RLS (Record Level Security): различия между версиями

Статья в разработке

Введение

Технология Record Level Security (RLS), или Безопасность на уровне записи, позволяет предоставлять доступ к информации на уровне записи. Используется в случае необходимости закрыть отдельным пользователям доступ к информации, которая лежит вне их компетенции, либо к информации, не относящейся к их подразделению или предприятию, если программа используется для нескольких предприятий. В частности, данная функция позволяет закрыть доступ рядовым пользователям к документам и отчетам, касающимся активов и финансов.

Суть механизма заключается в разграничении прав доступа сотрудников к информации так, чтобы они могли видеть только информацию, лежащую в их компетенции и относящуюся только к той организации, в которой они работают.

Справочник «Доступ по подразделениям»

Для этого подразделения и пользователи добавляются в специальный справочник «Доступ по подразделениям» по принципу: какие подразделения доступны каким пользователям.

Добавление подразделений

Сначала в справочник добавляются подразделения организации. Подразделения могут быть сгруппированы по иерархии.

Добавление пользователей

Во вкладке «Пользователи» кнопкой «Добавить» добавляются пользователи, которые будут иметь доступ к добавленному подразделению (или группе подразделений).

Выбор роли пользователя RLS

Для пользователей, которым требуется настроить ограничение прав, требуется выбрать роль «Пользователь RLS».

Обратите внимание! Роли пользователя суммируются, а не исключают друг друга, - поэтому необходимо снять флажки со всех остальных ролей, дающих доступ к документам, таким как «Пользователь», «Базовые права», «Пользователь CRM». Иначе эти роли отключат все ограничения роли «Пользователь RLS». Можно установить дополнительные роли, такие как «Редактирование Веб Прайс-Листов», «Редактирование аналогов», «Редактирование применяемости», «Помощник продаж», - которые не дают никакого доступа к документам: эти роли можно совмещать с ролью «Пользователь RLS».

Все будет работать, если доступна в качестве основной роль «Пользователь RLS» и дополнительные, которые никакого доступа к документам не дают: такие как Редактирование Веб Прайс-Листов, Редактирование аналогов, Редактирование применяемости, Помощник продаж, - эти права можно совмещать с ролью «Пользователь RLS». Такие права как «Пользователь», «Базовые права», «Пользователь CRM» отключат все ограничения роли «Пользователь RLS».

Настройка доступа пользователя к подразделениям

Во вкладке «Доступ к подразделениям» требуется указать, какие подразделения будут доступны пользователю.

После записи этот пользователь автоматически добавится в справочник «Доступ по подразделениям» (в те подразделения, которые указаны в его карточке пользователя).

Текущие ограничения в логике RLS

Список документов, на которые (не)распространяется работа функционала:

Пример использования

Так отображается список документов «Чек на оплату» у пользователя с выбранной ролью «Пользователь»:

Если у пользователя снять роль «Пользователь» и установить роль «Пользователь RLS», этот же список будет выглядеть следующим образом: