Система безопасности. Ролевая модель.

Назначение документа

Данный документ описывает ролевую модель безопасности, реализованную в сервисе SpacePlanner, и определяет действия, доступные пользователям.

Термины и определения

Инстанс – отдельный экземпляр сервиса Lasmart SpacePlanner с выделенным интернет-адресом. Например, cloud.spaceplanner.ru или demo.spaceplanner.ru. В отдельных случаях – companyname.spaceplanner.ru.
Пользователь – конкретное лицо, использующее сервис SpacePlanner.
Роль – это объект сервиса, с помощью которого реализуется политика доступа Пользователей к другим объектам.

Ролевая модель безопасности

В сервисе SpacePlanner реализована ролевая модель безопасности. Это означает, что конкретный Пользователь сервиса действует в соответствии с набором разрешений назначенной ему роли. Пользователю может быть присвоена только одна роль. Присвоение Пользователю сочетания “Роль + отдельные права” в сервисе не предусмотрено.

Исключение составляет предоставление доступа к следующим объектам сервиса: Торговые марки, Категории, Магазины, Аналитические отчеты. Доступ к ним устанавливается и/или ограничивается для для конкретного пользователя через меню Настройки - Пользователи - карточка пользователя - вкладка с наименованием объекта.

Группы прав доступа. Типы прав

Права доступа разделяются на следующие группы:
  • Служебные. Описывает специализированные права доступа к таким объектам сервиса как роли, пользователи, лицензии, константы, аналитические отчеты и функция принудительного завершения сеанса пользователя.
  • Документы. Описывает права доступа к таким объектам сервиса как ассортиментные матрицы, шаблоны планограмм, планограммы, планы магазинов, задачи.
  • Справочники. Описывает права доступа к справочникам товаров, магазинов, оборудования, торговых зон, ценникам.
  • Регламентированная отчетность. Описывается для каждого документа отдельно.
  • Продажи и Остатки. Используется для разрешения операций синхронизации и аналитики в планограммах и планах магазинов.

Типы прав доступа:
  • Видимость. Задает видимость справочника или документа в главном меню.
  • Чтение. Задает права на чтение объекта системы (документа, справочника, пользователей, ролей и т.д.).
  • Запись. Задает права на запись изменений элемента справочника, документа и ограничивает доступ к элементам UI.
  • Создание. Задает права на создание нового элемента справочника или документа, ограничивает доступ к элементам UI.
  • Удаление. Задает права на удаление элемента справочника или документа, ограничивает доступ к элементам UI.

Взаимосвязь типов прав доступа:
  • Для установки Запись=1 требуется Видимость=1
  • Для установки Создание=1 требуется Запись=1
  • Для установки Удаление=1 требуется Запись=1 и Создание=1

Ниже представлена таблица прав доступов в сервисе SpacePlanner с расшифровкой.
  1. 1/0 означает возможность присвоить разрешение да/нет. В списке представлен перечень стандартных отчетов. Кастомизированные отчеты отражаются только на инстансе заказчика, а доступ к отчетам устанавливается на уровне да/нет;
  2. - означает, что тип действия недоступен в сервисе;
  3. Объединение ячеек означает, что данные разрешения устанавливаются и применяются совместно.
  4. Если в качестве доступного выбора указано только “1”, это означает, что объекты доступны для чтения всегда вне зависимости от разрешения на доступ к справочнику и/или документу в главном меню;
  5. Разрешения, устанавливаемые для группы прав доступа “Продажи и остатки”, регулируют доступ к финансовой информации в трёх разделах сервиса SpacePlanner:
5.1. Раздел “Синхронизация”. Для проведения операций загрузки данных требуется установка разрешений Чтение/Запись/Создание/Удаление=1/1/1/1. Для загрузки данных о продажах требуется разрешение Чтение/Запись/Создание/Удаление =1/1/1/1 для прав “Продажи в ценах реализации”, “Продажи в ценах себестоимости”, “Продажи в штуках”. Для загрузки данных об остатках требуется установка разрешений Чтение/Запись/Создание/Удаление =1/1/1/1 для права доступа “Остатки в штуках”;
5.2. Раздел “Планограммы”. Для предоставления/ограничения доступа к данным аналитики на планограмме требуется установить соответствующие разрешения. Перечень требуемых разрешений к функциям вкладки “Аналитика” представлен в таблице:
¹Если у роли Пользователя недостаточно прав, элемент интерфейса (кнопка) вкладки “Аналитика” недоступен.
5.3. Раздел “Магазины”. Для предоставления/ограничения доступа к данным аналитики на плане магазина требуется установить соответствующие разрешения. Перечень требуемых разрешений к функциям вкладки “Аналитика” представлен в таблице:
¹Если у роли Пользователя недостаточно прав, элемент интерфейса (кнопка) вкладки “Аналитика” недоступен.
Доступ к вкладкам документов могут быть ограничены;
Разрешения на доступ к отчетам и изменение статуса документов присваивается индивидуально для каждого отчета и статуса.

Предустановленные роли. Права доступов

В сервисе SpacePlanner существует четыре предустановленные роли с заданным набором разрешений:
  • Owner - роль с наивысшими правами доступа на инстансе.
  • KeyManager
  • Manager
  • ShopWorker

Ниже представлены таблицы прав доступов предустановленных ролей. Набор прав доступен для редактирования Пользователю с соответствующим разрешением.

Таблица прав доступов предустановленной роли Owner
Таблица прав доступов предустановленной роли KeyManager
Таблица прав доступов предустановленной роли Manager
Таблица прав доступов предустановленной роли ShopWorker

Управление ролями

Ролевая модель безопасности подразумевает наличие неограниченного количества ролей с уникальным набором разрешений. В сервисе SpacePlanner реализована возможность создавать, редактировать, удалять роли. Все операции производятся в пункте меню Настройки – Роли и права доступов.
Создание роли. При создании новой роли ей необходимо присвоить наименование, описание (необязательно) и установить набор разрешений.
Копирование роли. Если новая роль создается путём копирования существующей роли, ей автоматически присваивается наименование вида КопияРоль. Наименование доступно для редактирования. При создании роли путём копирования происходит наследование прав доступа исходной роли. Набор прав доступа доступен для редактирования.
Удаление роли. Созданные пользователем роли можно удалить. Удалить роль возможно только если она не назначена ни одному пользователю.

Права ролей по умолчанию

В сервисе SpacePlanner всегда доступны для просмотра:
  • список пользователей;
  • ассортиментные матрицы;
  • шаблоны планограмм, версии шаблонов планограмм;
  • планограммы, версии планограмм;
  • планы магазинов, версии планов магазинов;
  • задачи;
  • справочник Магазины;
  • справочник Товары;
  • справочник Оборудование;
  • справочник Торговые зоны;
  • справочник Ценники.

Функция “Завершение сеанса пользователя”

Функция завершения сеанса пользователя даёт возможность дистанционно разблокировать документ, заблокированный Пользователем роли с доступом Запись=1, не запрашивая и не сбрасывая пароль, установленный для его учетной записи.
Функция доступна в меню Настройки - Пользователи.
Пользователю, чей сеанс был принудительно завершён, для продолжения работы потребуется повторная авторизация в сервисе SpacePlanner.