Принципы разграничения доступа к функциям UI#

Примечание

Раздел применим только к вариантам использования в окружениях продуктов Platform V.

Пользователи при работе в Template Registry UI имеют доступ к функциональности согласно назначенным им ролям. Получение доступа к UI и изменение ролевой модели выполняются через интегрируемые с DCGN инструменты аутентификации и авторизации.

Как настроить доступ пользователя к UI, см. в разделе Управление учетными записями. Предоставление прав пользователям к функциональности DCGN описано в разделе Предоставление прав пользователям.

Ресурсы и привилегии DCGN#

Ресурс	Подресурс	Действие	Код
Управление шаблонами документов			`DCGN`
	Управление реестром шаблонов		`DCGN.Template`
		Просмотр шаблонов	`DCGN.Template.read`
		Экспорт шаблона	`DCGN.Template.export`
		Импорт шаблона	`DCGN.Template.import`
		Архивация версии шаблона	`DCGN.Template.archivate`
		Разархивация версии шаблона	`DCGN.Template.unarchivate`
	Конвертация шаблона		`DCGN.TemplateConvertation`
		Конвертация шаблона	`DCGN.TemplateConvertation.create`
	Формирование архива шаблона		`DCGN.TemplateArchive`
		Формирование архива шаблона	`DCGN.TemplateArchive.create`
	Управление задачами подтверждения операций		`DCGN.kvr`
		Просмотр задач подтверждения операции	`DCGN.kvr.read`
		Экспорт ZIP-архива задачи подтверждения операции	`DCGN.kvr.export`
		Отключение подтверждения деструктивной операции	`DCGN.kvr.disable`
	Управление синхронизацией шаблонов		`DCGN.TemplateSync`
		Просмотр состояния синхронизации шаблонов*	`DCGN.TemplateSync.read`
		Синхронизация шаблона	`DCGN.TemplateSync.sync`
		Синхронизация всех шаблонов всех RN	`DCGN.TemplateSync.sync_all`

Примечание к таблице

* Привилегия применяется, когда на контуре включена репликация. Если репликация выключена, то доступ к странице «Синхронизация шаблонов» всегда запрещен.

Ролевая модель DCGN#

Для обеспечения штатного функционирования системы предусмотрены следующие роли (в зависимости от внутренних стандартов клиента наименование роли может отличаться от указанной):

Роль	Наименование роли	Код	Описание роли
`DCGN_APPLICATION_ADMIN`*	Системный администратор Document Generation	`DCGN.Template.read` `DCGN.Template.export` `DCGN.kvr.read` `DCGN.kvr.export` `DCGN.TemplateSync.read` `DCGN.TemplateSync.sync` `DCGN.TemplateSync.sync_all` `DCGN.Template.archivate` `DCGN.Template.unarchivate`	Администратор DCGN — роль для выполнения функций сопровождения. Под ролью доступны следующие действия: - просмотр информации о всех шаблонах всех ресурсов проектов; - экспорт шаблона с версиями шаблона всех ресурсов проектов; - экспорт активной версии шаблона всех ресурсов проектов; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - просмотр состояния синхронизации шаблонов назначенного ресурса проекта; - запуск синхронизации по определенному шаблону в разрезе ресурса проекта; - запуск массовой синхронизации шаблонов: по всем шаблонам всех ресурсов проектов; - перевод версии шаблона в архивные; - перевод версии шаблона в активные
`DCGN_BUSINESS_ADMIN`*	Бизнес-администратор Document Generation	`DCGN.Template.read` `DCGN.Template.export` `DCGN.Template.import` `DCGN.TemplateArchive.create` `DCGN.TemplateConvertation.create` `DCGN.kvr.read` `DCGN.kvr.export` `DCGN.TemplateSync.read` `DCGN.TemplateSync.sync` `DCGN.Template.archivate` `DCGN.Template.unarchivate`	Бизнес-администратор DCGN ресурса проекта/группы ресурсов проектов — роль для управления шаблонами документов в назначенных ресурсах проектов. Под ролью доступны следующие действия: - просмотр информации о всех шаблонах назначенного ресурса проекта или списка ресурсов проектов; - экспорт шаблона с версиями шаблона назначенного ресурса проекта или списка ресурсов проектов; - экспорт активной версии шаблона назначенного ресурса проекта или списка ресурсов проектов; - импорт шаблона в доступный по роли ресурс проекта; - формирование архива шаблона; - конвертация шаблона; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - просмотр состояния синхронизации шаблонов назначенного ресурса проекта; - запуск синхронизации по шаблону в разрезе ресурса проекта - перевод версии шаблона в архивные; - перевод версии шаблона в активные
`DCGN_TEMPLATE_CREATOR`	Создатель архивов шаблонов Document Generation	`DCGN.Template.read` `DCGN.Template.export` `DCGN.TemplateArchive.create` `DCGN.TemplateConvertation.create`	Создатель архивов шаблонов — роль для формирования архивов шаблонов. Под ролью доступны следующие действия: - просмотр информации о всех шаблонах назначенного ресурса проекта или списка ресурсов проектов; - экспорт шаблона с версиями шаблона назначенного ресурса проекта или списка ресурсов проектов; - экспорт активной версии шаблона назначенного ресурса проекта или списка ресурсов проектов; - формирование архива шаблона через UI -конвертация шаблона
`DCGN_KVR_ADMIN`	Администратор подтверждения операций Document Generation	`DCGN.Template.read` `DCGN.Template.export` `DCGN.kvr.read` `DCGN.kvr.export` `DCGN.kvr.disable`	Администратор подтверждения операции DCGN — роль для выполнения функций подтверждения деструктивной операции в DCGN. Под ролью доступны следующие действия: - просмотр информации о всех шаблонах всех ресурсов проектов; - экспорт шаблона с версиями шаблона всех ресурсов проектов; - экспорт активной версии шаблона всех ресурсов проектов; - просмотр информации о всех задачах подтверждения операции всех ресурсов проектов; - экспорт ZIP-архива задачи подтверждения операции всех ресурсов проектов; - отключение импорт ZIP-архива шаблона без подтверждения операции всех ресурсов проектов

Примечание

* Роль Бизнес-администратор DCGN (DCGN_BUSINESS_ADMIN) не совместима с ролью Администратор DCGN (DCGN_APPLICATION_ADMIN).

** Привилегии DCGN.Template.archivate и DCGN.Template.unarchivate в роли DCGN_APPLICATION_ADMIN используются только для продукта Platform V Frontend High Load (#FH). В остальных случаях эти привилегии находятся в роли DCGN_BUSINESS_ADMIN.

Группы для определения условий вхождения пользователя в группы#

Код группы	Наименование группы	Роль
`DCGN_application_admin_group`	Системные администраторы Document Generation ресурса проекта	`DCGN_APPLICATION_ADMIN`
`DCGN_business_admin_group`	Бизнес-администратор Document Generation ресурса проекта	`DCGN_BUSINESS_ADMIN`
`DCGN_template_creator_group`	Создатели архивов шаблонов Document Generation ресурса проекта	`DCGN_TEMPLATE_CREATOR`
`DCGN_kvr_admin_group`	Администратор подтверждения операций Document Generation ресурса проекта	`DCGN_KVR_ADMIN`

Шаги проверки после настройки разграничения доступа#

Требуется выполнить следующие проверки во избежание получения пользователем на UI код ответа 403:

Убедиться в корректности адреса авторизации для получения привилегий:
- для окружений продуктов Platfrom V Frontend Std (#FS) и Platform V Frontend High Load (#FH) проверить значение runtime-параметра пути до сервиса авторизации в конфигурации программного компонента PACMAN (CFGA) продукта Platfrom V Frontend Std (#FS) или Platform V Frontend High Load (#FH) соответственно (описание runtime-параметров см. в разделе Изменение конфигураций);
- для окружения продукта Platfrom V Backend (#BD) проверить значение параметра dcgn.template-registry.platform.osa.baseurl в конфигурации компонента Template Registry.
Убедиться в наличии нужной роли в токене пользователя, полученного из сервиса аутентификации.
Проверить в конфигурации программного компонента Объединённый сервис авторизации (ОСА) (AUTZ) продукта Platform V IAM SE (IAM) наличие нужных объектов для авторизации (подробнее про объекты см. в разделе Управление учетными записями):
- ролей DCGN в справочнике ролей;
- наборов привилегий DCGN;
- групп DCGN.
Убедиться в привязке роли из справочника к набору привилегий.
Убедиться в наличие условий для попадания пользователя в группу:
- логин пользователя добавлен в условие ATTR_USERNAME*;
- одна из ролей пользователя, получаемая в токене, имеется в условии ATTR_USER_ROLES.

Примечание

* Условие ATTR_USERNAME не используется для окружения продукта Platform V Frontend High Load (#FH).