Základní vlastnosti přístupových oprávnění

Přístupová práva obecně

Přístupová práva v systému Atollon Server Platform (dále jen ASP) jsou spravována na serverové úrovni prostřednictvím modulu mod.access. Na klientské straně modul access zpřístupňuje administrační rozhraní pro definici přístupových práv systému. Samotná kontrola přístupových oprávnění probíhá z bezpečnostních důvodů pouze na serverové straně.

Přístupová práva jsou spravována ve stromové struktuře Atollon Directory. Stromová struktura obsahuje množství administračních složek, obsahujících rozličné definice či číselníky a složky obsahující data společnosti (např. kontakty, zprávy, dokumenty, apod.).

Viz schematicky Atollon Tree Model.pdf

Veškeré položky systému (jak koncové objekty (leaf object) - data tak složky (node)) mají svou vlastní definici přístupů (ACL = Access Control List), tedy seznam uživatelů, skupin nebo uživatelů přiřazených do role na projektu (klientovi, apod.), kteří mají svá přístupová oprávnění na danou položku. Systém při každé žádosti o akci na položce, u které je definována ACL, kontroluje přístupová oprávnění uživatele, pod jehož přihlášením je žádost podávána. (Např. pokud chce uživatel položku v seznamu, musí mít na ní LIST práva. Pokud chce položku smazat, musí na ní mít DELETE práva, apod.)

Uživatel systému

Uživatel je definován svým uživatelským jménem a heslem.

Uživatel v systému získává přístupová práva k jednotlivým položkám buď přímým přiřazením uživatele k dané položce, případně děděním uživatelských práv, přiřazením uživatele do role na projektu nebo složky klienta nebo přiřazením uživatele do skupiny, která má daná přístupová oprávnění. Specifickou vlastností je přidělení práv "v zastoupení". Lze poskytnout plnou moc uživateli na jiného uživatele a tak předávat práva definovaná individuálně jednotlivým uživatelům, např. v době nepřítomnosti, apod.

Doporučení

Výchozí práva v systému na jednotlivé objekty (typy složek, projektů, funkce - fakturace, formuláře, apod.) by se měla definovat ideálně vůči uživatelským skupinám (např. "Fakturace - schvalovatelé" nebo "Přehled klientů") - tak, aby se zachovala flexibilita při případných změnách v uživatelských oprávněních, jako jsou příchod nového zaměstnance, změna v oprávněních stávající~~ho,~~ho uživatele, apod.

Skupiny je vhodné vytvářet pro každé právo, které vyžaduje speciální pozornost (např. "Obchodní případy - čtení" nebo "Obchodní případy - plná práva", apod.)

Uživatelské skupiny

Uživatelská skupina je seznam uživatelů systému, kterým jsou přidělena stejná práva. Skupině je možné přiřadit libovolná práva pro kteroukoli položku systému, přičemž uživatelé přiřazení do dané skupiny tato práva automaticky získávají.

Uživatelské role

Ve speciálním nastavení je možné např. k složkám klientů a projektům přiřazovat uživatele do rolí. Díky přiřazení uživatele do definované role pak uživatel získává práva dané role. Práva role mohou být definovaná obecně pro veškeré projekty nebo ~~subjekty,~~složky klientů, přičemž uživatel získává práva pouze na konkrétních subjektech a projektech, ke kterým byl (do dané role) přiřazen.

Na kartě uživatele jese ~~možné definovat,~~určuje, do kterých rolí může být daný uživatel zařazen. Pokud uživatel nemá danou roli uvedenou ve svém nastavení, nemůže být do role obsazen.

Upozornění

Práva na role u složek klientů nebo projektů musí být definována v šabloně složky nebo projektu před vytvořením konkrétní složky nebo role. Pokud chcete definovat práva dodatečně, je nutné do existujících projektů a složek práva rolí zadat ručně nebo pomocí hromadných změn v reportingu.

Úrovně uživatelských oprávnění

New / Nový	Umožňuje uživateli založit novou položku (právo je aplikovatelné pouze pro slož~~ky)~~ky nebo objekty, pod kterými lze něco nového založit)
List / Seznam	Umožňuje uživateli zobrazit název a některé ~~další~~základní atributy položky, bez zobrazení obsahu položky.
View / Zobrazit	Umožňuje uživateli zobrazení obsahu položky. Toto právo je většinou nutné kombinovat s právem list.
Edit / Upravit	Umožňuje uživateli měnit obsah dané položky (pokud je položka upravitelná). Toto právo však může být v různých částech systému omezeno v případě nutnosti schvalování, apod.
Delete / Smazat	Umožňuje uživateli smazat danou položku (pokud tomazání položky umožňuje systém).
Authorize / Schválit	Umožňuje uživateli schvalovat danou položku (aplikováno pouze u některých položek systému).
Admin / Správa	Specifické právo, které může být definováno pouze uživatelem ~~root.~~root. Pokud je toto právo v systému nastaveno, práva pro daného uživatele nebo skupinu nemohou být jakýmkoli uživatelem systému měněna. ~~Na práva pro ostatní uživatele nebo skupiny však toto omezení nemá vliv.~~ Toto právo se nastavuje zejména z důvodu zamezení ~~možnosti~~náhodného ~~odejmout veškerá~~odejmutí prá~~va položky pro~~v sprá~~vce~~vcům systé~~mu.~~mu (uživatelům, kteří jsou ve skupině Administrátoři).
Rights / Práva	Umožňuje uživateli měnit práva dané položky.
~~Do not inherit~~Finalize / ~~Stop dědění~~Ukončit	Specifické právo, jež označuje zákaz dědění tohoto ~~konré~~konkrétního nastavení v ACL. Využívá se např. při potřebě listovat složky / projekty. S tím, že je následně zakázáno dědění práv.v do zpráv na projektu, dokumentů, apod.

Další vlastnosti

Dědění práv

Z důvodu snadnější správy přístupových práv systémum ~~Atollon~~ umožň~~uje~~ uje dědění práv ve stromové struktuře. Výchozí dědění práv je nastaveno dle stromové struktury Atollon Directory, přičemž práva podřízených položek jsou vytvořena na základě šablonových práv položky.

~~Každá složka (jelikož složky nejsou koncovým objektem systému) definuje vedle vlastního ACL (tedy oprávnění na danou složku) též práva, která zdědí položky,~~

Některé ~~jsou~~objekty ~~pod danou složkou založeny. Všechny nově vytvářené složky nebo data v systému automaticky získávají~~dědí práva ~~svých~~a podmiňují zobrazení z vícero nadřazených ~~složek~~objektů. (aNapř. ~~přebírají~~faktura ~~tak~~dědí ~~veškerá~~všechna ~~oprávně~~svá práva z nastavení administrační,ho ~~která~~uzlu ~~jsou~~Fakturace + požaduje práva LIST na ~~této~~Kontext, ve kterém je faktura uložena + VIEW práva na Deník, do kterého faktura náleží.

Výchozí nastavení systému definuje, že všechny zakládané objekty dědí práva ze své nadřazené slož~~ce a veškerých předchozích definována).~~ky.

Nastavení vlastních práv pro objekt = zakázání dědění

Pokud chcete nastavit na objekt zcela jiná oprávnění, než určuje nadřazená složka, je nutné zrušit dědění. Dědění je ~~však~~ možné zastavit tím, že se odkazy na nadřazené uzly vymažou. Poté je možné nastavit práva pro každý objekt v Atollonu individuálně.

Pokud správce systému do šablonových práv složky přidá nějaká oprávnění pro uživatele, skupinu nebo roli, tato práva budou aplikována na veškeré položky nově založené pod danou složkou. Toto je zejména důležité při definici práv pro ~~role~~ na složce a projektu v systému. Pokud jednotlivé role nebudou v šablonových právech organizace nastaveny na začátku správně, případná změna těchto práv bude v budoucnosti komplikovaná. Naopak hromadná změna práv pro uživatele a skupiny, definované na úrovni jakékoli nadřazené složky je ihned aplikována do veškerých složek, které jsou od této výchozí odvozeny. V průběhu dědění práv je pak možné na libovolné úrovni stromu práva pro uživatele a skupiny přidat, postup dědění práv je též možné v libovolné úrovni stromu přerušit a nastavit práva nižší, než která jsou definována ve výše položených složkách.

Práva na jednotlivé funkcionality

Níže naleznete odkazy na dokumentaci k nastavení práv jednotlivých modulů. Neváhejte kontaktovat svého konzultanta v Atollonu se žádostí o případné rozšíření / doplnění a vysvětlení kroků.

Práva na dokumenty