Пользователи
Contents
Пользователи#
Пользователь — объект системы, определяющий права конечного пользователя, сопоставляющий учетную запись системы и физическое лицо. В карточке пользователя настраиваются параметры авторизации в системе и список профилей, определяющих права пользователя.
Атрибуты пользователя:#
Наименование |
Описание |
|---|---|
Учетная запись |
Системное имя пользователя — логин, под которым пользователь авторизовывается в системе |
Физическое лицо |
Сопоставленное пользователю физическое лицо из справочника физлиц |
Пользователь заблокирован |
Показывает блокировку пользователя. Заблокированный пользователь не сможет зайти в систему |
Супер-пользователь |
Показывает, что пользователь имеет права супер-пользователя |
Список приложений ограничен правами ролей |
Показывает, что перечень доступных пользователю приложений определяется списком объектов, к которым пользователь имеет доступ, а не списком доступных ролям приложений. Данный признак позволяет ограничивать выбор доступных супер-пользователю приложений |
Пользователь должен сменить пароль после авторизации |
При входе в систему пользователю будет предложено сменить пароль. После смены пароля признак автоматически снимется |
Шаблон |
Шаблон, по которому создан пользователь. См. главу 2.3 (Создание пользователей по шаблону) |
Active Directory |
Данные доменной авторизации пользователя. См. главу 2.4 (Синхронизация с Active Directory) |
Профили доступа |
Список профилей, выданных пользователю. Доступно добавление новых профилей. В детализации профилей указаны входящие в них роли. Доступны операции добавления профилей пользователю или удаления имеющихся |
Роли доступа |
Список выданных пользователю ролей. На данную закладку роли попадают автоматически при выдаче пользователю их профилей |
Операции справочника и карточки пользователя#
Наименование |
Описание |
|---|---|
Группировка |
Редактирование дерева групп пользователей: позволяет распределять пользователей по группам и редактировать дерево группировки |
Пересчитать индексацию системных привилегий для текущего пользователя |
Производит обновление индексов системных привилегий для текущего пользователя, либо для всех пользователей. В результате операции обновятся записи по всем элементам администрируемых объектов, на привилегии которых у пользователя есть права, а также записи по всем администрируемым объектам, на объектные права которых у пользователя есть права (см. 2.8 Пересчет индексации системных привилегий) |
Анализ прав доступа пользователя |
Отображает перечень всех объектов системы, показывает, какие действия над ними может производить пользователь, указывает роли, дающие данные права (см. 2.7 Анализ прав доступа пользователя) |
Создать шаблон |
Сохранение пользователя как шаблона для дальнейшего создания пользователей по его образцу (см. 2.3 Создание пользователей по шаблону) |
Синхронизация пользователей Active Directory |
Загрузка или обновление пользователей из Microsoft Active Directory (см. 2.4 Синхронизация с Active Directory) |
Изменить пароль |
Открытие модального окна для смены пароля. Требования по количеству символов в пароле или наличию спецсимволов не применяются |
Создание пользователей по шаблону#
Для быстрого создания типовых пользователей Система предлагает сохранение карточек пользователей в качестве шаблонов. При создании нового пользователя по шаблону к нему будут применены параметры пароля и группа шаблона, также пользователю будут выданы все профили и роли шаблона. Параметры шаблона:
Наименование |
Описание |
|---|---|
Является шаблоном |
Показывает, что данная карточка является шаблоном и на ее основании будут создаваться другие пользователи |
Наименование шаблона |
Наименование шаблона, которое будет выводиться при выборе из шаблонов |
Шаблон по умолчанию |
При отметке все новые пользователи будут создаваться на основании данного шаблона. Может быть только один умолчательный шаблон |
Выводить под операцией создания |
При отметке шаблон будет отображен в выпадающем меню операции создания в списке пользователей |
Синхронизация с Active Directory#
Система Global поддерживает синхронизацию с Microsoft Active Directory. В случае использования AD первичная загрузка и дальнейшая синхронизация пользователей осуществляется операцией «Синхронизация пользователей Active Directory» в справочнике или карточках пользователей и автоматически согласно настроенному расписанию. Если пользователя домена еще нет в системе Global, для него будет автоматически создана запись в группе LDAP - Active Directory. Если у сотрудника уже есть пользователь Global, данные о нем будут обновлены. При синхронизации для пользователя происходит попытка подстановки физ. лица по совпадению из домена.
Настройка подключения к AD#
Для настройки подключения к AD необходимо в справочнике общих настроек системы (доступном в приложении Администратор, Настройки -> Общие настройки системы) открыть настройки модуля btk и в json-контейнере для записи «ldapSync» указать URL сервера, пароль и логин для доступа, имя домена AD. Настройка авторизации через AD (т.е. с проверкой пароля пользователя не системой Global, а службой AD) производится в основном конфигурационном файле /usr/local/globalserver/application/config/global3.config.xml. Процесс описан в руководстве системного администратора.
Синхронизация с AD#
При выполнении операции «Синхронизация пользователей Active Directory» будет открыт интерфейс «Синхронизация пользователей Active Directory», в котором потребуется выбрать шаблон для создания новых пользователей и выполнить операцию «Синхронизировать». Созданные пользователи будут размещены в группе LDAP - Active Directory и подгруппах на один уровень ниже.
Передача прав при замещении#
В случае установки замещения пользователей (Доступна в приложении Администратор, Доступ -> Замещение прав) замещающий получает дополнительно все права замещаемого пользователя. По окончании периода замещения выданные права автоматически снимаются.
Супер-пользователь#
Супер-пользователь — администратор системы, имеющий все возможные привилегии на все объекты системы. Однако супер-пользователю не будут доступны некоторые объекты, требующие указания конкретных ролей. Например, клонируемые пункты меню для отображения виджетов доступны только пользователям, имеющим специально указанные роли. Супер-пользователь, не имеющий данных ролей, к данным меню доступа иметь не будет.
Пересчет индексации системных привилегий#
Пользователь создается в рассинхронизированном состоянии, рассинхронизируется при назначении или изменении ролей. Чтобы настройки вступили в силу, роль необходимо синхронизировать операцией «Пересчитать индексацию системных привилегий». При настройке ролей рекомендуется сначала пересчитывать роли только для тестового пользователя операцией «Пересчитать индексацию системных привилегий для текущего пользователя», доступной в списке пользователей, карточке пользователя и в списках пользователей роли/профиля, оставляя реальных пользователей рассинхронизированными, чтобы в случае ошибки откатить нежелательные изменения.