Предпочтение сайта Роли доступа позволяет создавать роли доступа и управлять членством в каждой из ролей доступа.
Роли доступа позволяют скрыть действия, страницы и апплеты на стандартных страницах в приложении.
Однако роли доступа не обеспечивают защиту объектов Content Engine и не запрещают пользователям вызывать эти действия, страницы и апплеты, если доступ к ним осуществляется через другое приложение, API или пользовательский URL, а также путем непосредственного вызова действий, страниц или апплетов Workplace XT.
Роли доступа не заменяют защиту на уровне файлов или папок.
Роли доступа по умолчанию
Роли доступа по умолчанию управляют доступом к административным функциям и к отдельным инструментам, связанным с рабочими потоками.
Роли доступа по умолчанию создаются при установке приложения.
Вы можете переименовать роли доступа по умолчанию, а также добавить или удалить членов.
Удалить роль доступа по умолчанию нельзя.
Каждая роль доступа по умолчанию управляет доступом к определенной функции или инструменту.
Кроме того, вы можете назначать роли доступа по умолчанию для других представлений и действий.
- Администраторы Application
Engine - Эта роль указывает, кто из пользователей может задавать предпочтения сайта и получать доступ к утилитам администрирования.
Задавать роли доступа и членов ролей могут только члены этой роли доступа.
- Члены этой роли доступа подразумеваемым образом являются членами всех заданных ролей доступа.
- У этой роли доступа должен быть хотя бы один член.
- Пользователь, который задает предпочтения начальной загрузки при первоначальном использовании, автоматически добавляется в роль доступа Администраторы Application Engine.
Этот пользователь станет создателем/владельцем пользовательских объектов в Content Engine, которые соответствуют ролям доступа в хранилище объектов.
Этому пользователю нельзя отказывать в доступе ни к одной из ролей доступа по умолчанию, если другой пользователь не примет во владение пользовательские объекты ролей доступа при помощи Enterprise Manager.
- Для члена этой роли доступа нельзя выбрать Отказать в доступе. Отказать в доступе можно, только если не добавлять пользователя в эту роль.
- PSConsole -
Определяет, кто из пользователей может получать доступ к Simulation Console. По умолчанию, эта роль не содержит членов, пока вы их не добавите.
- PSDesigner -
Определяет, кто из пользователей может получать доступ к Simulation Designer. По умолчанию, эта роль не содержит членов, пока вы их не добавите.
- PWAdministrator -
Определяет, кто из пользователей может получать доступ к Process Administrator. По умолчанию, эта роль не содержит членов, пока вы их не добавите.
- PWConfiguration -
Определяет, кто из пользователей может получать доступ к Process Configuration. По умолчанию, эта роль не содержит членов, пока вы их не добавите.
- PWAdministrator -
Определяет, кто из пользователей может получать доступ к Process Administrator в режиме разработки и работы с диаграммами и к мастеру подписки на рабочие потоки. По умолчанию, эта роль не содержит членов, пока вы их не добавите. Чтобы пользователи смогли получить доступ к мастеру подписки на рабочие потоки, вы должны добавить членов в эту роль доступа и предоставить каждому пользователю права на создание экземпляров и изменение ссылок в разрешениях по умолчанию для класса Подписка на рабочие потоки при помощи Enterprise Manager. Дополнительную информацию смотрите в разделе Мастер сценариев защиты.
- PWDiagram -
Определяет, кто из пользователей может получать доступ к Process Designer в режиме работы с диаграммами. По умолчанию, эта роль не содержит членов, пока вы их не добавите.
Пользовательские роли доступа
Вы можете создавать пользовательские роли доступа или использовать роли доступа по умолчанию, чтобы указать, кто из пользователей сможет получить доступ к тем или иным функциям и командам в Workplace XT. Роди доступа можно использовать в сочетании с предпочтениями Мое Workplace, Первичные представления и Действия.
Если пользователь не является членом назначенной роли доступа, он не сможет получить доступ к этой функции.
Если пользователь является членом конкретной роли доступа, вы можете разрешить или запретить этому члену доступ к связанной функции.
Разрешение прав доступа при наличии нескольких ролей доступа
Пользователи могут быть членами более чем одной роли доступа, у которых разрешения на доступ могут вступать друг с другом в конфликт.
Кроме того, в некоторых ситуациях вам может потребоваться предоставить пользователю дополнительное членство, чтобы обеспечить этому пользователю полный доступ ко всем соответствующим функциям и действиям.
При назначении пользователей членами ролей доступа, назначении доступа к первичным представлениями и к действиям имейте в виду следующее:
- Чтобы предоставить доступ всем пользователям, добавьте в роль доступа группу #Authenticated-Users.
Вы можете разрешить или запретить этой группе предоставлять доступ или отказывать в предоставлении доступа всем пользователям.
- При добавлении пользователя в роль доступа ему предоставляются права доступа по умолчанию.
Если потребуется, вы должны будете вручную аннулировать предоставление ему тех или иных прав доступа.
- Если пользователь является членом более чем одной роли доступа и если права на доступ (Разрешить/Отказать) у этих ролей доступа вступают друг с другом в конфликт, пользователю будет разрешен доступ.
То есть, предоставление разрешения на доступ в одной роли доступа переопределяет отказ в предоставлении разрешения в другой роли доступа.
- Администраторы хранилищ объектов, заданные в Content Engine, могут просматривать все объекты в хранилище объектов независимо от членства в ролях доступа.
- Если пользователь назначен членом роли доступа PSConsole, PSDesigner или PWDesigner, а вы защитили дополнительные инструменты, задав другую роль доступа, то, чтобы этот пользователь смог увидеть дополнительные инструменты и запустить инструменты для роли доступа (Simulation Console, Simulation Designer,
Process Designer или мастер подписки на рабочие потоки), он также должен быть членом роли доступа "Расширенный авторинг".
- Если пользователь назначен членом роли доступа PWAdministrator или PWConfiguration, а вы защитили меню Администрирование с использованием другой роли доступа, то чтобы этот пользователь смог увидеть страницу или меню Администрирование и запустить связанные инструменты для роли доступа (Process Administrator или Process Configuration Console), он также должен быть членом роли доступа Администратор.
Изменение членства в ролях доступа
Информация о членстве в ролях доступа кэшируется в ходе сеанса клиента, но изменения назначений ролей доступа вступают в силу немедленно.
Если вы измените роль доступа, назначенную для первичного представления, или роли доступа, назначенные для действия, эти изменения срезу же вступят в силу для пользователей, которые к этому моменту вошли в систему.
Однако если вы добавите или удалите пользователя из роли доступа, пока пользователь еще не вышел из системы, изменения вступят в силу, когда этот пользователь в следующий раз войдет в систему.
У пользователя, который создал роль доступа, всегда будет доступ к этой роли доступа, даже если имя этого пользователя будет удалено из данной роли. За пользователем сохраняются права доступа владельца пользовательских объектов, соответствующих роли доступа к хранилище объектов.
Чтобы полностью удалить учетную запись пользователя из роли доступа, администратор хранилища объектов должен при помощи Enterprise Manager изменить владельца пользовательских объектов, соответствующих этой роли доступа.
Чтобы добавить членов в роль доступа:
- Щелкните по Добавить новых членов под именем нужной роли доступа.
Откроется страница Выбрать пользователей/группы.
- Выберите либо Пользователь, либо Группы, чтобы увидеть соответствующий список.
- Введите одну или несколько букв, с которых начинаются имена пользователей или групп, которые вы хотите найти. Например, чтобы найти группы ProjectLeads и ProgramManagers, введите "p". Будут возвращены все имена групп, начинающиеся с буквы "p". Вы можете сузить область поиска, введя больше символов.
Например, если ввести "proj", будет возвращено значение ProjectLeads, но не ProgramManagers.
- Щелкните по Поиск. После небольшой задержки, будут показаны подходящие имена.
- Если число подходящих имен больше, чем число выводимых по умолчанию, будут показаны не все совпадения. Вы должны изменить критерии поиска и снова щелкнуть по Поиск, чтобы увидеть больше результатов.
- Когда результаты вас устроят, выберите в списке нужные имена групп. Чтобы выбрать в списке более одного имени, нажмите клавишу Ctrl Shift и, не отпуская ее, щелкните мышью по соответствующим элементам.
- Щелкните по Принять. Снова откроется страница предпочтений сайта, где в качестве роли доступа под заголовком Разрешенный доступ будет указано новое имя пользователя или группы.
- Если потребуется, щелкните по Отказать в доступе рядом с именем пользователя или группы, чтобы отказать в праве доступа этому пользователю или группе.
- Сохраните изменения.
Чтобы удалить пользователя или группу из роли доступа:
Щелкните по Удалить рядом с именем пользователя или группы в роли доступа, которых вы хотите удалить, а затем сохраните изменения.
Чтобы изменить предоставление прав доступа с Разрешить на Отказать:
Щелкните по Отказать в доступе рядом с именем пользователя или группы в роли доступа, для которых вы хотите изменить права на доступ, а затем сохраните изменения.
Чтобы добавить новую роль доступа:
- Щелкните по Добавить роль, чтобы открыть страницу Добавить роль доступа.
- Введите значение в поле Имя роли доступа .
- (Необязательно) Введите описание в поле Описание роли доступа.
- Щелкните по Принять. Откроется страница предпочтений сайта.
- Добавьте членов в новую роль доступа и сохраните свои изменения.
Чтобы удалить роль доступа, заданную пользователем:
Щелкните по Удалить роль под именем роли доступа, которую вы хотите удалить, и сохраните изменения.
Чтобы переименовать роль доступа:
- Щелкните по Переименовать роль под нужной ролью доступа.
- Измените значение в поле Имя роли доступа .
- Если это применимо, измените описание.
- Нажмите кнопку Принять и сохраните изменения.