Управление учебным процессом ВУЗа- Управление доступом пользователей к системе  (раздел целиком)  (29.03.2024)
Управление доступом пользователей к системе

1. Управление пользователями, ролями, профилями

Подключение пользователей к системе состоит из следующих этапов:

  1. Создание пользователя БД средствами СУБД. Этот этап необходим только для локального подключения. Для пользователей, которые будут работать при помощи удаленного подключения, создавать пользователей БД не необходимости.
  2. Создание пользователя как объекта системы.
    В Административной форме не вкладке Пользователи необходимо создать запись о новом пользователе.

    Добавление пользователя

    Для того, чтобы пользователь мог работать локально (посредством локального подключения), Имя пользователя должно в точности совпадать с именем пользователя, созданного в СУБД и должно быть занесено В ВЕРХНЕМ РЕГИСТРЕ (например, ESMIRNOVA). В качестве Наименования рекомендуется вводить полное ФИО пользователя на русском языке (например, "Смирнова Елена Ивановна").
    Признак Получает сообщения отвечает за то, будут ли для пользователя отображаться внутренние сообщения системы (такие сообщения могут генерироваться процедурами, о результатах выполнения которых необходимо известить определенных пользователей).
  3. Включение пользователя в Роли.
    Для того, чтобы новый пользователь получил доступ к определенной функциональности системы, его необходимо включить в соответствующие роли. Для включения пользователя в роль нужно в Административной форме в таблице данных Пользователи на подчиненной вкладке Член ролей вызвать действие Создать.

    Включение пользователя в роль

    В поле Роль необходимо выбрать роль из ранее созданных ролей.
    Признак Основная роль позволяет выделить из всего перечня ролей, в которые включен пользователь, основную. "Основная роль" будет использоваться при создании пользователем объектов, принадлежащих к классам "публичных объектов", т.е. объектов, права на изменение которых получают только члены той роли, из которой они были созданы. Примером такого класса является класс "Значение настроек" (изменять значения настроек может только тот, кто их создал).
    Признак Добавить связанные роли используется при включении ролей друг в друга. При включении в роль пользователя этот признак недоступен для установки.

    Вхождение пользователя в роль определяет:
    • какие формы доступа к данным будут доступны пользователю;
    • какие визуальные группы на Консоли управления будут доступны пользователю;
    • какие запреты будут действовать для пользователя;
    Каждая роль соответствует одному из функциональных участков системы, что всегда должно быть отражено в ее наименовании, например "Учебные части факультетов", "Разработка учебных планов", "Олимпиады школьников". В системе существует набор предопределенных ролей, поставляемых вместе с функциональностью системы. Для более тонкой настройки прав доступа Администратор системы может создать новые роли, задав для них набор доступных форм, визуальных групп, групп запретов, и включить в них пользователей.
    Каждый пользователь может быть включен в любое число ролей.
  4. Включение пользователя в профили.
    В дополнение к включению в роли права пользователя могут быть ограничены профилями. Профили задают ограничения на доступ пользователя к определенным классам системы в разрезе бизнес-сущностей (например, факультетов, филиалов, кафедр и т.д.). Каждый профиль задает перечень классов, доступ к которым будет ограничен, и свойств этих классов, в соответствии с которыми будут наложены ограничения. Например, если включить пользователя в профиль "Студенты по факультетам" и задать значение факультета, равное "Факультет социологии", то пользователь получит доступ только к студентам факультета социологии. Можно включить пользователя в профиль несколько раз с различными значениями профилируемого свойства. Если, например, в дополнении к факультету социологии включить пользователя в тот же профиль со значениями профилируемого свойства "Факультет менеджмента" и "Факультет права", то пользователь получит доступ к данным о студентах трех факультетов.

    Для включения пользователя в профиль нужно в Административной форме в таблице данных Пользователи на подчиненной вкладке Профили вызвать действие Добавить пользователя в профиль.

    Включение пользователя в профиль

    В зависимости от того, профиль какого домена будет выбран, для выбора будет открыто одно из полей - Филиал, Факультет, Кафедра или Подразделение ДПО. Для предоставления пользователю доступа к данным нескольких подразделений в пределах одного профиля необходимо повторить включение пользователя в профиль несколько раз, указав разные подразделения.

    Важно!
    Если пользователь не включен в профиль, то его права на данные классов, доступных ему согласно его ролям, не ограничены. Например, чтобы дать пользователю доступ к студентам всех факультетов вуза, его НЕ НУЖНО включать в профиль "Студенты по факультетам". Однако после того, как пользователь включен в профиль, он будет иметь доступ только к тем объектам, на которые определены профилем.
    Подробнее о том, в какие именно профили нужно включать пользователей каждого из участков системы можно прочесть в подразделах "Руководство администратора" каждого из участков.
  5. Наряду с системой профилей для ограничения прав доступа пользователей может использоваться система настроек. Настройки позволяют предоставить пользователю доступ к данным, связанным к какой-то одной бизнес-сущностью, например, только к студентам факультета права или только к студентам факультета социологии. Подробнее о настройках в разделе Установка настроек пользователей. Настройки заданные для пользователя администратором системы, пользователь не сможет изменить самостоятельно. Если настройки администратором не заданы, пользователь сможет установить их себе сам. В этом случае он будет иметь возможность их изменения в пределах, ограниченных ролью и вхождением в профилями.

Дополнительную информацию о системе прав доступа можно получить в разделе Руководство администратора по платформе "Мельница данных".

В существующей конфигурации системы выделены следующие категории пользователей:

  • Администраторы системы – осуществляют централизованное администрирование системы, имеют доступ ко всем данным системы как по Москве, так и по филиалам, как на чтение, так и на запись.
  • Бизнес-администраторы системы – формируют и поддерживают справочные данные системы, ведущиеся централизовано; имеют доступ ко всем данным системы как по Москве, так и по филиалам на чтение и на запись.
  • Бизнес-администраторы филиалов – имеют настройку «Филиал»; формируют и поддерживают справочные данные системы, ведущиеся централизовано на уровне филиала; имеют доступ ко всем данным системы одного филиала как на чтение, так и на запись; имеют доступ к справочникам системы, ведущимся централизовано, в режиме «только для чтения».
  • Менеджеры приемной кампании – формируют и поддерживают справочные данные о каждой приемной кампании, ведущиеся централизовано; работают с данными обо всех абитуриентах университета, включая филиалы как на чтение, так и на запись.
  • Менеджеры приемной кампании филиала - имеют настройку «Филиал»; формируют и поддерживают справочные данные о каждой приемной кампании, ведущиеся централизовано на уровне филиала; имеют доступ к данным обо всех абитуриентах одного филиала как на чтение, так и на запись.
  • Пользователи участка «Абитуриент» - работают с данными об абитуриентах Москвы или одного из филиалов; имеют доступ к данным об абитуриентах как на чтение, так и на запись; имеют доступ к справочникам участка «Абитуриент» в режиме «только для чтения».
  • Операторы участка «Абитуриент» - имеют настройку «Филиал»; осуществляют регистрации абитуриентов Москвы или одного из филиалов; имеют ограниченный доступ к данным об абитуриентах на чтение и на запись; имеют доступ в режиме «только для чтения» к ограниченному набору справочных данных, задействованных в процедуре регистрации.
  • Менеджеры факультета – имеют настройки «Филиал» и «Факультет»; формируют и поддерживают справочные данные уровня факультета Москвы или факультета филиала; имеют доступ ко всем студентам своего факультета как на чтение, так и на запись; имеют доступ к справочникам, ведущимся централизованно, в режиме «только для чтения».
  • Пользователи участка «Студент» - имеют настройки «Филиал» и «Факультет»; работают с данными о студентах одного факультета Москвы или филиала в режимах чтения и записи.
  • Менеджеры аспирантуры – формируют и поддерживают справочные данные участка «Аспирант», ведущиеся централизовано; имеют доступ к данным обо всех аспирантах как Москвы, так и филиалов как на чтение, так и на запись.
  • Менеджеры аспирантуры филиала – имеют настройку «Филиал»; формируют и поддерживают справочные данные участка «Аспирант», ведущиеся на уровне филиала; имеют доступ к данным обо всех аспирантах либо Москвы, либо одного из филиалов как на чтение, так и на запись.
  • Пользователи участка «Аспирант» - имеют настройку «Филиал»; работают с данными об аспирантах либо Москвы, либо одного из филиалов в режимах чтения и записи.
  • Менеджеры участка ДПО – формируют и поддерживают справочные данные участка ДПО, ведущиеся централизованно; имеют доступ к данным обо всех слушателях и студентах ДПО как Москвы, так и филиалов как на чтение, так и на запись.
  • Менеджеры участка ДПО филиала - имеют настройку «Филиал»; формируют и поддерживают справочные данные участка ДПО, ведущиеся на уровне филиала; имеют доступ к данным обо всех слушателях и студентах ДПО либо Москвы, либо одного из филиалов как на чтение, так и на запись.
  • Пользователи участка ДПО – имеют настройки «Филиал» и «Подразделение ДПО»; работают с данными о слушателях ДПО одного подразделения ДПО, принадлежащего либо к Москве, либо к одному из филиалов в режимах чтения и записи.
  • Пользователи участка «Выпускник» - имеют доступ к информации обо всех выпускниках, как Москвы, так и филиалов; имеют доступ к ряду атрибутов выпускника на запись и ко всем атрибутам в режиме чтения.
  • Пользователи участка «Выпускник» филиала – имеют настройку «Филиал»; имеют доступ к информации о выпускниках либо Москвы, либо одного из филиалов; ряд атрибутов доступен для записи, все атрибуты выпускников доступны на чтение.

В системе существует и ряд других ролей, о которых подробнее написано в разделах "Руководство администратора" по каждому из участков системы.


2. Установка настроек пользователей

Установить для пользователей значения настроек Филиал, Факультет, Подразделение ДПО с целью ограничения доступа пользователя к объектам в рамках каждой роли, можно, выполнив ряд действий:

  1. В разделе Администратору выбрать ссылку Системная форма.
  2. В верхней таблице данных выбрать закладку Пользователи.
  3. Найти и выбрать пользователя в отношении которого будут задаваться настройки.
  4. Вызвать контекстное меню (щелчок правой клавишей мыши) и выбрать процедуру Задать настройки пользователя.
    Определение настроек пользователя
  5. Заполнить форму настроек Филиал, Факультет, Подразделение ДПО для пользователей системы. Пустое значение настройки означает, что пользователь имеет доступ к данным всех филиалов (факультетов, подразделений ДПО).
    Форма заполнения настроек пользователя

3. Настройка сервера приложений для удаленного доступа

Для организации удаленного доступа пользователей в систему необходимо

  • Установить сервер приложений на компьютер, на который возложены функции сервера приложений
    Установка сервера приложений
  • Запустить утилиту управления сервером приложений
    Запуск управления сервером приложений
  • С помощью интерфейса утилиты сформировать конфигурацию сервера. Удалите все "лишние" объекты сервера приложений, и добавьте недостающие.
    Конфигурация сервера приложений
    Для организации удаленного доступа минимально необходимы следующие объекты:
    1. "Стандартный прослушиватель HTTP" или "Стандартный прослушиватель HTTPS"
    2. Обработчик запросов БД "Мельница Данных". Этому обработчику необходимо дать имя (в примере - "myHandler"). При настройке параметров обработчика необходимо указать базу данных, к содержимому которой собственно и организуется доступ.
    3. Аутентификатор БД "Мельница Данных". При настройке параметров аутентификатора необходимо указать базу данных, к содержимому которой собственно и организуется доступ.

    С помощью элементов управления на странице "Связи" в окнах настройки объектов сервера приложений свяжите объекты так, как показано на рисунке.
  • Примените сделанные вами изменения конфигурации (самая левая кнопка на панели инструментов).


На стороне удаленного клиента необходимо запустить обозраеватель данных, в поле "Источник данных" указать "DataMill Application Server", в поле "База данных" - url обработчика на соответвтующем сервере приложений. Если хост сервера приложений доступен по имени "myHost", то в поле необходимо написать "myHost/myHandler" ("myHander" - имя обработчика в конфигурации сервера приложений на хосте "myHost")
Подключение к удаленному серверу


4. Настройка и использование доверенного доступа

Для использования доверенного доступа на стороне сервера проделайте следующее:

  • Замените в конфигурации сервера приложений аутентификатор на "Аутентификатор Negotiate"
    Конфигурация сервера приложений с Negotiate-аутентификатором
  • В свойствах прослушивателя установите параметр "Разрешить Negotiate авторизацию"
    Разрешить Negotiate-авторизацию
  • Примените сделанные вами изменения конфигурации (самая левая кнопка на панели инструментов).

На стороне удаленного клиента необходимо запустить обозраеватель данных, в поле "Источник данных" указать "DataMill Application Server", в поле "База данных" - url обработчика на соответвтующем сервере приложений. Если хост сервера приложений доступен по имени "myHost", то в поле необходимо написать "myHost/myHandler" ("myHander" - имя обработчика в конфигурации сервера приложений на хосте "myHost"). Установите флажок "Доверенная авторизация". Поля "пользователь" и "пароль" автоматически очистятся.
Подключение к удаленному серверу с доверенной авторизацией

При создании ярлыка или вызове "Обозревателя данных" с командной строки необходимо передавать в командной строке ключ "/NegotiateAuth" для автоматической активации доверенной авторизации. Имя пользователя и пароль в этом случае необходимо опустить:

DataBrowser.exe app#/@myhost.myHandler /NegotiateAuth


5. Использование "профилей" для ограничения прав на бизнес-объекты

Нередки случаи, когда необходимо ограничивать права пользователей на бизнес-объекты системы, связанные с определенными подразделениями (факультетами, кафедрами), филиалами или другими сущностями. Например, возможна ситуация, в которой пользователю нужно предоставить права на просмотр записей о студентов трех из десяти факультетов вуза, при этом дать права на запись в отношении только двух из этих факультетов. Аналогичные задачи возможны применительно к учебным планам различных факультетов, данным о нагрузке различных кафедр, слушателям различных подразделений дополнительного образования.

Для решения подобных задач можно использовать "профили" пользователей. Работа с профилями ведется в Административной форме системы. Для управления доступом к некоторой категории объектов (например, к учебным планам, контингенту студентов) на вкладке Профили нужно добавить запись о новом профиле при помощи действия Создать.

Добавление профиля

Для добавления профиля нужно задать его Имя и Наименование. В поле Домен нужно выбрать домен того свойства, по которому будет вводиться ограничение прав. Например, для ограничения по факультету нужно выбрать домен класса Ссылки на объекты, связанный с классом Факультеты и отделения. В поле Доступ нужно выбрать один из двух режимов: Контролировать только запись (флажок снят) или Контролировать чтение и запись (флажок установлен).

После создания записи о профиле необходимо создать его элементы. Элементы профиля содержат информацию о том, на объекты какого класса и по какому свойству вводится ограничение.

Добавление элемента профиля

На представленной выше форме параметров приведен пример добавления в профиль элемента, вводящего ограничение на объекты класса Рабочий учебный план по свойству Факультет.

В каждый профиль можно влкючить несколько элементов профиля. Например, в профиль "Профиль работы с учебными планами" можно включить элементы, вводящие ограничения по свойству Факультет на доступ к объектам классов Рабочие учебные планы, Базовые учебные планы, Учебные планы факультета.

Для того, чтобы ограничения доступа были применены к определенным пользователям, необходимо установить связь между пользователями и профилями. Это можно сделать в подчиненной таблице Пользователи таблицы Профили при помощи действия Создать.

Включение пользователя в профиль

В форме параметров данного действия нужно выбрать пользователя, включаемого в профиль, а также установить значение свойства, по которому вводится ограничение, для данного пользователя. В зависимости от домена свойства для заполнения будет доступно одно из полей для ввода значений (Строковое значение, Целое значение, Значение-объект и проч.)

Если пользователю нужно предоставить права на объекты с определенным набором значений свойств (например, на планы нескольких факультетов), то нужно повторить действие по добавлению пользователя с каждым из этих значений.

Важно!
До тех пор, пока пользователь не включен ни в один из профилей, для него не действуют никакие из вводимых профилем ограничений на чтение или запись. Как только пользователь включен в профиль с определенными значениями ограничивающих свойств, он будет иметь права на чтение или запись объектов указанных классов только с определенными значениями свойств. Например, при включении пользователя в профиль "Профиль работы с учебными планами" со значениями свойства Факультет "Факультет социологии" и "Факультет истории" пользователь сможет вносить изменения только в учебные планы этих двух факультетов. К планам остальных факультетов он сохранит доступ в режиме "только для чтения".

Пример формирования состава профиля:

Пример настройки профиля. Состав профиля.

Пример включения пользователей в профиль:

Пример настройки профиля. Пользователи.

В приведенном примере пользователь "Дугарская Полина Васильевна" будет иметь права на запись только для учебных планов (объектов классов Рабочие учебные планы, Базовые учебные планы и Учебные планы факультета) факультетов права и прикладной политологии, а пользователь "Белов Никита Юрьевич" будет иметь права на запись только учебных планов факультета социологии и Института демографии.