Управление ролями и группами пользователей SuiteCRM

Управление ролями

Роли устанавливают права доступа пользователя к определенным записям системы. При помощи ролей и групп ограничиваются права на просмотр, редактирование, удаление, экспорт и импорт записей в рамках определенного модуля.

По умолчанию пользователю не назначена какая-либо роль, и он имеет полный доступ ко всем записям системы. Каждому пользователю может быть назначено несколько ролей, также как и каждая роль может быть назначена нескольким пользователям.

Например, если вы хотите запретить доступ некоторым пользователям системы к модулю «Сделки», вы можете создать соответствующую роль, которая будет запрещать доступ к указанному модулю. Те пользователи, которым будет назначена подобная роль, не будут иметь доступа к модулю «Сделки».

Создание ролей

Роль может быть назначена пользователям и группам.

Пользователю может быть назначено несколько ролей и групп.

При создании роли вы выбираете модуль, указываете, запрещен или разрешен доступ к записям данного модуля и выбираете, какие действия могут производиться над записями модуля в рамках создаваемой роли.

Форма для создания и настройки роли представляет собой таблицу, где строки – все модули системы, столбцы – действия, выполняемые в модуле:

• Доступ к модулю
• Удаление (удаление записей в модуле)
• Правка (редактирование записей в модуле)
• Экспорт (экспорт данных из модуля)
• Импорт (импорт данных в модуль)
• Список (просмотр списка записей в модуле)
• Массовое обновление (массовое редактирование записей в списке модуля)
• Просмотр (просмотр карточки записи)

Для каждого действия каждого модуля можно установить следующий уровень доступа:

• Все – действие доступно для всех записей модуля, не зависимо от пользователя, выбранного в поле «Ответственный».
• Группа – действие доступно только для тех записей, которые добавлены в ту группу (те группы), в которую(ые) входит сам пользователь.
• Владелец – действие доступно только для тех записей, где пользователь выбран в поле «Ответственный».
• Не установлено – действие доступно, если оно не запрещено другими ролями. Используйте данное значение, когда роль не должна влиять на конкретный параметр.
• Нет – действие запрещено для пользователя.

Управление группами пользователей

Группа может быть назначена пользователям и записям всех модулей.

Аддитивные Права

При включенных аддитивных правах:

Если пользователю назначено несколько различных ролей, то преимущество имеют разрешающие правила. Например, пользователь имеет две различных роли, соответственно «Роль 1» и «Роль 2».

«Роль 1» имеет следующие права доступа: модуль «Маркетинг» доступен, модуль «Места» доступен, но модуль «Метки» заблокирован.

«Роль 2» имеет следующие права доступа: модуль «Маркетинг» доступен, модуль «Места» заблокирован и модуль «Метки» доступен.

Согласно аддитивным правам, приоритет имеют права более высокого доступа, в итоге пользователь обладает следующими правами:

При отключенных аддитивных правах:

Если пользователю назначено несколько различных ролей, то преимущество имеют запрещающие правила. Рассмотрим прошлый пример, пользователь имеет те же две роли с точно такими же правами доступа: «Роль 1» и «Роль 2»:

Приоритет в данном случае имеют запрещающие правила, поэтому пользователь обладает следующими правами:

Строгие Права

При включенных строгих правах:

Если пользователь является членом нескольких групп, то будут использованы только соответствующие права группы, назначенной текущей записи.

Пусть пользователь является членом групп «Группа 1» и «Группа 2», а аддитивные права являются включенными. Запись «Подписная рассылка» в модуле «Маркетинг» связана только с группой «Группа 1»:

«Группа 1» связана с ролью «Роль 1», согласно которой доступ к модулю «Маркетинг» запрещен.

«Группа 2» связана с ролью «Роль 2», согласно которой доступ к модулю «Маркетинг» разрешен.

Так как включены адаптивные права, приоритет отдается разрешающим правилам. Поэтому пользователю доступ к модулю «Маркетинг» должен быть открыт, но так как включены строгие права, учитываются только права той роли, которая связана с группой, назначенной текущей записи, правила остальных ролей не влияют на права доступа.

Текущая запись связана только с группой «Группа 1», «Группа 1» связана с ролью «Роль 1», которая запрещает доступ к модулю «Маркетинг». 
Соответственно пользователю доступ будет запрещен.

При отключенных строгих правах:

Связь группы пользователей и записи не влияет на определение прав доступа.

Приоритет ролей пользователя

При включенном приоритете ролей пользователя:

Если пользователю непосредственно назначена какая-либо из ролей, то назначенная роль имеет приоритет перед любыми групповыми ролями.

Например, пользователю непосредственно назначена роль «Роль 1» , также он принадлежит группе пользователей «Группа 1», которой назначена роль «Роль 2».

«Роль 1» закрывает доступ к модулю «Адресаты». «Роль 2» открывает доступ к модулю «Адресаты». Аддитивные права включены (см. п.1), согласно им доступ к модулю «Адресаты» должен быть открыт, но т.к. включен приоритет ролей пользователя, приоритетна «Роль 1», непосредственно назначенная пользователю, согласно которой доступ к модулю «Адресаты» заблокирован.

При отключенном приоритете ролей пользователя:

Роли, назначенные группе, и роли, назначенные непосредственно пользователю, имеют равный приоритет.

Фильтрация списка пользователей

При включенной фильтрации списка пользователей:

Пользователи, не являющиеся администраторами, могут назначать записи только пользователям из тех же групп.

Например, существует группа пользователей «Группа 1», в которую входят три пользователя:

Ответственным за запись в данном случае можно назначить только пользователей, принадлежащих той же группе, что и создатель записи.

При отключенной фильтрации списка пользователей:

Ответственным за запись в данном случае можно назначить любых пользователей.

Всплывающее окно для нового пользователя

При создании нового пользователя будет всплывать окно для назначения пользователя той или иной группе.

Всплывающее окно выбора групп

При создании записи пользователем, входящим более чем в одну группу, показывать всплывающее окно для выбора одной из групп. Если пользователь входит только в одну группу, запись автоматически унаследует данную группу.

Наследование группы от создавшего пользователя

Запись автоматически будет наследовать те группы, в которые входит создавший её пользователь и у которых НЕ проставлена галочка в поле «Не наследуемая»:

Наследование от назначенного пользователя

Запись будет автоматически наследовать те группы, которым принадлежит назначенный пользователь и у которых НЕ проставлена галочка в поле «Не наследуемая». Другие группы, назначенные записи, не будут удалены. Чтобы назначить пользователя записи необходимо выбрать его в поле «Ответственный(ая)»

Наследование родительской записи

Запись будет автоматически наследовать группы, к которым принадлежат записи, ассоциированные с данной записью, и у которых НЕ проставлена галочка в поле «Не наследуемая». Например, если встреча создана для контакта, то эта запись наследует группы, ассоциированные с данным контактом. Пусть запись в модуле «Встречи» связана с контактом, принадлежащим группе «Группа 1», тогда она автоматически унаследует группу «Группа 1».

Оставить заявку Обсудить задачу