Základní vlastnosti přístupových oprávnění
Přístupová práva obecně
Přístupová práva v systému Atollon Server Platform (dále jen ASP) jsou spravována na serverové úrovni prostřednictvím modulu mod.access. Na klientské straně modul access zpřístupňuje administrační rozhraní pro definici přístupových práv systému. Samotná kontrola přístupových oprávnění probíhá z bezpečnostních důvodů pouze na serverové straně.
Přístupová práva jsou spravována ve stromové struktuře Atollon Directory. Stromová struktura obsahuje množství administračních složek, obsahujících rozličné definice či číselníky a složky obsahující data společnosti (např. kontakty, zprávy, dokumenty, apod.).
Veškeré položky systému (jak koncové objekty (leaf object) - data tak složky (node)) mají svou vlastní definici přístupů (ACL = Access Control List), tedy seznam uživatelů, skupin nebo uživatelů přiřazených do role na projektu (klientovi, apod.), kteří mají svá přístupová oprávnění na danou položku. Systém při každé žádosti o akci na položce, u které je definována ACL, kontroluje přístupová oprávnění uživatele, pod jehož přihlášením je žádost podávána.
Uživatel systému
Uživatel je definován svým uživatelským jménem a heslem.
Uživatel v systému získává přístupová práva k jednotlivým položkám buď přímým přiřazením uživatele k dané položce, případně děděním uživatelských práv, přiřazením uživatele do role na projektu nebo složky klienta nebo přiřazením uživatele do skupiny, která má daná přístupová oprávnění.
Doporučení
Výchozí práva v systému na jednotlivé objekty (typy složek, projektů, funkce - fakturace, formuláře, apod.) by se měla definovat vůči uživatelským skupinám (např. "Fakturace - schvalovatelé" nebo "Přehled klientů") - tak, aby se zachovala flexibilita při případných změnách v uživatelských oprávněních, jako jsou příchod nového zaměstnance, změna v oprávněních stávajícího, apod.
Uživatelské skupiny
Uživatelská skupina je seznam uživatelů systému, kterým jsou přidělena stejná práva. Skupině je možné přiřadit libovolná práva pro kteroukoli položku systému, přičemž uživatelé přiřazení do dané skupiny tato práva automaticky získávají.
Uživatelské role
Ve speciálním nastavení je možné např. k složkám klientů a projektům přiřazovat uživatele do rolí. Díky přiřazení uživatele do definované role pak uživatel získává práva dané role. Práva role mohou být definovaná obecně pro veškeré projekty nebo subjekty, přičemž uživatel získává práva pouze na konkrétních subjektech a projektech, ke kterým byl přiřazen.
Na kartě uživatele je možné definovat, do kterých rolí může být daný uživatel zařazen.
Upozornění
Práva na role musí být definována v šabloně složky nebo projektu před vytvořením konkrétní složky nebo role. Pokud chcete definovat práva dodatečně, je nutné do existujících projektů a složek práva rolí zadat ručně nebo pomocí hromadných změn v reportingu.
Úrovně uživatelských oprávnění
|
New / Nový |
Umožňuje uživateli založit novou položku (právo je aplikovatelné pouze pro složky) |
|
List / Seznam |
Umožňuje uživateli zobrazit název a některé další atributy položky, bez zobrazení obsahu položky. |
|
View / Zobrazit |
Umožňuje uživateli zobrazení obsahu položky. Toto právo je nutné kombinovat s právem list. |
|
Edit / Upravit |
Umožňuje uživateli měnit obsah dané položky (pokud je položka upravitelná). Toto právo však může být v různých částech systému omezeno v případě nutnosti schvalování, apod. |
|
Delete / Smazat |
Umožňuje uživateli smazat danou položku (pokud to umožňuje systém). |
|
Authorize / Schválit |
Umožňuje uživateli schvalovat danou položku (aplikováno pouze u některých položek systému). |
|
Admin / Správa |
Specifické právo, které může být definováno pouze uživatelem root. Pokud je toto právo v systému nastaveno, práva pro daného uživatele nebo skupinu nemohou být jakýmkoli uživatelem systému měněna. Na práva pro ostatní uživatele nebo skupiny však toto omezení nemá vliv. Toto právo se nastavuje zejména z důvodu zamezení možnosti odejmout veškerá práva položky pro správce systému. |
|
Rights / Práva |
Umožňuje uživateli měnit práva dané položky. |
|
Do not inherit / Stop dědění |
Specifické právo, jež označuje zákaz dědění tohoto konrétního nastavení v ACL. Využívá se např. při potřebě listovat složky / projekty. S tím, že je následně zakázáno dědění práv. |
Další vlastnosti
Dědění práv
Z důvodu snadnější správy přístupových práv systému Atollon umožňuje dědění práv ve stromové struktuře. Výchozí dědění práv je nastaveno dle stromové struktury Atollon Directory, přičemž práva podřízených položek jsou vytvořena na základě šablonových práv položky. Každá složka (jelikož složky nejsou koncovým objektem systému) definuje vedle vlastního ACL (tedy oprávnění na danou složku) též práva, která zdědí položky, které jsou pod danou složkou založeny. Všechny nově vytvářené složky nebo data v systému automaticky získávají práva svých nadřazených složek (a přebírají tak veškerá oprávnění, která jsou na této složce a veškerých předchozích definována). Toto dědění je však možné zastavit tím, že se odkazy na nadřazené uzly vymažou. Poté je možné nastavit práva pro každý objekt v Atollonu individuálně.
Pokud správce systému do šablonových práv složky přidá nějaká oprávnění pro uživatele, skupinu nebo roli, tato práva budou aplikována na veškeré položky nově založené pod danou složkou. Toto je zejména důležité při definici práv pro role na složce a projektu v systému. Pokud jednotlivé role nebudou v šablonových právech organizace nastaveny na začátku správně, případná změna těchto práv bude v budoucnosti komplikovaná. Naopak hromadná změna práv pro uživatele a skupiny, definované na úrovni jakékoli nadřazené složky je ihned aplikována do veškerých složek, které jsou od této výchozí odvozeny. V průběhu dědění práv je pak možné na libovolné úrovni stromu práva pro uživatele a skupiny přidat, postup dědění práv je též možné v libovolné úrovni stromu přerušit a nastavit práva nižší, než která jsou definována ve výše položených složkách.
Nastavení výchozích přístupových práv ve stromu organizace
Veškerá přístupová oprávnění je možné díky funkci dědění práv ve stromu nastavit pro celou organizaci pouze na úrovni nejvyšší složky v organizaci, nebo přímo Root (která je nejvyšší složkou systému). Pokud dále nechcete upravovat individuální oprávnění v rámci dalších položek ve stromu, je nutné nastavit na této úrovni plná práva pro skupinu Interní uživatelé, do které budou přiřazeni veškeří uživatelé.
Pro zabezpečení spravovatelnosti veškerých přístupových oprávnění v systému je vhodné (pouze pod přihlášeným uživatelem root) založit skupinu Administrators. Této skupině je vhodné přiřadit veškerá práva (kromě práva Do not inherit) začátku stromové struktury. Pro to, aby správci systému mohli zobrazit Atollon Directory ve stromové struktuře, je nutné dále přiřadit správcům práva List a View na rootu stromu a dále v nastavení uživatele zaškrtli povolení pro zobrazení administračního stromu.
Právo Admin slouží k zabezpečení přístupu správců systému k veškerým datům dané organizace. Toto právo totiž nemůže být kterýmkoli uživatelem systému změněno (pouze uživatelem root).