Выдача привилегий пользователям
Привилегии глобального контекста и контекста шаблонов выдаются прямым назначением пользователей или групп пользователей.
При этом привилегии глобального контекста могут выдать только администраторы системы, а привилегии в контексте шаблона - администраторы системы и пользователи с глобальной привилегией «Настройка приложений» и локальной привилегией «Настройка шаблона» в контексте шаблона.
Привилегии в контексте экземпляров шаблонов выдаются с помощью сервисных объектов «Правила доступа».
Правила доступа состоят из 3-х компонентов
- Пользователи, которым будут выданы права. Правило принимает на вход список пользователей и/или групп пользователей, который может быть задан вручную или определен с помощью языка выражений.
- Права, которые будут выданы на экземпляры (Чтение, Изменение, Удаление).
- Условие на экземпляры, к которым будет применено правило. Задается с помощью языка выражений.
Использование языка выражений в правилах доступа позволяет реализовывать гибкие разграничения политик безопасности по отношению к экземплярам шаблонов.
Для шаблона могут быть заданы несколько правил доступа. Каждое правило вычисляется при создании или изменении экземпляра. Результатом вычисления является запись в базу фактов о наличии у некоторых пользователей заданной привилегии в контексте текущего экземпляра.
В дальнейшем, при запросах к серверу на операцию с текущим экземпляром происходит поиск в базе наличия у пользователя требуемой привилегии в контексте текущий операции по отношению к экземпляру.