Добрый день

Появилась необходимость дать части пользователям права на ведение части справочников. 

Первая мысль - дать права на операцию CanManageLookups и создать кастомный раздел в котором регистрировать справочники доступные для ведения польхователей.

Но! Если я дам права на CanManageLookups, то получается, пользователь сможет вести практически все справочники через пункт Добавить в выпадающем списке. Или что хуже додумается перейти через главную страницу к разделу справочники.

Есть еще идеи?

Нравится

1 комментарий

Алексей, только недавно похожее обсуждали. Такая идея разграничения прав на разные справочники заведена, есть обходные решения разной степени удобства.

 

Можно, например, сделать из справочника раздел с карточкой и пользователи будут наполнять в нём.

 

Но нужно ещё учесть, что на уровне объекта «Базовый справочник», от которого унаследованы остальные, есть проверка на это право:

Скрипт запускает функцию:

public virtual void CheckCanManageLookups() {
	UserConnection.DBSecurityEngine.CheckCanExecuteOperation("CanManageLookups");
}

Чтобы она не срабатывала, нужно в объекте нужного справочника переопределить её пустой. Насколько я понимаю, для ряда справочников это уже сделано в стандартной поставке.

Показать все комментарии

Добрый день!

Вопрос к коллегам, разрабатывающим Studio Free. Планируется ли введение какого-то механизма прав доступа на отдельные папки и процессы? 

Вопрос волнует в связи с тем, что мы на своем аккаунте отрисовываем процессы клиентов и хотим приглашать их к себе в аккаунт для совместной работы. Но мы не можем это делать, т.к. приглашенные пользователи видят все процессы и папки в аккаунте, которые относятся к другим клиентам.

Нравится

2 комментария
Лучший ответ

Здравствуйте, Александр!

 

Сейчас подразумевается, что для разделения доступа будут использоваться разные организации (accounts). Таким образом, процессы разных клиентов будут в разных организациях, и приглашать пользователей надо в соответствующие организации.
Также, у команды разработки есть в планах позволить создавать дополнительные организации и уже зарегистрированным пользователям. Мы зафиксировали Ваше пожелание о правах на папки и передадим его специалистам для реализации в будущих обновлениях продукта.

Здравствуйте, Александр!

 

Сейчас подразумевается, что для разделения доступа будут использоваться разные организации (accounts). Таким образом, процессы разных клиентов будут в разных организациях, и приглашать пользователей надо в соответствующие организации.
Также, у команды разработки есть в планах позволить создавать дополнительные организации и уже зарегистрированным пользователям. Мы зафиксировали Ваше пожелание о правах на папки и передадим его специалистам для реализации в будущих обновлениях продукта.

Илья, спасибо за комментарий!

Показать все комментарии

Реализиция публичной ссылки по аналогии с облачными сервисами, по которой любой перешедший (Сотрудник компании или Пользователь портала) мог бы просмотреть Обращение, данный функционал мог бы быть полезен в различного рода протоколах, в которых необходима гипперсылка на связанное обращение

1 комментарий

Интересная идея, раньше похожее предлагали реализовать для файлов-вложений и для настроенных панелей с итогами.

Можно попробовать делать такое при помощи анонимных веб-сервисов.

При реализации нужно учесть безопасность и права (как право раздавать ссылки, так и право просмотра конкретной записи с авторизацией или без), возможно, какой-то дополнительный PIN-код, ограничение по количеству раз.

И предусмотреть производительность сайта или обеспечить кэширование, чтобы сайт не упал при массовому переходе по ссылке из-за «хабраэффекта» или DDOS-атаки.

И да, некоторые браузеры любят сливать все посещённые ссылки своему создателю-поисковику, а потом информацию находят в кэше поисковой системы с возможностью просмотра кем угодно, несколько таких скандалов уже было.

Показать все комментарии

Добавить функциональную возможность управления доступом на печатные формы Word.

В зависимости от настроенного доступа в разделах у каждого пользователя должен отображаться выпадающий список кнопки [Печать] только с теми отчетами, на которые у данного пользователя есть доступ.

1 комментарий

Здравствуйте, Алла!

На текущий момент, решения Вашей задачи с помощью базовой функциональности отсутствует. Задача по доработке указанного функционала уже принята ответственной командой разработки для реализации в следующих релизах.

Если Вам необходимо разграничить доступ к печатным формам в зависимости от отдела компании (организационная роль), тогда можно настроить права доступа на объекты.
Например, пользователь П1 создает печатные формы, права на которые раздаются для определенной орг.роли или пользователя.
В таком случае у пользователей, которые входят в указанную орг.роль, будет доступ на все печатные формы, которые создал П1 (при условии, что у них есть доступ к разделу/странице, на которой создана печатная форма).
Такой пользователь должен быть в каждом отделе.

Объект на который настраиваются права доступа - Печатная форма раздела (SysModuleReport) 
Признак администрирования необходимо проставить в колонке [Администрируется по записям] и добавить правила доступа к записям объекта. 

 

Показать все комментарии

Добрый день.

Сценарий:

  1. Пользователь портала создает Case (в карточке добавлены кастомные поля). Нажимает Save - все нормально.
  2. Пользователь портала хочет отредактировать поле - выходит ошибка "Нет прав".

Я понимаю, что в стандартном функционале предполагается что Case нельзя менять после создания, но в нашей Case модели после New добавлена стадия Submitted. Предполагается что пользователь переводит в Submitted после ввода всей необходимой информации.

В Case модели пробовали добавлять права с помощью шага "Change access rights" на стадии New. При создании в обычном приложении - права добавляются. При создании с Портала - нет.

Прошу подсказать в чем может быть проблема и как можно реализовать нужную логику.

P.S. В кейсе созданном с Портала видно, что у автора есть права на Чтение и Удаление, но нет на Редактирование.

Также нашли некоторую логику на уровне Процессов, встроенных в сущность Case. Метод SetPortalCaseRights, который в итоге запускает хранимую процедуру tsp_ActualizePortalUsersRights. 

Получается там нужно правки вносить?

Нравится

1 комментарий

Вопрос уже не актуален, реализовали. 

Показать все комментарии

При попытке изменить запись в детали с редактируемым реестром возникает ошибка

https://yadi.sk/d/5HXBicLNQI3h5Q

Роли пользователя:

https://yadi.sk/d/rjuN-gR2MMK3qA

Права настроены следующим образом:

https://yadi.sk/d/SFqa8x2djEVUTA

Причем при попытке изменить в консоле видно следующее:

https://yadi.sk/d/eYJZ5dd1Fb_Inw

т.е. как я понимаю, система считает изменяемую запись новой и не дает изменить так как нет прав на добавление. Если в консоле изменять флаг isNew на false, то запись изменяется нормально.

З.Ы. Причем записи получается редактировать через страницу редактирования, значит проблема в редактируемом реестре.

Собственно вопрос: это баг или я не верно настраиваю права?

 

Нравится

3 комментария

У вас не выдано пользователям прав создавать записи в этом разделе
http://prntscr.com/qc9uae

Владимир Соколов,

тк суть в том что мне не нужно давать права создавать записи, нужны права только на редактирование

Здравствуйте, Айдар!

Действительно, на стандартной детали с редактируемым реестром тоже такое наблюдается. Передали информацию о шагах воспроизведения команде разработки для анализа и исправления в будущих версиях продукта.

Показать все комментарии

Добрый день!

Периодически в разделах создаются объекты без прав доступа. Оба разделы  не  базовые. 

Все объекты создаются одинаковым способом и тем не менее, периодически выпадают записи у которых записи прав вообще пустые. Приходится потом раздавать руками.

Может у кого то есть идеи, с чем это может быть связано?

 

Благодарю!

Нравится

1 комментарий
Лучший ответ

Добрый день.

К сожалению, точно определить, чем вызвано такое поведение системы не видя, каким образом выполнена настройка прав доступа, и не имея доступа к самой системе, невозможно.

Можно только предположить, какие причины наиболее вероятны в Вашем случае.

1. Некорректно настроена раздача прав доступа и права не раздаются на этапе создания записи.

2. Если у Вас есть процессы, которые вносят изменения в права доступа, то может быть они удаляют существующие права, а новые не раздают.

Для поиска ошибки начните с анализа настроек прав доступа и пользовательских бизнес-процессов в конфигурации срм.

Также, как вариант, если у Вас приложение on-site, Вы можете запустить sql-профайлер, чтобы он некоторое время поработал, а потом проанализируйте запросы к таблицам прав доступа Ваших разделов.

Добрый день.

К сожалению, точно определить, чем вызвано такое поведение системы не видя, каким образом выполнена настройка прав доступа, и не имея доступа к самой системе, невозможно.

Можно только предположить, какие причины наиболее вероятны в Вашем случае.

1. Некорректно настроена раздача прав доступа и права не раздаются на этапе создания записи.

2. Если у Вас есть процессы, которые вносят изменения в права доступа, то может быть они удаляют существующие права, а новые не раздают.

Для поиска ошибки начните с анализа настроек прав доступа и пользовательских бизнес-процессов в конфигурации срм.

Также, как вариант, если у Вас приложение on-site, Вы можете запустить sql-профайлер, чтобы он некоторое время поработал, а потом проанализируйте запросы к таблицам прав доступа Ваших разделов.

Показать все комментарии

А подскажите кто-нибудь сведущий по ситуации.

У меня есть такая структура

Имею проблему. Руководители групп Москва-1 и др. могут закрывать задачи на которых права розданы только руководителям Отдела продаж.

Мне кажется так не должно быть. Или я что-то неправильно понимаю?

Нравится

2 комментария
Лучший ответ

У меня была подобная проблема из-за того, что в группе был пользователь, который наследовал права другой группы.

Попробуйте определить что это за пользователь.

Посмотрите профайлером какой запрос идет в базу данных при сохранении задачи, на которую у пользователя прав доступа быть не должно.

И ещё даже, если у пользователя нет прав, то кнопки доступны, но при нажатии на них должно выдаваться сообщение о недостаточности прав.

Проверьте, действительно, ли пользователи могут вносить изменения или это только визуально кнопка доступна.

Руководитель отдела продаж (или какой-то Supervisor) случайно не входит в группу Москва 2?

У меня была подобная проблема из-за того, что в группе был пользователь, который наследовал права другой группы.

Попробуйте определить что это за пользователь.

Посмотрите профайлером какой запрос идет в базу данных при сохранении задачи, на которую у пользователя прав доступа быть не должно.

И ещё даже, если у пользователя нет прав, то кнопки доступны, но при нажатии на них должно выдаваться сообщение о недостаточности прав.

Проверьте, действительно, ли пользователи могут вносить изменения или это только визуально кнопка доступна.

Показать все комментарии

На объекте включено наследование прав

При этом корректно отсутствует возможность добавить, удалить и отредактировать эту запись.

Однако вполне можно копировать, что в принципе равнозначно добавлению.
Думаю, что и эту возможность следует закрыть

И подскажите, пожалуйста, как это сделать уже на текущей версии

1 комментарий

Владимир, добрый день!

Спасибо, что сообщили о таком поведении системы. Я передал информацию аналитикам продукта для анализа возможности исправления в одной из будущих версий системы.

Если нужно заблокировать вставку уже сейчас, можно вместо наследования использовать механизм прав на записи в таблицу детали, но тогда потребуются доработки по копированию из таблицы прав основной таблицы. Лучше дождаться исправления в новой версии, тем более, что наследование реализовано по Вашей идее.

Показать все комментарии

Добрый день.

Существует ли возможность скрыть печатную форму до изменения значения в определенном поле объекта (например, состояние) или ограничить права на выгрузку определенной печатной формы?

Нравится

1 комментарий

Есть дополнение Printable forms filtering for bpm'online, реализующее такую фильтрацию.

Показать все комментарии