Preferencja serwisu Role dostępu umożliwia tworzenie ról
dostępu oraz zarządzanie członkostwem każdej z ról. Role dostępu umożliwiają ukrywanie czynności, stron i apletów ze stron standardowych
aplikacji. Role dostępu nie zabezpieczają jednak obiektów silnika treści ani nie eliminują możliwości wywołania przez
użytkowników tych działań, stron i apletów w przypadku ich udostępnienia za pośrednictwem innej aplikacji, interfejsu API lub za
pośrednictwem wbudowanego adresu URL wywołującego bezpośrednio działania, strony lub aplety aplikacji Workplace XT. Role dostępu nie
zastępują zabezpieczeń na poziomie pliku lub folderu.
Domyślne role dostępu
Domyślne role dostępu sterują dostępem do
funkcji administracyjnych oraz konkretnych narzędzi związanych z przepływem pracy. Domyślne role
dostępu są tworzone podczas instalowania aplikacji.
Można zmienić nazwę domyślnych ról dostępu
oraz dodawać bądź usuwać ich członków.
Nie można usunąć domyślnej roli dostępu.
Każda domyślna rola dostępu steruje
dostępem do konkretnego składnika lub narzędzia. Ponadto można przypisywać domyślne role
dostępu do innych widoków i działań.
- Administratorzy
składnika Application Engine - określa, którzy użytkownicy mogą ustawiać
preferencje serwisów oraz mają dostęp do narzędzi administracyjnych. Jedynie członkowie tej
roli dostępu mogą definiować role dostępu i członkostwo.
- Członkowie tej roli dostępu są niejawnie członkami wszystkich zdefiniowanych ról dostępu.
- Ta rola dostępu musi zawierać co najmniej jednego członka.
- Użytkownik, który ustawi początkowe preferencje programu startowego, jest automatycznie
dodawany do roli dostępu Administratorzy składnika Application Engine. Ten użytkownik staje
się autorem/właścicielem obiektów definiowanych silnika treści, które reprezentują i
chronią role dostępu w składnicy obiektów. Temu
użytkownikowi nie można odmówić dostępu do dowolnej domyślnej roli dostępu, chyba że inny
użytkownik przejmie prawo własności do obiektów definiowanych tej roli dostępu za pomocą
składnika Enterprise Manager.
- Nie można ustawić dla członka tej roli dostępu opcji Zabroń
dostępu. Można jedynie zabronić dostępu, nie dodając użytkownika do tej roli
dostępu.
- PSConsole
- określa użytkowników, którzy mają dostęp do Konsoli symulacji. Domyślnie ta rola dostępu
nie zawiera członków, do czasu dodania ich przez użytkownika.
- PSDesigner
- określa użytkowników, którzy mają dostęp do Kreatora symulacji. Domyślnie ta rola dostępu
nie zawiera członków, do czasu dodania ich przez użytkownika.
- PWAdministrator
- określa użytkowników, którzy mają dostęp do Administratora procesów. Domyślnie ta rola
dostępu nie zawiera członków, do czasu dodania ich przez użytkownika.
- PWConfiguration
- określa użytkowników, którzy mają dostęp do Konsoli konfiguracji procesów.
Domyślnie ta rola
dostępu nie zawiera członków, do czasu dodania ich przez użytkownika.
- PWDesigner
- określa użytkowników, którzy mają dostęp do Projektanta procesów w trybie projektowania i
diagramu i Kreatora subskrypcji przepływu pracy. Domyślnie ta rola dostępu nie zawiera
członków, do czasu dodania ich przez użytkownika. Aby użytkownicy mogli uzyskać dostęp do
Kreatora subskrypcji przepływu pracy, należy dodać członków do tej roli dostępu oraz nadać
każdemu członkowi prawa dostępu do tworzenia instancji i zmodyfikować uprawnienia
dowiązania dla domyślnych uprawnień klasy subskrypcji przepływu pracy w składniku Enterprise
Manager. Więcej informacji zawiera sekcja
Kreator
skryptów zabezpieczeń.
- PWDiagram
- określa użytkowników, którzy mają dostęp do Projektanta procesów w trybie diagramu.
Domyślnie ta rola dostępu nie zawiera członków, do czasu dodania ich przez użytkownika.
Niestandardowe role dostępu
Istnieje możliwość utworzenia
niestandardowych ról dostępu lub możliwość użycia domyślnych ról dostępu w celu określenia,
którzy użytkownicy mają dostęp do konkretnych składników i komend w aplikacji Workplace XT. Ról dostępu można używać razem z preferencjami
Mój pulpit,
Widoki główne i
Działania.
Jeśli użytkownik nie jest członkiem przypisanej roli dostępu, wówczas ten użytkownik nie ma
dostępu do składnika. Jeśli użytkownik jest członkiem konkretnej roli dostępu, można mu
zezwolić na dostęp lub odmówić dostępu do powiązanego składnika.
Sterowanie i rozwiązywanie konfliktów ról dostępu
Użytkownicy mogą być członkami więcej
niż jednej roli dostępu, które czasami powodują konflikty. Niekiedy konieczne może być nadanie
dodatkowego członkostwa użytkownikowi, aby zapewnić mu pełny dostęp do wszystkich
potrzebnych składników i działań. Dlatego należy pamiętać o następujących punktach podczas
nadawania członkostwa do ról dostępu, udzielania dostępu do podstawowych widoków oraz
przypisywania dostępu do działań.
- Aby przydzielić dostęp do wszystkich użytkowników, dodaj grupę #Authenticated-Users do
roli dostępu. Do tej grupy można zezwolić na dostęp bądź odmówić dostępu względem wszystkich
użytkowników.
- Jeśli użytkownik zostanie dodany do roli dostępu, domyślnie zezwala się użytkownikowi na
dostęp. W razie potrzeby dostępu należy odmówić ręcznie.
- Jeśli użytkownik jest członkiem więcej niż jednej roli dostępu i rola zawiera prawa
dostępu pozostające w konflikcie, użytkownikowi zezwala się na dostęp. To znaczy, że dostęp
przydzielony w jednej roli nadpisuje odmówienie dostępu w innej roli.
- Administratorzy składnicy obiektów zdefiniowani w składniku Content Engine mogą wyświetlać
wszystkie obiekty w składnicy obiektów bez względu na członkostwo roli dostępu.
- Jeśli użytkownikowi zostanie nadane członkostwo do roli PSConsole, PSDesigner lub
PWDesigner, a dostęp do Narzędzi zaawansowanych jest chroniony przez inną rolę dostępu,
użytkownik musi być członkiem także roli Autor - zaawansowane, aby wyświetlać Narzędzia
zaawansowane oraz uruchamiać narzędzia dla tej roli dostępu (Konsola symulacji, Kreator
symulacji, Projektant procesu lub Kreator subskrypcji przepływu pracy).
- Jeśli użytkownikowi zostanie nadane członkostwo do roli dostępu PWAdministrator lub PWConfiguration, a dostęp do menu administrowania
jest chroniony przez inną rolę dostępu, użytkownik musi być członkiem także roli Administrator, aby wyświetlać stronę lub menu
administrowania oraz uruchamiać powiązane narzędzia dla tej roli dostępu (Administrator procesów lub Konsola konfiguracji procesów).
Zmiana członkostwa roli dostępu
Informacje o członkostwie roli
dostępu są buforowane w sesji klienta, ale zmiany przypisania roli dostępu są wykonywane
natychmiastowo. Jeśli użytkownik dokona zmiany w rolach dostępu przypisanych do podstawowego
widoku lub ról dostępu przypisanych do działania, wówczas te zmiany odniosą natychmiastowy
skutek dla zalogowanych użytkowników.
Jeśli jednak użytkownik zostanie dodany bądź usunięty z
roli dostępu, kiedy nie jest aktualnie zalogowany, wówczas te zmiany odniosą skutek przy
kolejnym logowaniu użytkownika.
Użytkownik, który utworzy rolę dostępu, ma zawsze do
niej dostęp, nawet jeśli nazwa użytkownika zostanie usunięta z tej roli. Użytkownik zachowuje
dostęp właściciela do obiektów definiowanych, które reprezentują rolę dostępu w składnicy
obiektów. Aby całkowicie usunąć konto użytkownika z roli dostępu, administrator składnicy
obiektów musi użyć składnika Enterprise Manager, aby zmienić właściciela obiektów definiowanych, które reprezentują rolę dostępu.
Aby dodać członków do roli dostępu:
- Kliknij opcję Dodaj nowych członków poniżej nazwy żądanej roli
dostępu. Zostanie otworzona strona Wybierz użytkowników/grupy.
- Wybierz Użytkownika lub Grupy, aby
wyświetlić odpowiednią listę.
- Wpisz co najmniej jeden znak początkowy wyszukiwanej nazwy użytkownika bądź grupy. Na
przykład, aby znaleźć grupy o nazwie ProjectLeads i ProgramManagers, wpisz „p”. Zostaną
zwrócone wszystkie nazwy grup zaczynające się od litery „p”. Można zawęzić wyszukiwanie,
wpisując więcej znaków.
Na przykład, „proj” zwróci grupę ProjectLeads, ale grupa
ProgramManagers nie zostanie wyświetlona.
- Kliknij opcję Szukaj. Po krótkiej chwili zostaną wyświetlone zgodne nazwy.
- Jeśli liczba zgodnych nazw jest większa niż domyślnie wyświetlana liczba, wówczas nie
wszystkie wyniki zostaną wyświetlone. Należy zmienić kryterium wyszukiwania i ponownie kliknąć
Szukaj, aby zmienić liczbę wyświetlanych wyników.
- Jeśli wyniki spełniają oczekiwania, wybierz z listy żądane nazwy grup. Aby wybrać z listy
więcej niż jedną nazwę, można użyć kombinacji klawiszy Ctrl+kliknięcie
myszą lub Shift+kliknięcie myszą.
- Kliknij opcję Akceptuj. Strona preferencji serwisu zostanie
ponownie otwarta z nową nazwą użytkownika lub grupy wyświetloną dla roli dostępu pod opcją
Dozwolony dostęp.
- W razie potrzeby kliknij opcję Zabroń dostępu obok nazwy
użytkownika lub grupy, aby zabronić dostępu do konkretnego użytkownika lub grupy.
- Zapisz zmiany.
Aby usnąć użytkownika lub grupę z roli dostępu:
Kliknij
opcję Usuń obok nazwy użytkownika lub grupy roli dostępu, która ma
zostać usunięta i zapisz zmiany.
Aby zmienić dostęp z zezwalania na zabronienie:
Kliknij opcję Zabroń dostępu obok nazwy użytkownika lub grupy roli
dostępu, która ma zostać zmieniona i zapisz zmiany.
Aby dodać nową rolę dostępu:
- Kliknij opcję Dodaj rolę, aby otworzyć stronę Dodaj rolę dostępu.
- Wprowadź Nazwę roli dostępu.
- Opcjonalnie wprowadzić opis do pola Opis roli dostępu.
- Kliknij opcję Akceptuj. Zostanie otworzona strona Preferencje serwisu.
- Dodaj członków do nowej roli dostępu i zapisz zmiany.
Aby usunąć rolę
zdefiniowaną przez użytkownika:
Kliknij opcję Usuń rolę
poniżej nazwy roli dostępu, która ma zostać usunięta, a następnie zapisz zmiany.
Aby
zmienić nazwę roli dostępu:
- Kliknij opcję Zmień nazwę roli poniżej żądanej roli dostępu.
- Edytuj Nazwę roli dostępu.
- Edytuj opis, jeśli ma zastosowanie.
- Kliknij opcję Akceptuj i zapisz zmiany.