Základní vlastnosti přístupových oprávnění
Přístupová práva obecně
Přístupová práva v systému Atollon Server Platform (dále jen ASP) jsou spravována jediným modulem, na serverové úrovni se jedná o modul mod.access, na klientské straně access.bpl (v případě Win klienta). Na klientské straně modul access zpřístupňuje administrační rozhraní pro definici přístupových práv systému. Samotná kontrola přístupových oprávnění probíhá z bezpečnostních důvodů pouze na serverové straně.
Přístupová práva jsou spravována ve stromové struktuře Atollon Directory. Stromová struktura obsahuje množství administračních složek, obsahujících rozličné definice či číselníky a složky obsahující data společnosti (např. kontakty, zprávy, dokumenty, apod.). Více o jednotlivých administračních složkách v sekci Nastavení číselníků systému.
Veškeré položky systému (jak koncové objekty (leaf object) - data tak složky (node)) mají svou vlastní definici přístupů (ACL = Access Control List), tedy seznam uživatelů, skupin nebo uživatelů přiřazených do role na položce, kteří mají svá přístupová oprávnění na danou položku. Systém při každé žádosti o akci na položce, u které je definována ACL, kontroluje přístupová oprávnění uživatele, pod jehož přihlášením je žádost podávána.
Uživatel systému
Uživatel je definován svým uživatelským jménem a heslem.
Uživatel v systému získává přístupová práva k jednotlivým položkám buď přímým přiřazením uživatele k dané položce, případně děděním uživatelských práv, přiřazením uživatele do role na projektu nebo subjektu nebo přiřazením uživatele do skupiny, která má daná přístupová oprávnění.
Uživatelské skupiny
Uživatelská skupina je seznam uživatelů systému, kterým jsou přidělena stejná práva. Skupině je možné přiřadit libovolná práva pro kteroukoli položku systému, přičemž uživatelé přiřazení do dané skupiny tato práva automaticky získávají. Doporučuje se ve většině případů přidělovat uživatelům přístupová oprávnění prostřednictvím uživatelských skupin nebo rolí.
Uživatelské role
Ve speciálním nastavení je možné např. k subjektům a projektům přiřazovat uživatele do rolí. Díky přiřazení uživatele do definované role pak uživatel získává práva dané role. Práva role mohou být definovaná obecně pro veškeré projekty nebo subjekty, přičemž uživatel získává práva pouze na konkrétních subjektech a projektech, ke kterým byl přiřazen.
Na kartě uživatele je možné definovat, do kterých rolí může být daný uživatel zařazen.
Úrovně uživatelských oprávnění
|
New / Nový |
Umožňuje uživateli založit novou položku (právo je aplikovatelné pouze pro složky) |
|
List / Seznam |
Umožňuje uživateli zobrazit název a některé další atributy položky, bez zobrazení obsahu položky. |
|
View / Zobrazit |
Umožňuje uživateli zobrazení obsahu položky. Toto právo je nutné kombinovat s právem list. |
|
Edit / Upravit |
Umožňuje uživateli měnit obsah dané položky (pokud je položka upravitelná). Toto právo však může být v různých částech systému omezeno v případě nutnosti schvalování, apod. |
|
Delete / Smazat |
Umožňuje uživateli smazat danou položku (pokud to umožňuje systém). |
|
Authorize / Schválit |
Umožňuje uživateli schvalovat danou položku (aplikováno pouze u některých položek systému). |
|
Admin / Správa |
Specifické právo, které může být definováno pouze uživatelem root. Pokud je toto právo v systému nastaveno, práva pro daného uživatele nebo skupinu nemohou být jakýmkoli uživatelem systému měněna. Na práva pro ostatní uživatele nebo skupiny však toto omezení nemá vliv. Toto právo se nastavuje zejména z důvodu zamezení možnosti odejmout veškerá práva položky pro správce systému. |
|
Rights / Práva |
Umožňuje uživateli měnit práva dané položky. |
|
Public / Veřejné |
Specifické právo, jež je přepínačem umožňujícím veřejným uživatelům systému použít práva pro veřejné uživatele definovaná. Veřejný uživatel je takový, který je v nastavení uživatele označen jako veřejný (toto právo není vhodné využívat pro interní uživatele). |
Další vlastnosti
Dědění práv
Z důvodu snadnější správy přístupových práv systému atollon Directory umožňuje dědění práv v libovolné stromové struktuře. Výchozí dědění práv je nastaveno dle stromové struktury atollon Directory, přičemž uzel, ze kterého jsou práva podřízených položek děděna je možné volně definovat pomocí šablonových práv položky. Každá složka (jelikož složky nejsou koncovým objektem systému) definuje vedle vlastního ACL (tedy oprávnění na danou složku) též práva, která zdědí položky, které jsou pod danou složkou založeny. Standardní dědění spočívá v nastavení odkazu v šablonovém právu složky na složku samotnou. Nově založená položka pod složkou tak získá odkaz na práva nadřazené složky (a přebírá tak veškerá oprávnění, která jsou na této složce a veškerých předchozích definována). Tento odkaz je však možné definovat i na jinou složku systému a tím definovat jiné cesty dědění práv než ty, které jsou definovány v základní stromové struktuře atollon Directory. Díky odkazům práv na libovolnou složku systému je možné způsob definice práv v systému určit zcela libovolně.
Pokud správce systému do šablonových práv složky přidá nějaká oprávnění pro uživatele, skupinu nebo roli, tato práva budou aplikována na veškeré položky nově založené pod danou složkou. Toto je zejména důležité při definici práv pro role na subjektu a projektu v systému. Pokud jednotlivé role nebudou v šablonových právech organizace nastaveny na začátku správně, případná změna těchto práv bude v budoucnosti velmi komplikovaná. Naopak hromadná změna práv pro uživatele a skupiny, definované na úrovni jakékoli nadřazené složky je ihned aplikována do veškerých složek, které jsou od této výchozí odvozeny. V průběhu dědění práv je pak možné na libovolné úrovni stromu práva pro uživatele a skupiny přidat, postup dědění práv je též možné v libovolné úrovni stromu přerušit a nastavit práva nižší, než která jsou definována ve výše položených složkách.
Nastavení výchozích přístupových práv ve stromu organizace
Veškerá přístupová oprávnění je možné díky funkci dědění práv ve stromu nastavit pro celou organizaci pouze na úrovni nejvyšší složky v organizaci, tj. Např. OnTour Folders, nebo přímo Root (která je nejvyšší složkou systému). Pokud dále nechcete upravovat individuální oprávnění v rámci dalších položek ve stromu, je nutné nastavit na této úrovni plná práva pro skupinu Everyone, do které budou přiřazeni veškeří uživatelé.
Plná práva jsou: Rights, New, List, View, Delete, Auth., práva Admin a Public jsou specifická a neměla by být standardně užívána.
Pro zabezpečení spravovatelnosti veškerých přístupových oprávnění v systému je vhodné (pouze pod přihlášeným uživatelem root) založit skupinu Administrators. Této skupině je vhodné přiřadit veškerá práva (kromě práva Public) na uzlu OnTour Folders. Pro to, aby správci systému mohli zobrazit ISP Directory ve stromové struktuře, je nutné dále přiřadit správcům práva List a View na rootu stromu a dále v nastavení uživatele zaškrtli povolení pro zobrazení administračního stromu.
Právo Admin slouží k zabezpečení přístupu správců systému k veškerým datům dané organizace. Toto právo totiž nemůže být kterýmkoli uživatelem systému změněno (pouze uživatelem root).