Выдача привилегий пользователям

Привилегии глобального контекста и контекста шаблонов выдаются прямым назначением пользователей или групп пользователей.

При этом привилегии глобального контекста могут выдать только администраторы системы, а привилегии в контексте шаблона - администраторы системы и пользователи с глобальной привилегией «Настройка приложений» и локальной привилегией «Настройка шаблона» в контексте шаблона.

Привилегии в контексте экземпляров шаблонов выдаются с помощью сервисных объектов «Правила доступа».

Правила доступа состоят из 3-х компонентов

• Пользователи, которым будут выданы права. Правило принимает на вход список пользователей и/или групп пользователей, который может быть задан вручную или определен с помощью языка выражений.
• Права, которые будут выданы на экземпляры (Чтение, Изменение, Удаление).
• Условие на экземпляры, к которым будет применено правило. Задается с помощью языка выражений.

Использование языка выражений в правилах доступа позволяет реализовывать гибкие разграничения политик безопасности по отношению к экземплярам шаблонов.

Для шаблона могут быть заданы несколько правил доступа. Каждое правило вычисляется при создании или изменении экземпляра. Результатом вычисления является запись в базу фактов о наличии у некоторых пользователей заданной привилегии в контексте текущего экземпляра.

В дальнейшем, при запросах к серверу на операцию с текущим экземпляром происходит поиск в базе наличия у пользователя требуемой привилегии в контексте текущий операции по отношению к экземпляру.