Принципы разграничения доступа к функциям UI#

Пользователи при работе в UI (приложении «Реестр шаблонов документов») имеют доступ к функциональности согласно назначенным им ролям. Получение доступа к UI и изменение ролевой модели выполняются в используемой системе аутентификации. Как настроить доступ пользователя к UI, читайте в разделе «Управление учетными записями».

Ресурсы и привилегии DCGN#

Ресурс	Подресурс	Действие	Код
Управление шаблонами документов			DCGN
	Управление реестром шаблонов		DCGN.Template
		Просмотр шаблонов	DCGN.Template.read
		Экспорт шаблона	DCGN.Template.export
		Импорт шаблона	DCGN.Template.import
		Архивация версии шаблона	DCGN.Template.archivate
		Разархивация версии шаблона	DCGN.Template.unarchivate
	Конвертация шаблона		DCGN.TemplateConvertation
		Конвертация шаблона	DCGN.TemplateConvertation.create
	Формирование архива шаблона		DCGN.TemplateArchive
		Формирование архива шаблона	DCGN.TemplateArchive.create
	Управление задачами подтверждения операций**		DCGN.kvr
		Просмотр задач подтверждения операции	DCGN.kvr.read
		Экспорт ZIP-архива задачи подтверждения операции	DCGN.kvr.export
		Отключение подтверждения деструктивной операции	DCGN.kvr.disable
	Управление синхронизацией шаблонов		DCGN.TemplateSync
		Просмотр состояния синхронизации шаблонов Примечание. Привилегия будет применяться, если на контуре включена репликация. Если репликация выключена, то даже при наличии у пользователя привилегии доступ к странице «Синхронизация шаблонов» будет запрещен	DCGN.TemplateSync.read
		Синхронизация шаблона	DCGN.TemplateSync.sync
		Синхронизация всех шаблонов всех RN	DCGN.TemplateSync.sync_all

Ролевая модель DCGN#

Для обеспечения штатного функционирования системы предусмотрены следующие роли:

Роль	Наименование роли	Код привилегии	Описание роли
DCGN_APPLICATION_ADMIN*	Системный администратор Document Generation	DCGN.Template.read DCGN.Template.export DCGN.kvr.read DCGN.kvr.export DCGN.TemplateSync.read DCGN.TemplateSync.sync DCGN.TemplateSync.sync_all DCGN.Template.archivate* DCGN.Template.unarchivate*	Администратор DCGN — пользователь, который выполняет функции сопровождения DCGN. Администратору доступны следующие действия в приложении «Реестр шаблонов документов»: - просмотр информации о всех шаблонах всех ресурсов проектов; - экспорт шаблона с версиями шаблона всех ресурсов проектов; - экспорт активной версии шаблона всех ресурсов проектов; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - просмотр состояния синхронизации шаблонов назначенного ресурса проекта; - запуск синхронизации по определенному шаблону в разрезе ресурса проекта; - запуск массовой синхронизации шаблонов: по всем шаблонам всех ресурсов проектов; - перевод версии шаблона в архивные; - перевод версии шаблона в активные
DCGN_BUSINESS_ADMIN*	Бизнес-администратор Document Generation	DCGN.Template.read DCGN.Template.export DCGN.Template.import DCGN.TemplateArchive.create DCGN.TemplateConvertation.create DCGN.kvr.read DCGN.kvr.export DCGN.TemplateSync.read DCGN.TemplateSync.sync DCGN.Template.archivate* DCGN.Template.unarchivate*	Бизнес-администратор DCGN ресурса проекта/группы ресурсов проектов – пользователь, который управляет шаблонами документов в назначенном ресурсе проекте/ресурсах проектах. Бизнес-администратору доступны следующие действия в приложении «Реестр шаблонов документов»: - просмотр информации о всех шаблонах назначенного ресурса проекта или списка ресурсов проектов; - экспорт шаблона с версиями шаблона назначенного ресурса проекта или списка ресурсов проектов; - экспорт активной версии шаблона назначенного ресурса проекта или списка ресурсов проектов; - импорт шаблона в доступный по роли ресурс проекта; - формирование архива шаблона; - конвертация шаблона; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - просмотр состояния синхронизации шаблонов назначенного ресурса проекта; - запуск синхронизации по шаблону в разрезе ресурса проекта - перевод версии шаблона в архивные; - перевод версии шаблона в активные
DCGN_TEMPLATE_CREATOR*	Создатель архивов шаблонов Document Generation	DCGN.Template.read DCGN.Template.export DCGN.TemplateArchive.create DCGN.TemplateConvertation.create	Создатель архивов шаблонов – пользователь, который формирует архив шаблона документа через приложение «Реестр шаблонов документов». Создателю архивов шаблонов доступны следующие действия в приложении «Реестр шаблонов документов»: - просмотр информации о всех шаблонах назначенного ресурса проекта или списка ресурсов проектов; - экспорт шаблона с версиями шаблона назначенного ресурса проекта или списка ресурсов проектов; - экспорт активной версии шаблона назначенного ресурса проекта или списка ресурсов проектов; - формирование архива шаблона через UI -конвертация шаблона
DCGN_KVR_ADMIN	Администратор подтверждения операций Document Generation**	DCGN.Template.read DCGN.Template.export DCGN.kvr.read DCGN.kvr.export DCGN.kvr.disable	Администратор подтверждения операции DCGN — пользователь, который выполняет функции сопровождения отключения подтверждения деструктивной операции в DCGN. Администратору доступны следующие действия в приложении «Реестр шаблонов документов»: - просмотр информации о всех шаблонах всех ресурсов проектов; - экспорт шаблона с версиями шаблона всех ресурсов проектов; - экспорт активной версии шаблона всех ресурсов проектов; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - отключение импорт ZIP-архива шаблона без подтверждения операции всех ресурсов проектов

Примечание.
Роль Бизнес-администратор DCGN (DCGN_BUSINESS_ADMIN) не совместима с ролью Администратор DCGN (DCGN_APPLICATION_ADMIN).

Группы для определения условий вхождения пользователя в группы#

Код группы	Наименование группы	Роль
DCGN_application_admin_group	Системные администраторы Document Generation ресурса проекта	DCGN_APPLICATION_ADMIN*
DCGN_business_admin_group	Бизнес-администратор Document Generation ресурса проекта	DCGN_BUSINESS_ADMIN*
DCGN_template_creator_group	Создатели архивов шаблонов Document Generation ресурса проекта	DCGN_TEMPLATE_CREATOR*
DCGN_kvr_admin_group	Администратор подтверждения операций Document Generation ресурса проекта**	DCGN_KVR_ADMIN

Примечание.
* В зависимости от внутренних стандартов клиента наименование роли может отличаться от указанной.
** Функциональность подтверждения операции выключена. Функциональность будет доступна в следующих релизах. *** Привилегии DCGN.Template.archivate и DCGN.Template.unarchivate в роли DCGN_APPLICATION_ADMIN используются только в окружении Platform V High Load. В остальных окружениях данные привилегии находятся в роли DCGN_BUSINESS_ADMIN.

Предоставление прав пользователям к функциональности DCGN описано в разделе «Предоставление прав пользователям» в документе «Руководство по системному администрированию».

Шаги проверки после настройки разграничения доступа#

Требуется выполнить следующие проверки во избежание получения пользователем на UI код ответа 403:

Убедиться в корректности host + port до авторизации и endpoint авторизации для получения привилегий:
- Для окружения Platfrom V Frontend Std и Platform V High Load. Проверить значение runtime-параметра пути до сервиса авторизации в компоненте CFGA (описание runtime-параметров представлено в разделе «Изменение конфигураций);
- Для окружения Platfrom V Backend. Проверить значение параметра dcgn.template-registry.platform.osa.baseurl в конфигурации сервиса template-registry.
Убедиться в наличии нужной роли в токене пользователя, полученного из сервиса аутентификации.
Проверить наличие в AUTZ нужных объектов для авторизации (подробнее про объекты можно ознакомиться в разделе «Управление учетными записями):
- Роли DCGN в справочнике ролей;
- Наборы привилегий DCGN;
- Группы DCGN.
Убедиться в привязке роли из справочника к набору привилегий.
Убедиться в наличие условий для попадания пользователя в группу:
- логин пользователя добавлен в условие ATTR_USERNAME****;
- одна из ролей пользователя, получаемая в токене, имеется в условии ATTR_USER_ROLES.

Примечание.
**** Условие ATTR_USERNAME не используется для окружения Platform V High Load