Управление доступом пользователя (ACL на компанию)

Руководство администратора
Для кого
Администраторы, которым нужно настроить, что может пользователь, помимо дефолтов роли
Время чтения
5 мин
Требования
Прочитали **Уровни доступа — объяснение**, **Роли — обзор** и **Назначение пользователя нескольким компаниям**. Пользователь, которого настраиваете, уже назначен в компанию, которую хотите настроить.

Что вы узнаете#

  • Что делает диалог Управление доступом и как связан с ролями
  • Как выдавать, отзывать и менять доступ по ресурсам
  • Как настройка компании ограничивает, что можно выдать
  • Что происходит при снятии отметки с ресурса

Что настраивает этот диалог#

Диалог Управление доступом контролирует уровень доступа пользователя по ресурсу в конкретной компании. Инструмент, к которому обращаетесь, когда дефолт роли не совсем подходит — нужно больше в одном, меньше в другом, или компания, где он, имеет другой набор, чем его основная.

Для каждого ресурса, куда пользователь может попасть (Документы, Процессы, Пользователи, Отделы и т.д.), диалог позволяет:

  • Отметить — пользователь может использовать ресурс. Выбрать уровень.
  • Снять отметку — у пользователя нет доступа к ресурсу в этой компании. Не появится в боковой панели, не увидит на дашборде, бэкенд отклонит попытки использования.

Каждая компания настраивается независимо. Большинству не нужна корректировка — дефолты при создании правильные.

Открытие Управление доступом#

  1. Откройте Настройки → Пользователи в боковой панели.
  2. Найдите пользователя — поиск по имени или логину.
  3. Нажмите меню из трёх точек в конце строки.
  4. Выберите Управление доступом.

Диалог открывается с предвыбранной первой компанией. Если нужна другая, выберите в dropdown сверху.

Screenshot
manage-access-dialog
Placeholder · image will be added
Открытый диалог Управление доступом для пользователя с реалистичными именами компании и доступа. Покажите dropdown Выбор компании сверху с одной выбранной (напр., «Acme Corp»). Ниже должны быть видны два модуля: один свёрнутый (со значком 2/5, показывающим, сколько ресурсов отмечено) и один развёрнутый с 3–4 ресурсами внутри — один не отмечен, один отмечен с уровнем Operator, один — с AppAdmin. Dropdown уровня доступа по ресурсу должен быть чётко виден хотя бы в одной отмеченной строке. Ширина десктопа.

Дерево модулей / ресурсов#

Основная область — список модулей (Документооборот, Утилиты, HR, Настройки). Каждый — сворачиваемая строка:

  • Чекбокс модуля в целом (все / частично / никаких состояний).
  • Значок счётчика вроде 2/5, означающий, что из 5 ресурсов модуля 2 сейчас выданы.
  • Шеврон — клик разворачивает.

Развернув модуль, видите его ресурсы (напр., Документооборот → Документы, Типы документов, Процессы согласования, Мои задачи, Администрирование процессов). У каждого:

  • Чекбокс — выдан или нет.
  • Dropdown уровня, появляющийся, только когда ресурс отмечен.

Отметка / снятие на уровне модуля#

Клик по чекбоксу модуля переключает все ресурсы внутри:

  • Если все отмечены → снимает со всех (отзывает доступ ко всему модулю для этой компании).
  • Если ни один не отмечен → отмечает все (выдаёт на самом допустимом уровне).
  • Если смесь → дозаполняет до полного набора.

Полезно, чтобы быстро выдать или отозвать доступ ко всему модулю.

Выдача доступа к ресурсу#

  1. Разверните нужный модуль (шеврон или чекбокс модуля).
  2. Найдите нужный ресурс.
  3. Отметьте чекбокс. Рядом появляется dropdown уровня.
  4. Выберите уровень — Operator, AppAdmin, ReadOnly и т.д. См. Уровни доступа — объяснение.
  5. Повторите для других ресурсов.
  6. Нажмите Сохранить внизу.

Изменение вступает в силу сразу при сохранении. Пользователю может потребоваться обновить браузер (или выйти и зайти), чтобы увидеть новые пункты боковой панели.

Какие уровни можно выбрать#

Dropdown показывает только уровни, для которых сама компания настроена на этом ресурсе. Компания с максимумом Operator на ресурсе не даст выдать AppAdmin никакому пользователю — максимум Operator.

Это по замыслу. У пользователя не может быть больше власти, чем у компании включено. Если нужен выше, чем даёт dropdown, сначала настройте сам модуль компании — см. Назначение модулей и ресурсов компании в разделе Управление компанией.

Отзыв доступа#

Убрать ресурс у пользователя в этой компании:

  1. Найдите строку.
  2. Снимите отметку.
  3. Нажмите Сохранить.

Переключение между компаниями#

Пользователь может быть в нескольких, каждая настроена независимо.

  1. Используйте dropdown Выбор компании сверху.
  2. Дерево перезагружается, показывая ACL новой выбранной.
  3. Внесите изменения и нажмите Сохранить — применяется только к текущей выбранной.
  4. Переключитесь на другую при необходимости и повторите.

Каждая компания — отдельное сохранение. Если менять настройки в Компании A и переключиться на Компанию B без сохранения, изменения A потеряются.

Частые вопросы#

Сменил роль пользователя, но доступ по ресурсам тот же.

Ожидаемо. Роль задаёт дефолты в момент создания; потом ACL-записи живут независимо в Управление доступом. Смена роли не переписывает их. Чтобы сбросить под новую роль, настройте вручную (или очистите + выдайте заново).

Снял отметку с ресурса, и теперь пользователь ничего не видит в той области. Правильно сделал?

Да — так работает снятие. Если хотели только-просмотр, снятие было неправильным — нужен уровень ReadOnly.

Нужного ресурса нет в списке.

Две возможности: либо у компании не включён этот модуль/ресурс (админ с Управление компанией должен добавить — см. раздел), либо у вашей учётки нет видимости полного каталога. Проверьте со старшим админом.

Могу выбрать только до Operator на ресурсе, но нужно дать AppAdmin.

Ограничивает сама настройка компании. Сначала нужно включить AppAdmin-уровень на ресурсе через Управление компанией → Управление модулями. Когда компания разрешит, dropdown будет включать более высокий.

Модуль показан как неопределённый (частично отмечен). Это проблема?

Нет — частично отмечен нормально, когда есть одни ресурсы, но не другие (напр., может создавать Документы, но не Типы). Чекбокс модуля — просто визуальная сводка.

Что значит «выбранный счёт» внизу?

Общее число отмеченных ресурсов по всем модулям для выбранной компании. Быстрая sanity-check («ожидал 12 ресурсов, счёт говорит 3 — что-то не так»).

Можно вставить массовую конфигурацию откуда-то, или только кликать?

Только вручную. Для онбординга нового с теми же правами, что у существующего, Копировать пользователя часто быстрее, чем настраивать Управление доступом с нуля.

Сохранил, но пользователь говорит, что всё ещё не видит/не может то, что только что выдал.

Попросите обновить браузер или выйти и зайти. Данные профиля кешируются недолго, изменение может не распространиться в середине сессии.

Читать дальше

Связанные статьи

Пользователи и доступ — обзор
Уровни доступа — объяснение
Роли — обзор
Создание нового пользователя
Копирование пользователя (наследование прав)
Назначение пользователя нескольким компаниям
Назначение модулей и ресурсов компании
скоро