Уровни доступа — объяснение

Руководство администратора
Для кого
Администраторы, настраивающие права пользователей, и все, кому интересно, что означает конкретное имя уровня
Время чтения
5 мин
Требования
Прочитали **Пользователи и доступ — обзор**.

Что вы узнаете#

  • Семь уровней доступа в VAT Portal, от самого до наименее привилегированного
  • Правило «меньше число = больше власти»
  • Что обычно может каждый уровень на ресурсе
  • Как уровни связаны с видимостью в боковой панели
  • Как выбрать правильный уровень при настройке нового пользователя

Уровни#

В VAT Portal семь уровней доступа, у каждого имя и число.

ЧислоИмяОбласть
1RootГлобально (системный уровень)
10AdminГлобально (вся организация)
20CompanyAdminВнутри компании
30AppAdminПо ресурсу, по компании
35AppElevatedПо ресурсу, по компании
40OperatorПо ресурсу, по компании
50ReadOnlyПо ресурсу, по компании

Правило: меньше число = больше власти#

Числа поначалу контр-интуитивны. Чем меньше число, тем больше пользователь может. Пользователь с уровнем 30 имеет больше доступа, чем с 40, не меньше.

Это потому, что проверки доступа сравнивают числа: задача, требующая «уровень ≤ 30», означает, что уровень пользователя должен быть 30 или ниже (т.е. AppAdmin или выше в иерархии). Root (1) проходит каждую проверку; ReadOnly (50) проходит очень мало.

Думайте о числе как о ранге: ранг 1 — первое место, ранг 50 — пятидесятое. Первое место может делать всё, что может любой.

Как различается область#

Уровни различаются не только сколько может пользователь, но и где:

Глобальные уровни — Root и Admin (≤ 10)#

У Root и Admin глобальный доступ. Система разрешений не ведёт записи по компании или ресурсу для них — они обходят проверку.

  • Root (1) — системный супер-админ. Обычно зарезервирован для партнёра по внедрению или оператора инфраструктуры.
  • Admin (10) — верхний админ для вашей организации. Может видеть каждую компанию, пользователя, ресурс на всей платформе.

Глобальные админы видят переключатель компании в шапке как dropdown всех компаний системы, а не только своих.

Ограниченные уровни — CompanyAdmin до ReadOnly (20–50)#

Уровни 20 и ниже работают на компанию и на ресурс. У пользователя с этими уровнями доступ записан как набор:

«В Компании A на ресурсе document у X есть AppAdmin» «В Компании A на ресурсе user у X есть ReadOnly» «В Компании B у X нет доступа вообще»

Каждая запись независима. Тот же пользователь может быть AppAdmin на Документах и ReadOnly на Пользователях в одной компании. И иметь совершенно иной доступ в другой.

Что обычно делает каждый уровень#

Точное поведение зависит от ресурса — внутренний каталог VAT Portal решает, какие задачи требуют какого уровня. Паттерн ниже типичен для большинства.

ReadOnly (50)#

  • Может просматривать ресурс: страницы списка, деталей, поиск.
  • Не может создавать, редактировать или удалять.
  • Ресурс не появляется в боковой панели у пользователей ReadOnly. Это специально — пользователи с доступом только на просмотр видят данные, когда их открывают (напр., по прямой ссылке или по задаче), но боковая панель зарезервирована для ресурсов, с которыми можно активно работать.

Operator (40)#

  • Всё, что ReadOnly.
  • Плюс повседневные операции по задачам — согласование, отклонение, делегирование задач, заполнение полей задач.
  • Обычно не может создавать, обновлять, удалять сам ресурс (напр., новый тип документа).
  • Ресурс появляется в боковой панели.

AppElevated (35)#

  • Средний уровень — выше Operator, ниже AppAdmin.
  • Используется для задач, требующих чуть больше привилегий, чем обычный Operator, но не полного AppAdmin. Точный список зависит от ресурса.
  • На практике встречается реже, чем Operator или AppAdmin.

AppAdmin (30)#

  • Полный CRUD по ресурсу: Create, Read, Update, Delete.
  • Может управлять конфигурацией (напр., создавать типы, добавлять поля, настраивать процессы) внутри ресурса.
  • Идеальное место для большинства админов отделов, которым нужен полный контроль над одной частью системы (Документооборот, HR и т.д.) без глобальных полномочий.

CompanyAdmin (20)#

  • Фактически AppAdmin на каждом ресурсе внутри конкретной компании.
  • Обычно включает возможность управлять пользователями и их доступом внутри компании.
  • Не видит другие компании или общеорганизационные контролы.
  • Правильный уровень для «человека, который ведёт VAT Portal для нашего отдела / филиала».

Admin (10)#

  • Полный доступ по всей организации.
  • Может управлять пользователями, компаниями, модулями и каждым ресурсом в каждой компании.
  • Видит Создать компанию / Управление модулями / Отключить компанию в меню шапки.

Root (1)#

  • Системный супер-админ.
  • Редко используется напрямую — обычно только у оператора VAT Portal или первичной установочной учётки.

Уровни и боковая панель#

Боковая панель слева показывает ресурсы, с которыми можно работать. Боковая панель пользователя строится бэкендом на основе его доступа:

  • ReadOnly на ресурсе → ресурс скрыт из боковой панели.
  • Operator и выше → ресурс появляется в боковой панели.
  • Глобальные админы (Root / Admin) → каждый ресурс появляется (они обходят фильтрацию).

Поэтому только что выданное разрешение ReadOnly не добавляет новый пункт в боковую панель — для этого нужен хотя бы Operator. Если хотите, чтобы коллега ходил по разделу без изменений, ReadOnly технически подходит, но помните: им придётся добираться по ссылке или из задачи, а не кликами по боковой панели.

Выбор правильного уровня для пользователя#

Практические правила для новых пользователей:

  • Будет ли использовать Документооборот повседневно, но не настраивать? → AppAdmin на конкретных ресурсах не нужен. Operator на document и task_instance обычно достаточно. Сможет создавать документы, отвечать на задачи и видеть связанное.
  • Будет настраивать Документооборот — типы, поля, процессы?AppAdmin на нужных ресурсах (doc_type, workflow, add_field, whs_flt).
  • Будет вести VAT Portal для целой компании — включая управление другими пользователями? → CompanyAdmin.
  • Только общеорганизационные админы / ИТ / операторы платформыAdmin или Root.

При сомнениях — наименьший работающий уровень. Дать больше позже проще, чем объяснять, почему пользователь смог случайно что-то удалить.

Частые вопросы#

Дал Operator на Документах, но не может создавать.

Большинству ресурсов нужен AppAdmin (30) для create/update/delete. Operator обычно только read и действия по задачам. Если нужно создавать, используйте AppAdmin. См. Управление доступом пользователя (ACL на компанию).

В чём разница между AppAdmin и AppElevated?

AppAdmin (30) покрывает полный CRUD. AppElevated (35) — узкий уровень для конкретных привилегированных действий без полных прав конфигурации. Большинству команд не нужен — выбирайте Operator или AppAdmin.

Можно создать свой уровень?

Нет — семь уровней фиксированы. Вы настраиваете, какой уровень у пользователя по ресурсу, не новые уровни.

У пользователя Роль «Operator», но мне нужен «AppAdmin» на одной вещи. Что делать?

Роль — общий дефолт. Уровень доступа по ресурсу может отличаться от дефолта. Откройте диалог Управление доступом и задайте AppAdmin для нужного ресурса. Роль остаётся, а запись по ресурсу переопределяет для этого ресурса.

Есть уровень выше Root?

Нет. Root — верх.

Кто-то Admin. Нужно ли давать ему ещё и по ресурсу?

Нет. Admin и Root обходят проверки по ресурсу — у них глобальный доступ. Записи по ресурсу применяются только к уровню 20 и ниже.

Мой ReadOnly-пользователь говорит, что не может найти страницу.

ReadOnly скрывает ресурс из боковой панели. Дайте прямую ссылку или поднимите до Operator, если реально будет пользоваться.

Читать дальше

Связанные статьи

Пользователи и доступ — обзор
Роли — обзор
Создание нового пользователя
Управление доступом пользователя (ACL на компанию)
Управление компанией — обзор
скоро
Навигация по приложению