|
Быстрое редактирование прав пользователей. | ||
|---|---|---|---|
|
0
rabbidX
28.04.15
✎
18:02
|
КА существенно дописанная. Появилась необходимость навести порядок в ролях и в дальнейшем иметь возможность быстро их редактировать. Сейчас в базе 25 профилей пользователей, в каждом от 12 до 45 ролей и во всем этом куча RLS. Как правило, сейчас права пользователей избыточны. Анализировать какая из ролей дает запрещенное право, можно ли его забрать, не нарушая прав других пользователей долго и не удобно. Есть идея для каждого профиля создать роль, слить в нее все права, которые есть в профиле и отсечь лишнее. Сейчас пишу обработину под это дело.
Есть идеи как решить задачу проще? |
||
|
1
rabbidX
28.04.15
✎
19:49
|
Прям ни у кого нет идей?
|
||
|
2
bse
28.04.15
✎
20:00
|
лучше всего создать роль по специализациям, типа: Касса и Банк, Склад и т.п... а то народ потом еще по отпускам пойдет и их будут замещать, и еще не один а двое...
|
||
|
3
bse
28.04.15
✎
20:00
|
роль = роли
|
||
|
4
Cyberhawk
28.04.15
✎
20:02
|
(2) "Лучше всего" звучит как-то... слово подобрать не могу. Скоропалительно, что ли.
Я за роли по метаданным (справочник такой-то чтение, справочник такой-то редактирование и т.д.) |
||
|
5
bse
28.04.15
✎
20:15
|
(4) сколько объектов в КА? Не запутаешься?
|
||
|
6
Cyberhawk
28.04.15
✎
20:29
|
(5) в автомобиле столько деталей, как продавцы и ремонтники в них не путаются?
|
||
|
7
bse
28.04.15
✎
20:34
|
(6) они с ними работают каждый день, а ты будешь тоже каждый день роли менять? Для работы документов нужны права на регистры/справочники... тоже по отдельности?
|
||
|
8
Cyberhawk
28.04.15
✎
20:38
|
(7) 1. Я не запрещаю агрегировать детальные роли (по метаданным) в должности. Ощутимый плюс подхода, когда на каждый объект метаданных есть своя роль, в том, что при замещении одного сотрудника двумя может потребоваться одному дать права на одну половину объектов, а второму - на другую.
2. Для работы документов зачастую достаточно "программных" прав (чтение там, изменение, а не просмотр и редактирование). |
||
|
9
Cyberhawk
28.04.15
✎
20:41
|
Если "политика" организации по ролям нестрогая (т.е. допускает просачивание лишних прав), то городить по 2 роли на каждый объект метаданных кажется избыточным.
Но если "политика" не допускает, чтобы Вася, замещающий на время Петю, имел доступ к какому-то документу, к которому у Пети доступ был, то оперирование правами на уровне "Вась" и "Петь" (читать "должностей") не дает точного контроля за происходящим |
||
|
10
rabbidX
28.04.15
✎
23:11
|
(2) профили как раз по специализациям идут, примерно так, как вы пишете.
(4) на каждый объект метаданных по 2 роли - только для документов около 1000 ролей нужно, как-то неэстетично. Возможно, получится вычленить "особо опасные" в плане доступа объекты и сделать специальные роли для них. Спасибо. |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|