Перейти к основному содержимому

Настройка разрешений

Безопасность AI-Public работает на основе ролей с разрешениями.

Аккаунты и роли

Аккаунты создаются автоматически после успешной первой попытки входа. При создании аккаунтов на сервере добавляются токены, которые определяют базовую роль. Эти роли могут позже быть скорректированы уполномоченными администраторами. Первичные токены обычно:

  • Сотрудник (да/нет): устанавливается в "да", если адрес электронной почты совпадает со списком сотрудников.
  • Администратор филиала (да/нет): изначально обычно устанавливается в "нет" и позже назначается.
  • Администратор окружения (да/нет): изначально обычно устанавливается в "нет" и позже назначается.
  • Супер Администратор (да/нет): изначально обычно устанавливается в "нет" (за исключением первого Супер Администратора) и позже назначается.

Изменение роли

Супер Администратор, Администратор окружения или Администратор филиала могут назначать роли, в зависимости от своей роли и предоставленных разрешений на управление ролями. Иерархия обычно следующая:

  • Супер Администратор может назначать все прочие роли (Администратор окружения, Администратор филиала, Сотрудник).
  • Администратор окружения может назначать роли, такие как Администратор филиала и Сотрудник в рамках своей окружения.
  • Администратор филиала может назначать роль Сотрудник в рамках своей филиала/области.
  • Сотрудник не может назначать роли.

Изменение роли сопровождается настройкой соответствующих токенов на сервере.

Роли разрешений

В административной секции супер Администратор или Администратор окружения может настраивать разрешения по каждой роли. Доступные роли, для которых можно устанавливать разрешения: Супер Администратор, Администратор окружения, Администратор филиала, Сотрудник и Гость.

Роль Гость касается разрешений, предоставляемых незалогиненным пользователям. Незалогиненным пользователям должно быть доступно чтение базовой информации об окружениях, иначе невозможно сделать выбор на экране входа. Будьте крайне осторожны с предоставлением дополнительных разрешений роли Гость!

Коллекции

Разрешения выдаются по коллекциям. Коллекция — это набор похожих данных. Например, существует коллекция "Организации" и коллекция "Чаты".

Разрешения по умолчанию для базовой базы данных

Только Супер Администраторы могут настраивать разрешения по базовой базе данных.

Разрешения по tenant базе данных

После выбора роли (Супер Администратор, Администратор окружения, Администратор филиала, Сотрудник, Гость) администратор может настроить разрешения по коллекциям в tenant базе данных.

Разрешения на чтение (Read)

Разрешения на чтение касаются возможности чтения данных из базы данных.

Права на чтение могут быть настройны по возрастанию:

  • Только запись: пользователь должен знать уникальный UUID записи

  • Свои записи: только записи, созданные самим пользователем

  • Общие записи: записи, которым поделились с пользователем

  • Контролируемые записи: записи, находящиеся под контролем менеджера или администратора (например, Администратор филиала или Администратор окружения), например чаты, связанные с конкретным отделом или проектом

  • Tenant записи: все записи tenant на AI-Public

  • Все записи: все записи AI-Public

Поскольку структура базы данных такова, что каждый tenant (клиент) AI-Public имеет собственную базу данных, установка "Tenant records" отключена при настройке разрешений на tenant базы данных.

Разрешения на просмотр (View)

Здесь администратор может установить, может ли соответствующая роль (Супер Администратор, Администратор окружения, Администратор филиала, Сотрудник) видеть плитку в админ-разделе.

Разрешения на создание, обновление, удаление (Create, Update, Delete)

Эти разрешения относятся к созданию, обновлению или удалению записей и настраиваются по каждой коллекции. Права можно установить по возрастанию:

  • Своими записями: только записи, которые пользователь сам создает или создал

  • Tenant записи: все записи tenant на AI-Public

  • Все записи: все записи AI-Public

Поскольку структура базы данных такова, что каждый tenant (клиент) AI-Public имеет собственную базу данных, установка "Tenant records" отключена при настройке разрешений на tenant базы данных.