Geum.ru

Руководство системного программиста «ТМ: цод»

Вид материалаРуководство

Содержание


Права доступа.
Результирующие права
Таблица 3. Настройки роли «Младший оператор»
Таблица 4. Настройки роли «Старший оператор»
Рис. 16. Пример настройки прав доступа – роль «Младший администратор»
Таблица 5. Результат сложения ролей «Младший оператор» и «Старший оператор»
Подобный материал:
1   2   3   4   5   6   7   8   9   ...   14

Права доступа.


Система разграничения прав доступа − это группа правил, используемых системой для определения набора операций, доступных конкретному пользователю. Для системы прав доступа введены понятия «суперпользователь», «роль» и «тип роли».

Для входа в систему с правами суперпользователя необходимо воспользоваться служебной учетной записью «Admin». Удаление данной записи запрещено. Настройка ролей в данной учетной записи недоступна. Пользователь «Admin» всегда обладает полными правами на все элементы системы. Редактирование (в том числе и переименование) служебной записи «Admin» разрешено.

Роль – именованный набор правил, определяющих доступ к элементам системы. Каждому пользователю может быть назначено произвольное число ролей (и даже не назначено ни одной).

Тип роли – атрибут, указывающий, на какие элементы системы распространяется данная роль. Может принимать значения: «Пользовательская» и «Администраторская». «Пользовательская» роль разграничивает права доступа в операционном приложении. «Администраторская» роль содержит права доступа для приложения администрирования. Пользователь, которому не назначена ни одна администраторская роль, не может выполнить вход в приложение администрирования.

На основе системы ролей в контексте конкретного пользователя элемент системы может иметь одно правило доступа, набор из нескольких правил доступа, или не иметь ни одного правила вовсе. В соответствии от вида ситуации применяются:
  1. Права по умолчанию.
  2. Заданные права.
  3. Результирующие права.
      1. Права по умолчанию

Отсутствие информации о правах доступа на объект возможно в двух ситуациях:
  1. У пользователя отсутствуют роли.
  2. Во всех ролях пользователя отсутствуют активные правила для данного объекта.

В подобных случаях к объекту системы применяются права по умолчанию, а именно правило – “Что не разрешено – запрещено”.
      1. Заданные права

Объект системы может иметь одно правило доступа в случае:
  1. Пользователю назначена одна роль с активным правилом для данного объекта.
  2. Пользователю назначено несколько ролей, но для данного объекта существует активное правило только в одной из ролей.

В ситуации с существованием одного правила, объект системы получает права доступа, указанные в данном правиле.
      1. Результирующие права

В общем случае, когда пользователю назначено несколько ролей, объекту системы соответствует несколько назначенных прав. В этом случае объект получает права, подчиняющиеся следующей логике: Если во всех правилах некая операция над объектом разрешена – она будет разрешена. В противном случае эта операция запрещена.
      1. Пример настройки прав доступа

В качестве примера настройки прав доступа созданы три роли:
  1. Младший оператор.
  2. Старший оператор.
  3. Младший администратор.

Настройки роли «Младший оператор» позволяют только просмотр документов (Рис. 14).



Рис. 14. Пример настройки прав доступа – роль «Младший оператор»

Перечень разрешений роли представлен в таблице (Таблица 3).

Таблица 3. Настройки роли «Младший оператор»

Операция


Документ
Просмотр
Добавление
Редактирование
Удаление

ЛС: Торговые наименования
X









ЛС: Международные непатентованные наименования (МН)
X









ЛС: Лекарственные формы (ЛФ)
X









ЛС: Единицы измерения дозировки
X









ЛС: Единицы объема лекарственных форм

X









ЛС: Единицы веса лекарственных форм
X










Настройки роли «Старший оператор» (Рис. 15) представлены в таблице (Таблица 4). Для документа «ЛС: Единицы объема лекарственных форм» разрешено добавление, но нет разрешения на просмотр. В какой-то мере такое состояние некорректно, т.к. пользователь не сможет воспользоваться правом добавлять записи в документ, но ни к какой ошибке это не приводит.



Рис. 15. Пример настройки прав доступа – роль «Старший оператор»

Таблица 4. Настройки роли «Старший оператор»

Операция


Документ
Просмотр
Добавление
Редактирование
Удаление

ЛС: Торговые наименования












ЛС: Международные непатентованные наименования (МН)
X









ЛС: Лекарственные формы (ЛФ)
X
X






ЛС: Единицы измерения дозировки
X
X
X
X

ЛС: Единицы объема лекарственных форм




X






ЛС: Единицы веса лекарственных форм













Роль «Младший администратор» является администраторской и настроена таким образом, чтобы позволить выполнять все операции с учетными записями пользователей, а также просмотр и добавление ролей (Рис. 16).



Рис. 16. Пример настройки прав доступа – роль «Младший администратор»

Пользователю может быть назначено любое количество ролей. Если назначить одну из пользовательских ролей, права доступа будут соответствовать таблице разрешений данной роли. Пользователь, обладающий ролью «Младший администратор», получит право входа в приложение администрирования и управление там учетными записями пользователей и ролями.

Пользователь, которому назначены обе пользовательские роли – «Младший оператор» и «Старший оператор», в соотвествии с правилом сложения прав (раздел ) получит разрешения, приведенные в таблице (Таблица 5).

Таблица 5. Результат сложения ролей «Младший оператор» и «Старший оператор»

Операция


Документ
Просмотр
Добавление
Редактирование
Удаление

ЛС: Торговые наименования












ЛС: Международные непатентованные наименования (МН)
X









ЛС: Лекарственные формы (ЛФ)
X









ЛС: Единицы измерения дозировки
X









ЛС: Единицы объема лекарственных форм













ЛС: Единицы веса лекарственных форм