Налаштування дозволів
Безпека AI-Corporate працює на основі ролей із дозволами.
Облікові записи та ролі
Облікові записи автоматично створюються після успішного першого входу. Під час створення облікових записів на сервері додаються токени, які визначають базову роль. Ці ролі можуть бути пізніше змінені уповноваженими адміністраторами. Початкові токени зазвичай:
- Співробітник (так/ні): встановлюється на "так", якщо адресу електронної пошти співпадає з адресою з списку співробітників.
- Адміністратор філії (так/ні): зазвичай спочатку встановлюється на "ні" та пізніше надається.
- Адміністратор середовища (так/ні): зазвичай спочатку встановлюється на "ні" та пізніше надається.
- Супер адміністратор (так/ні): зазвичай спочатку встановлюється на "ні" (за винятком для першого Супер адміністратора) та пізніше надається.
Зміна ролі
Супер адміністратор, Адміністратор середовища або Адміністратор філії може надавати ролі залежно від власної ролі та наданих дозволів на керування ролями. Ієрархія зазвичай така:
- Супер адміністратор може надавати всі інші ролі (Адміністратор середовища, Адміністратор філії, Співробітник).
- Адміністратор середовища може надавати ролі, такі як Адміністратор філії та Співробітник, у межах свого середовища.
- Адміністратор філії може надавати роль Співробітника у межах своєї філії/обсягу.
- Співробітник не може надавати ролі.
Зміна ролі супроводжується оновленням відповідних токенів на сервері.
Ролі дозволів
У адмін-ділянці супер адміністратор або адміністратор середовища може коригувати дозволи для кожної ролі. Доступні ролі, для яких можна встановлювати дозволи: Супер адміністратор, Адміністратор середовища, Адміністратор філії, Співробітник та Гість.
Роль Гість стосується дозволів, які надаються користувачам без входу. Користувачам без входу повинно бути доступно щонайменше читання базових даних середовищ, інакше не можна зробити вибір на екрані входу. Будьте надзвичайно обережні з наданням додаткових дозволів ролі Гість!
Колекції
Дозволи надаються для кожної колекції. Колекція — це сукупність подібних даних. Наприклад, існують колекції "Організації" та "Чати".
Налаштування дозволів у базі даних за замовчуванням
Тільки Супер адміністратори можуть встановлювати дозволи в базі даних за замовчуванням.
Налаштування дозволів у базі даних tenant (tenant)
Після вибору ролі (Супер адміністратор, Адміністратор середовища, Адміністратор філії, Співробітник, Гість) адміністратор може змінювати дозволи для кожної колекції у базі даних tenant.
Дозволи на читання (Read)
Дозволи на читання означають можливість читати дані з бази даних.
Права можна поступово підвищувати:
-
Лише один запис: кор�истувач повинен знати унікальний UUID запису
-
Свої записи: лише записи, які створив або створив користувач
-
Спільні записи: записи, якими поділилися з користувачем
-
Контрольні записи: записи, які під контролем менеджера або адміністратора (наприклад, Адміністратор філії або Адміністратор середовища), наприклад чати, пов’язані з конкретним відділом або проектом
-
Записи tenant: всі записи tenant у AI-Corporate
-
Усі записи: усі записи AI-Corporate
Оскільки структура бази даних побудована так, що кожен tenant (клієнт) AI-Corporate має власну базу даних, установка "Записи tenant" вимкнена під час налаштування дозволів на бази даних tenants.
Дозволи на перегляд (View)
Тут адміністратор може встановити, чи відповідна роль (Супер адміністратор, Адміністратор середовища, Адміністратор філії, Співробітник) бачить плитку в адмін-розділі.
Створення, Оновлення, Видалення (Create, Update, Delete) дозволів
Ці дозволи призначені для створення, оновлення або видалення записів і налаштовуються для кожної колекції. Права можна підвищувати:
-
Свої записи: лише записи, які створив або створив користувач
-
Записи tenant: всі записи tenant в AI-Corporate
-
Усі записи: усі записи AI-Corporate
Оскільки структура бази даних побудована так, що кожен tenant має власну базу даних, установка "Записи tenant" вимкнена під час налаштування дозволів у базах даних tenants.