Навигатор по разделу:
- 1. Общие сведения
- 2. Создание роли
- 3. Настройка и редактирование роли
- 3.3. Вкладка "Наследование"
- 3.4. Вкладка "Ссылки"
- 3.5. Вкладка "Автоматическое назначение"
- 3.6. Вкладка "Ограничение использования"
- 3.7. Вкладка "Владельцы"
- 3.8. Вкладка "Правила сочетания"
- 3.9. Вкладка "Назначения"
- 3.10. Вкладка "Свойства"
- 4. Управление каталогом ролей
- 4.1. Создание каталога ролей
- 4.2. Редактирование каталога ролей
- 4.2. Удаление каталога ролей
1. Общие сведения
Бизнес-роль (роль) в системе — это набор доступов сотрудника к определённым ресурсам (информационным системам, базам данных) и приложениям.
Режим роли определяет права доступа пользователей к ресурсам и наличие УЗ пользователя в ресурсе. Режим роли предназначен для:
- Управления каталогами ролей;
- Управления ролями;
- Настройки атрибутов роли;
- Настройки профилей ресурсов роли;
- Настройки ограничения использования роли;
- Настройки владельцев роли;
- Настройки правил сочетания роли с другими ролями.
Настройка режима производится в операционном интерфейсе пользователя. Доступ к разделу осуществляется через меню "Приложение" ⟶ "Администрирование IDM" ⟶ "Роли".
Рисунок — Путь к разделу "Роли"
2. Создание роли
Для создания новой роли выбрать опцию "Создать", нажав 
. В открывшемся окне выбрать пункт "Роль". Откроется окно создания роли.
Рисунок — Окно создания роли
Ввести название роли в поле "Название роли" и нажать "Создать". Созданная роль появится в списке ролей.
Рисунок — Ввод названия роли
3. Настройка и редактирование роли
Выбрать необходимую роль из списка для редактирования, нажав на нее. Откроется окно настройки роли. Для новой роли окно откроется сразу после создания.
3.1. Вкладка "Атрибуты роли"
Для инициирования изменений во вкладке "Атрибуты роли" нажать кнопку 
.
Таблица атрибутов роли
Параметр | Описание |
Каталог | Выбрать каталог |
Название роли | Изменить название роли |
Описание роли | Добавить или изменить описание роли |
Роль создаёт уникальные учётные записи | Если флажок установлен, роль создаёт уникальные учётные записи |
Способ обработки последней роли | Доступен только при активации опции "Роль создаёт уникальные учетные записи". Выбрать способ обработки последней роли из списка: |
Удалённый доступ | Настроить доступ пользователя к учетной записи с назначенной ролью. Доступные варианты: - Нет доступ к УЗ с назначенной ролью недоступен; |
Ручное подтверждение роли | Если флажок установлен, роль назначается вручную администратором. Если флажок снят, роль назначается автоматически после синхронизации данных |
Включение | Выбрать точное время включения роли |
Отключение | Выбрать точное время отключения роли. Деактивирует роль, прекращая предоставление прав доступа и возможность назначения или отзыва роли Отключение роли приводит к её отзыву у всех пользователей кому она назначена |
Сохранить изменения, нажав 
.
3.2. Вкладка "Профили"
Профиль ресурсов роли — это профиль или совокупность профилей с закрепленными за ними ресурсами, доступ к которым будет предоставлен при назначении пользователю текущей роли. действия с профилями выполняются на вкладке "Профили".
Рисунок — Вкладка "Профили"
3.2.1. Добавление профиля
Для добавления профиля ресурса роли необходимо на вкладке "Профили" нажать 
. Откроется окно "Добавление профиля".
Рисунок — Окно "Добавление профиля"
Выбрать ресурсы, которые необходимо добавить в роль.
Нажать 
. Созданный профиль появится на вкладке "Профили".
3.2.2. Настройка статического профиля
Для настройки статического профиля необходимо нажать на нужный статический профиль на вкладке "Профили". Откроется окно с тремя вкладками: Права, Сценарий содержимого и Политика сценария содержимого.
Рисунок — Окно настройки статического профиля
На вкладке "Права" нажать 
, после чего откроется окно "Добавление прав". Выбрать необходимые права и нажать 
. Выбранные права отобразятся на вкладке "Права".
Рисунок — Окно "Добавление прав"
Перейти на вкладку "Сценарий содержимого", нажать "Редактировать", ввести сценарий для роли, который генерирует список прав, и нажать 
.
Для добавления прав в рамках сценария используются следующие методы:
Account.AddRight("идентификатор права", "название права")
Account.AddObjectRight("идентификатор объекта", "идентификатор права", "название права")
Для сценария доступны следующие глобальные переменные:
Параметр | Описание |
Employee.Id | Идентификатор сотрудника |
Employee.FirstName | Имя сотрудника |
Employee.LastName | Фамилия сотрудника |
Employee.Patronymic | Отчество сотрудника |
Employee.ExternalId | Идентификатор сотрудника в кадровой системе |
Employee.PersonId | Идентификатор физического лица в кадровой системе |
Employee.PersonnelNumber | Табельный номер сотрудника |
Employee.BirthDate | Дата рождения в формате ISO 8061 (гггг-мм-дд) |
Employee.EMail | Почтовый адрес сотрудника |
Employee.GetManagerId() | Руководитель ближайшего по иерархии подразделения кроме тех подразделений, которыми руководит указанный работник |
Employee.Division.Id | Идентификатор подразделения сотрудника |
Employee.Division.ExternalId | Идентификатор подразделения сотрудника в кадровой системе |
Employee.Division.Name | Название подразделения сотрудника |
Employee.Division.Parent | Ссылка на родительское подразделения (рекурсивная) |
Employee.Division.GetFullName() | Получение полного названия подразделения в формате DN (в качестве OU берутся либо первые 64 символа названия подразделения, либо значение Extension.OU) |
Employee.Division.GetFullNameExplicit(bool ignoreMissing = false) | Получение полного названия подразделения в формате DN без вывода OU из названий подразделений (в качестве OU берётся только значение Extension.OU, при ignoreMissing=True, если хотя бы одно значение не заполнено, возвращается None, иначе компонент DN пропускается) |
Employee.Division.GetPath() | Получение списка подразделений на пути к этому подразделению начиная от корневого и заканчивая текущим. Employee.Division.GetPath()[0] всегда корневое |
Employee.Division.Extension | Расширение данных подразделения, предоставленное кадровой системой (без наследования) |
Employee.Position.Id | Идентификатор должности сотрудника |
Employee.Position.Name | Название должности сотрудника |
Employee.Extension | Расширение данных сотрудника, предоставленное кадровой системой |
Account.Login | Имя учётной записи, на которую назначается роль |
Account.AddRight(string connectorRightId, string connectorRightName) | Выдача учетной записи права с указанным идентификатором и названием |
Account.AddObjectRight(string objectUri, string connectorRightId, string connectorRightName) | Выдача учетной записи права на объект с указанным идентификатором и названием |
Transliterate(string) | Транслитерация кириллических символов в латиницу |
Debug.Print(string message) | Вывод отладочного сообщения (доступен при отладочном запуске в веб-интерфейсе) |
Рисунок — Вкладка "Сценарий содержимого"
После сохранения сценария станет доступна проверка на сотруднике или юните. Для этого необходимо нажать "Проверить".
При проверке на сотруднике нажать "Проверить". В открывшемся окне выбрать сотрудника и нажать
. Откроется окно с результатом отладочного запуска.
При проверке на юните нажать "Проверить". В открывшемся окне выбрать юнит и нажать 
. Откроется окно с результатом отладочного запуска.
На вкладке "Политика сценария содержимого" можно добавить несколько условий или групп условий. При необходимости также можно добавить правила применения, выбрав подходящие условия из списка.
3.2.3. Добавление динамического профиля
Динамический профиль — это профиль ресурсов роли, для которого выбор ресурсов и профилей определяется заданными правилами.
Для добавления динамического профиля необходимо на вкладке "Профили" нажать 
.
В открывшемся окне "Добавление динамического профиля" задать название динамического профиля и нажать 
. Созданный профиль появится на вкладке "Профили".
Рисунок — Окно "Добавление динамического профиля"
3.2.4. Настройка динамического профиля
Для настройки динамического профиля необходимо нажать на нужный динамический профиль на вкладке "Профили". Откроется окно с тремя вкладками: Ресурс, Профиль, Сценарий.
На вкладке "Ресурс" можно добавить несколько условий или групп условий. При необходимости также можно добавить правила применения, выбрав подходящие условия из списка.
Сначала определить цели. Для этого добавить группу или условие. Для добавления группы условий нажать "Добавить" → "Добавить группу". Для добавления условия в группу нажать "Добавить" → "Добавить условие". Определить условие.
Рисунок — Определение цели
Выбрать условие применения правил из списка:
Запрещено, если одно из правил запрещено;
Разрешено, если одно из правил разрешено;
Запрещено, если не разрешено;
Разрешено, если не запрещено.
Рисунок — Применение правил
После этого настроить частное правило. Для настройки частного правила необходимо выбрать статус правила — разрешить или запретить.
Добавить выражения и/или цели. Для добавления целей в окне частного правила нажать "Добавить" → "Добавить цель". Для добавления выражений в окне частного правила нажать "Добавить" → "Добавить выражения". Определить условия выбора.
Рисунок — Правила
На вкладке "Профиль" процесс настройки аналогичен вкладке "Ресурс". Можно добавить несколько условий или групп условий. При необходимости также можно добавить правила применения, выбрав подходящие условия из списка.
Сначала определить цели. Для этого добавить группу или условие. Для добавления группы условий нажать "Добавить" → "Добавить группу". Для добавления условия в группу нажать "Добавить" → "Добавить условие". Определить условие.
Рисунок — Определение цели
Выбрать условие применения правил из списка:
Запрещено, если одно из правил запрещено.
Разрешено, если одно из правил разрешено.
Запрещено, если не разрешено.
Разрешено, если не запрещено.
Рисунок — Применение правил
После этого настроить частное правило. Для настройки частного правила необходимо выбрать статус правила – разрешить или запретить.
Добавить выражения и/или цели. Для добавления целей в окне частного правила нажать "Добавить" → "Добавить цель". Для добавления выражений в окне частного правила нажать "Добавить" → "Добавить выражения". Определить условия выбора.
Рисунок — Правила
Перейти на вкладку "Сценарий", нажать "Редактировать", ввести сценарий для роли, который генерирует список прав, и нажать .
Рисунок — Вкладка "Сценарий"
После сохранения сценария станет доступна проверка на сотруднике или юните. Для этого необходимо нажать "Проверить".
При проверке на сотруднике нажать "Проверить". В открывшемся окне выбрать сотрудника и нажать. Откроется окно с результатом отладочного запуска.
При проверке на юните нажать "Проверить". В открывшемся окне выбрать юнит и нажать . Откроется окно с результатом отладочного запуска.
3.2.5. Удаление профиля ресурса
Для удаления профиля ресурса необходимо на вкладке "Профили" выбрать нужный профиль, нажать 
и подтвердить удаление ресурса, нажав 
.
Рисунок — Подтверждение удаления профиля ресурса
3.3. Вкладка "Наследование"
Функция наследования позволяет переиспользовать роли и права в них за счёт создания производных ролей. На вкладке "Наследование" доступно добавление родительской роли и просмотр наследников выбранной роли. Чтобы добавить родительскую роль, нажать 
. Откроется окно выбора роли. Выбрать нужную роль, нажать 
.
Рисунок — Добавление родительской роли
Выбранная роль появится в списке родительских ролей. Если нажать 
рядом с ролью, можно выбрать "Перейти", и откроется окно с подробной информацией о роли.
Рисунок — Подробная информация о родительской роли
Также можно нажать "Удалить", подтвердить удаление роли и роль будет удалена из списка родительских ролей.
Рисунок — Удаление родительской роли
Для просмотра наследников текущей роли нажмите кнопку 
. Откроется окно "Наследники роли", в которой отражены наследники роли.
3.4. Вкладка "Ссылки"
Вкладка "Ссылки" предназначена для связывания ролей с другими объектами, например, пользователями или ролями.
Рисунок — Вкладка "Ссылки"
3.5. Вкладка "Автоматическое назначение"
В разделе 5.2.7. Автоматическое назначение ролей описывается процесс создания автоматического назначения ролей. Если при настройке политики данная роль была выбрана как роль, для которой будет действовать настроенная политика, то эта политика отразится в списке на вкладке "Автоматическое назначение". При нажатии на политику откроется подробная информация о ней.
Рисунок — Вкладка "Автоматическое назначение"
3.6. Вкладка "Ограничение использования"
Ограничение использования роли — настройка ограничения видимости роли при создании заявки на предоставление роли пользователю. Пользователь может быть сотрудником определённого подразделения или должности.
Для добавления правила ограничения использования роли пользователями в рамках подразделения и/или должности необходимо нажать 
и выбрать одно из следующих значений:
Таблица — Описание значений ограничения использования
| Значение | Описание |
|---|---|
| Для подразделения | Ограничение видимости роли в заявке для указанного подразделения |
| Для подразделения и должности | Ограничение видимости роли в заявке для указанного подразделения и выбранных должностей |
| Исключающее для подразделения | Ограничение видимости роли в заявке для всех подразделений, кроме выбранного Для всех, указанных в настройках роли |
| Исключающее для подразделения и должности | Ограничение видимости роли в заявке для указанного подразделения и выбранных в нём должностей, кроме указанной должности в выбранном подразделении Для всех, указанных в настройках роли |
3.6.1. Настройка правила "Для подразделения"
После выбора правила "Для подразделения" откроется форма "Выбор подразделения" . В списке выбрать необходимое подразделение или подразделения и нажать 
.
Рисунок — Окно "Выбор подразделений"
Выбранные подразделения появятся на вкладке "Ограничение использования". Для распространения правила ограничения на все вложенные подразделения в указанном подразделении установить флажок "Включая вложенные подразделения". Сохранить изменения, нажав 
.
Рисунок — Вкладка "Ограничение использования"
3.6.2. Настройка правила "Для подразделения и должности"
После выбора правила "Для подразделения и должности" откроется форма "Выбор группы сотрудников". В списке "Подразделение" выбрать подразделение, в котором требуется выбрать должность. В списке должностей выбрать должность или несколько должностей и нажать 
.
Выбранные подразделения и должности появятся на вкладке "Ограничение использования". Для распространения правила ограничения на все вложенные подразделения в указанном подразделении установить флажок "Включая вложенные подразделения". Сохранить изменения, нажав .
Рисунок — Вкладка "Ограничение использования"
3.6.3. Настройка правила "Исключающее для подразделения"
Это правило ограничивает использование роли среди подразделений, выбранных в правилах "Для подразделения" и "Для подразделения и должности". При отсутствии включающих правил это правило не будет ограничивать использование роли.
После выбора правила "Исключающее для подразделения" откроется форма "Выбор подразделений". В списке подразделений выбрать подразделение или подразделений и нажать 
.
Рисунок — Вкладка "Выбор подразделений"
Выбранные записи появятся на вкладке "Ограничение использования". Для распространения правила ограничения на все вложенные подразделения в указанном подразделении установите флажок "Включая вложенные подразделения". Сохранить изменения, нажав .
Рисунок — Вкладка "Ограничение использования"
3.6.4. Настройка правила "Исключающее для подразделения и должности"
Правило ограничивает использование роли среди подразделений, выбранных в правилах "Для подразделения" и "Для подразделения и должности". При отсутствии включающих правил это правило не будет ограничивать использование роли.
После выбора правила "Исключающее для подразделения и должности" откроется форма "Выбор группы сотрудников". В списке выбрать подразделение. В списке должностей выбрать должность или должности и нажать 
.
Выбранные записи появятся на вкладке "Ограничение использования". Для распространения правила ограничения на все вложенные подразделения в указанном подразделении установите флажок "Включая вложенные подразделения". Сохранить изменения, нажав .
3.7. Вкладка "Владельцы"
Владелец роли — функциональная роль системы. Владелец роли может участвовать в бизнес-процессе согласования заявки на назначение роли, а также получать уведомления о различных событиях, связанных с назначением или отзывом роли.
Настройка владельцев роли производится на вкладке "Владельцы".
Рисунок — Вкладка "Владельцы"
Чтобы добавить владельца, нажать 
. Выбрать тип владельца: Сотрудник или Юнит.
Если выбран "Сотрудник", то откроется окно "Добавление владельцев (сотрудников)". Выбрать сотрудников из списка и нажать 
. Выбранные сотрудники отобразятся на вкладке "Владельцы".
Рисунок — Окно "Добавление владельцев (сотрудников)"
Если выбран "Юнит", то откроется окно "Добавление владельцев (юнитов)". Выбрать юниты и нажать 
. Выбранные юниты отобразятся на вкладке "Владельцы".
3.8. Вкладка "Правила сочетания"
Правила сочетания — это правила совместимости с ролью. Настройка правил сочетания производится на вкладке "Правила сочетания".
Рисунок — Вкладка "Правила сочетания"
Для начала выбрать, будет ли роль по умолчанию сочетаться со всеми ролями — "Сочетается со всеми" или не сочетаться ни с чем — "Не сочетается ни с чем".
Чтобы добавить правило, нажать 
. Здесь можно выбрать два варианта: "Добавить правило для роли" или "Добавить правило для каталога".
Если выбрать "Добавить правило для роли", откроется окно выбора ролей. В окне выбрать необходимые роли и нажать 
.
Рисунок — Окно "Выбор ролей"
Выбранные роли отобразятся на вкладке, где для каждой из них можно указать, сочетается она или не сочетается с текущей ролью.
Рисунок — Вкладка "Правила сочетания"
Если выбрать "Добавить правило для каталога", откроется окно выбора каталога. В окне выбрать необходимые каталоги и нажать 
.
Рисунок — Окно "Выбор каталога"
Выбранные каталоги отобразятся на вкладке, где для каждого из них можно указать, сочетается он или не сочетается с текущей ролью.
Рисунок — Вкладка "Правила сочетания"
После того как все правила созданы и настроены, нажать 
.
3.9. Вкладка "Назначения"
В разделе 5.2.2.1. Управление сотрудниками описывается процесс назначения роли сотруднику. На вкладке "Назначения" представлен список сотрудников, которым назначена текущая роль.
Рисунок — Вкладка "Назначения"
В таблице отображаются следующие данные:
Таблица — Основная информация о назначениях ролей
| Поле | Описание |
|---|---|
| Имя сотрудника | Имя сотрудника, которому назначена роль |
| Ошибка назначения | Указывает, возникли ли ошибки при назначении роли |
| Дата назначения | Дата, когда роль была назначена сотруднику |
| Примечание | Дополнительные сведения о назначении |
Если кликнуть на имя сотрудника в таблице, откроется подробная информация о нём.
Если на вкладке "Назначения" нажать на 
в строке записи сотрудник, откроется окно с подробной информацией о назначении роли, включая:
Таблица — Детали обоснования назначения роли
| Поле | Описание |
|---|---|
| Причина | Основание для назначения роли |
| Дата назначения | Дата, когда роль была назначена |
| Дата истечения | Срок действия назначения |
| Примечание | Дополнительные комментарии |
| Область | Область роли |
В этом окне также можно нажать "Удалить выбранные", чтобы удалить обоснование назначения.
3.10. Вкладка "Свойства"
Вкладка "Свойства" позволяет настраивать дополнительные свойства роли.
Рисунок — Вкладка "Назначения"
Все поля на этой вкладке можно редактировать. Нажать 
рядом с полем, ввести данные и сохранить, нажав 
.
Также можно указать подтип роли. Для этого нажать 
. Откроется окно "Смена подтипа". Выбрать необходимый подтип из списка, нажать 
.
Рисунок — Окно "Смена подтипа"
4. Управление каталогом ролей
4.1. Создание каталога ролей
Для создания нового каталога ролей выбрать опцию "Создать", нажав . В открывшемся окне выбрать пункт "Каталог". Откроется окно создания каталога.
Рисунок — окно создания каталога
Ввести название каталога и нажать 
. Созданный каталог добавится в список.
4.2. Редактирование каталога ролей
Для редактирования каталога ролей необходимо выбрать в списке каталогов нужный каталог, кликнув на него. Откроется окно редактирования каталога, содержащее пять вкладок: "Информация", "Свойства", "Ответственные", "Ссылки" и "Списки доступов".
Рисунок — окно редактирования каталога
4.2.1. Вкладка "Информация"
На данной вкладке доступно изменение основных параметров каталога:
Таблица — Вкладка "Информация"
| Поле | Описание |
|---|---|
| Родительский каталог | Функция изменения или выбора родительского каталога. При нажатии открывается список доступных каталогов. Выбрать необходимый каталог из списка |
| Название каталога | Редактирование текущего названия каталога |
После внесения всех изменений нажать.
4.2.2. Вкладка "Свойства"
На вкладке "Свойства" можно задать подтип каталога. Для этого необходимо нажать кнопку 
. Откроется окно "Смена подтипа". Выбрать необходимый подтип из списка доступных вариантов. Нажать.
4.2.3. Вкладка "Ответственные"
Вкладка позволяет добавить ответственных сотрудников или роли. Процесс добавления зависит от выбранного типа:
- Если необходимо добавить сотрудников:
Нажать кнопку 
→ "Сотрудников". Откроется окно "Добавление сотрудников". Выбрать одного или нескольких сотрудников из списка. Для каждого сотрудника указать тип из выпадающего списка. Нажать
.
2. Если необходимо добавить роли:
Нажать кнопку → "Роли". Откроется окно "Добавление ролей". Выбрать одну или несколько ролей из списка. Для каждой роли указать тип из выпадающего списка. Нажать кнопку .
4.2.4. Вкладка "Ссылки"
На вкладке "Ссылки" отображаются ссылки, связанные с каталогом.
При нажатии на конкретную ссылку появляется возможность добавить одного или нескольких сотрудников к ссылке. Для добавления сотрудников нажать кнопку 
и выбрать необходимых пользователей из списка. Нажать 
.
4.2.5. Вкладка "Списки доступов"
На вкладке "Списки доступа" доступно:
| Параметр | Описание |
|---|---|
Наследовать от родителей | Если переключатель активен, права доступа наследуются от родительского каталога. Изменение параметров недоступно. Если переключатель неактивен, становятся доступны функции настройки |
Кнопка добавить правило | Позволяет создать новое правило доступа |
Уровень доступа | Выбор уровня доступа. Доступны следующие варианты: Чтение и Запись |
Включая дочерние организации | Если активен, правило применяется ко всем дочерним организациям |
Включая родительские организации | Если активен, правило применяется ко всем родительским организациям |
Организация | Выбор организации из списка |
4.2. Удаление каталога ролей
Для удаления каталога в списке каталогов выбрать необходимый, нажав кнопку 
. Откроется список доступных действий. Нажать "Удалить".