# Пользователи

Пользователь — объект системы, определяющий права конечного пользователя, сопоставляющий учетную запись системы и физическое лицо. В карточке пользователя настраиваются параметры авторизации в системе и список профилей, определяющих права пользователя.

## Атрибуты пользователя:
|Наименование|Описание|
|-|-|
|Учетная запись|Системное имя пользователя — логин, под которым пользователь авторизовывается в системе|
|Физическое лицо|Сопоставленное пользователю физическое лицо из справочника физлиц|
|Пользователь заблокирован|	Показывает блокировку пользователя. Заблокированный пользователь не сможет зайти в систему|
|Супер-пользователь|	Показывает, что пользователь имеет права супер-пользователя|
|Список приложений ограничен правами ролей|	Показывает, что перечень доступных пользователю приложений определяется списком объектов, к которым пользователь имеет доступ, а не списком доступных ролям приложений. Данный признак позволяет ограничивать выбор доступных супер-пользователю приложений|
|Пользователь должен сменить пароль после авторизации|	При входе в систему пользователю будет предложено сменить пароль. После смены пароля признак автоматически снимется|
|Шаблон|Шаблон, по которому создан пользователь. См. главу 2.3 (Создание пользователей по шаблону)|
|Active Directory|Данные доменной авторизации пользователя. См. главу 2.4 (Синхронизация с Active Directory) |
|Профили доступа|	Список профилей, выданных пользователю. Доступно добавление новых профилей. В детализации профилей указаны входящие в них роли. Доступны операции добавления профилей пользователю или удаления имеющихся|
|Роли доступа|	Список выданных пользователю ролей. На данную закладку роли попадают автоматически при выдаче пользователю их профилей|




## Операции справочника и карточки пользователя
|Наименование|Описание|
|-|-|
|Группировка|Редактирование дерева групп пользователей: позволяет распределять пользователей по группам и редактировать дерево группировки|
|Пересчитать индексацию системных привилегий для текущего пользователя|Производит обновление индексов системных привилегий для текущего пользователя, либо для всех пользователей. В результате операции обновятся записи по всем элементам администрируемых объектов, на привилегии которых у пользователя есть права, а также записи по всем администрируемым объектам, на объектные права которых у пользователя есть права (см. 2.8 Пересчет индексации системных привилегий)|
|Анализ прав доступа пользователя|Отображает перечень всех объектов системы, показывает, какие действия над ними может производить пользователь, указывает роли, дающие данные права (см. 2.7 Анализ прав доступа пользователя)|
|Создать шаблон|	Сохранение пользователя как шаблона для дальнейшего создания пользователей по его образцу (см. 2.3 Создание пользователей по шаблону)|
|Синхронизация пользователей Active Directory|	Загрузка или обновление пользователей из Microsoft Active Directory (см. 2.4 Синхронизация с Active Directory)|
|Изменить пароль|	Открытие модального окна для смены пароля. Требования по количеству символов в пароле или наличию спецсимволов не применяются|


## Создание пользователей по шаблону
Для быстрого создания типовых пользователей Система предлагает сохранение карточек пользователей в качестве шаблонов. При создании нового пользователя по шаблону к нему будут применены параметры пароля и группа шаблона, также пользователю будут выданы все профили и роли шаблона. 
Параметры шаблона:
|Наименование|Описание|
|-|-|
|Является шаблоном|	Показывает, что данная карточка является шаблоном и на ее основании будут создаваться другие пользователи|
|Наименование шаблона	|Наименование шаблона, которое будет выводиться при выборе из шаблонов|
|Шаблон по умолчанию|	При отметке все новые пользователи будут создаваться на основании данного шаблона. Может быть только один умолчательный шаблон|
|Выводить под операцией создания|	При отметке шаблон будет отображен в выпадающем меню операции создания в списке пользователей|

## Синхронизация с Active Directory
Система Global поддерживает синхронизацию с Microsoft Active Directory. В случае использования AD первичная загрузка и дальнейшая синхронизация пользователей осуществляется операцией   «Синхронизация пользователей Active Directory» в справочнике или карточках пользователей и автоматически согласно настроенному расписанию. 
Если пользователя домена еще нет в системе Global, для него будет автоматически создана запись в группе LDAP - Active Directory. Если у сотрудника уже есть пользователь Global, данные о нем будут обновлены. При синхронизации для пользователя происходит попытка подстановки физ. лица по совпадению из домена.

### Настройка подключения к AD
Для настройки подключения к AD необходимо в справочнике общих настроек системы (доступном в приложении Администратор, Настройки -> Общие настройки системы) открыть настройки модуля btk и в json-контейнере для записи «ldapSync» указать URL сервера, пароль и логин для доступа, имя домена AD.
Настройка авторизации через AD (т.е. с проверкой пароля пользователя не системой Global, а службой AD) производится в основном конфигурационном файле /usr/local/globalserver/application/config/global3.config.xml. Процесс описан в руководстве системного администратора.

### Синхронизация с AD
При выполнении операции «Синхронизация пользователей Active Directory» будет открыт интерфейс «Синхронизация пользователей Active Directory», в котором потребуется выбрать шаблон для создания новых пользователей и выполнить операцию «Синхронизировать». Созданные пользователи будут размещены в группе LDAP - Active Directory и подгруппах на один уровень ниже.

## Передача прав при замещении
В случае установки замещения пользователей (Доступна в приложении Администратор, Доступ -> Замещение прав) замещающий получает дополнительно все права замещаемого пользователя. По окончании периода замещения выданные права автоматически снимаются.

## Супер-пользователь
Супер-пользователь — администратор системы, имеющий все возможные привилегии на все объекты системы. Однако супер-пользователю не будут доступны некоторые объекты, требующие указания конкретных ролей. Например, клонируемые пункты меню для отображения виджетов доступны только пользователям, имеющим специально указанные роли. Супер-пользователь, не имеющий данных ролей, к данным меню доступа иметь не будет.

## Пересчет индексации системных привилегий
Пользователь создается в рассинхронизированном состоянии, рассинхронизируется при назначении или изменении ролей. Чтобы настройки вступили в силу, роль необходимо синхронизировать операцией «Пересчитать индексацию системных привилегий». При настройке ролей рекомендуется сначала пересчитывать роли только для тестового пользователя операцией «Пересчитать индексацию системных привилегий для текущего пользователя», доступной в списке пользователей, карточке пользователя и в списках пользователей роли/профиля, оставляя реальных пользователей рассинхронизированными, чтобы в случае ошибки откатить нежелательные изменения.