Перейти к основному содержимому

Настройки разрешений

Безопасность AI-Corporate работает на основе ролей с разрешениями.

Аккаунты и роли

Аккаунты создаются автоматически после успешной первой попытки входа. При создании аккаунтов на сервере добавляются токены, которые определяют базовую роль. Эти роли позже могут быть изменены уполномоченными администраторами. Первичные токены обычно такие:

  • Сотрудник (да/нет): устанавливается на "да", если адрес электронной почты совпадает с адресом в списке сотрудников.
  • Admin распределения (да/нет): первоначально обычно устанавливается на "нет" и далее назначается.
  • Admin окружения (да/нет): первоначально обычно устанавливается на "нет" и далее назначается.
  • Супер-админ (да/нет): первоначально обычно устанавливается на "нет" (за исключением первого супер-админа) и далее назначается.

Изменение роли

Супер-админ, Admin окружения или Admin распределения может назначать роли, в зависимости от своей роли и предоставленных полномочий по управлению ролями. Иерархия обычно такая:

  • Супер-админ может назначать все другие роли (Admin окружения, Admin распределения, Сотрудник).
  • Admin окружения может назначать роли, такие как Admin распределения и Сотрудник, в пределах своей окружения.
  • Admin распределения может назначать роль Сотрудник в пределах своей вверенной территории/сферы.
  • Сотрудник не может назначать роли.

Изменение роли сопровождается настройкой соответствующих токенов на сервере.

Разрешения по ролям

В админ-части супер-админ или Admin окружения может настраивать разрешения по роли. Доступные роли, для которых можно задать разрешения: Супер-админ, Admin окружения, Admin распределения, Сотрудник и Гость.

Роль Гость относится к разрешениям, которые назначаются неавторизованным пользователям. Неавторизованные пользователи должны иметь возможность просматривать базовую информацию об окружениях, иначе нельзя выбрать параметры на экране входа. Будьте очень осторожны с назначением дополнительных разрешений роли Гость!

Коллекции

Разрешения выдаются по коллекциям. Коллекция — это совокупность схожих данных. Например, есть коллекции "Организации" и "Чаты".

Разрешения по умолчанию в базу данных

Только супер-админы могут настраивать разрешения в базу данных по умолчанию.

Разрешения по tenant-базе данных

После выбора роли (Супер-админ, Admin окружения, Admin распределения, Сотрудник, Гость) администратор может настроить разрешения по каждой коллекции в tenant-базе данных.

Разрешения на чтение

Разрешения на чтение относятся к возможности читать данные из базы данных.

Права могут настраиваться по возрастанию:

  • Только запись: пользователь должен знать уникальный UUID записи

  • Собственные записи: только записи, созданные самим пользователем

  • Разделённые записи: записи, которыми поделились с пользователем

  • Контролируемые записи: записи, находящиеся под контролем менеджера или администратора (например, Admin распределения или Admin окружения), например чаты, связанные с конкретным отделом или проектом

  • Tenant-записи: все записи tenant в AI-Corporate

  • Все записи: все записи AI-Corporate

Поскольку структура базы данных устроена так, что у каждого tenant AI-Corporate своя база данных, настройка "Tenant records" выключена при настройке разрешений в tenant-базах.

Разрешения на просмотр (View)

Здесь администратор может установить, сможет ли соответствующая роль (Супер-админ, Admin окружения, Admin распределения, Сотрудник) видеть плитку в админ-части.

Создание, Обновление, Удаление разрешений

Эти разрешения относятся к созданию, обновлению или удалению записей и настраиваются по каждой коллекции. Права могут настраиваться по возрастанию:

  • Собственные записи: только записи, которые пользователь создал или сделал

  • Tenant-записи: все записи tenant в AI-Corporate

  • Все записи: все записи AI-Corporate

Поскольку структура базы данных устроена так, что у каждого tenant AI-Corporate своя база данных, настройка "Tenant records" выключена при настройке разрешений на tenant-базах.