, в котором создана политика доступа.
Роли — роли, которым назначена политика доступа.
Дата создания — дата создания политики доступа.
Создал — пользователь, создавший политику доступа.
Дата изменения — дата изменения политики доступа.
Правила доступа — группа правил доступа к объектам. В блоке каждого правила содержатся следующие сведения:
- Домен — домен, содержащий объекты, доступ к которым регулируется правилом.
- Объект правила — объект, к которому предоставлен доступ в рамках правила.
- Правило — RQL-запрос правила.

Изменение политики доступа

Чтобы изменить политику доступа:

Перейдите в раздел Настройки → Управление доступом → Политики доступа.
Нажмите на строку политики доступа в списке. Система отобразит в правой части экрана карточку этой политики доступа с подробной информацией о ней.
Нажмите на кнопку в верхнем правом углу карточки и выберите опцию Изменить. Отобразится окно настроек политики.
Внесите требуемые изменения в конфигурацию политики доступа.
Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит уведомление об изменении политики доступа. Обновленная информация отобразится в карточке политики доступа и в списке вкладки.

Удаление политики доступа

Чтобы удалить политику доступа:

Перейдите в раздел Настройки → Управление доступом → Политики доступа.
Нажмите на строку политики доступа в списке. Система отобразит в правой части экрана карточку этой политики доступа с подробной информацией о ней.
Нажмите на кнопку в верхнем правом углу карточки и выберите опцию Удалить. Отобразится окно подтверждения действия.
Нажмите на кнопку Удалить. Система удалит политику доступа и отобразит соответствующее уведомление. Удаленная политика доступа будет исключена из списка вкладки.

Вы также можете удалить сразу несколько политик доступа. Для этого:

Перейдите в раздел Настройки → Управление доступом → Политики доступа. Система отобразит сведения об имеющихся политиках доступа.
В левом столбце таблицы установите флажки напротив тех политик доступа, которые вы хотите удалить.
Нажмите на кнопку на панели инструментов. Отобразится окно подтверждения удаления политик.
Нажмите на кнопку Удалить. Система удалит выбранные политики доступа и отобразит соответствующее уведомление. Удаленные политики доступа будут исключены из списка раздела.

Была ли полезна эта страница?