9.6 Разрешения безопасности для рабочей панели инструментов
В разделе описаны разрешения, необходимые каждому пользователю для выполнения различных действий на рабочей панели инструментов. Рассматриваются следующие темы:
9.6.1 Самообслуживание пользователей
Уполномоченный пользователь может выполнять на рабочей панели инструментов действия по самообслуживанию задач без каких-либо разрешений безопасности, как показано в таблице ниже.
Таблица 9-5 Уведомление о задачах для самообслуживания пользователей
|
Просмотр задачи в списке |
Адресат задачи
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем группе.
ПРИМЕЧАНИЕ.В режиме самообслуживания администратор домена или менеджер домена может также просматривать задачи, получателем которых он (она) является.
|
Нет. |
|
Просмотр и работа со сведениями о задаче |
Адресат задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
|
Просмотр комментариев к рабочему процессу |
Адресат задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
Уполномоченному пользователю требуется право на просмотр записи, чтобы назначить или удалить назначение роли или ресурса, как показано в таблице ниже.
Таблица 9-6 Назначение ролей и ресурсов для самообслуживания пользователей
|
Просмотр роли или ресурса в списке |
Получатель.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Нет. |
|
Назначить или удалить назначение роли или ресурса |
Получатель.
Операции предоставления и аннулирования доступа применяются только к уполномоченным пользователям. |
Опекун (просмотр записи). |
Уполномоченному пользователю для выполнения любых действий, касающихся состояния запроса, требуются права на просмотр записи, как показано в таблице ниже.
Таблица 9-7 Состояние запроса для самообслуживания пользователей
|
Просмотр списка запросов о процессах |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа с со сведениями, относящимися к запросу о процессе |
Инициатор или получатель (если опция в режиме конструктора установлена в значение false).
Если опция установлена в значение true, выводимый на экран список ограничивается задачами, инициированными данным пользователем, даже если у него есть право просмотра. |
Опекун (просмотр записи). |
|
Отзыв запросов о процессах |
Инициатор и получатель.
Запрос должен находиться в состоянии, допускающем его отзыв, т. е. не быть подтвержденным, отклоненным, отмененным или обеспеченным. |
Опекун (просмотр записи). |
|
Просмотр комментариев к рабочим процессам запросов о процессах |
Инициатор или получатель (если опция в режиме конструктора установлена в значение false).
Если опция установлена в значение true, выводимый на экран список ограничивается задачами, инициированными данным пользователем, даже если у него есть право просмотра. |
Опекун (просмотр записи). |
|
Просмотр запросов о ролях или ресурсах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями о запросах, касающихся ролей или ресурсов |
Инициатор или получатель. |
Опекун (просмотр записи). |
|
Отзыв запросов о ролях или ресурсах |
Инициатор и получатель.
Запрос должен находиться в состоянии, допускающем его отзыв, т. е. не быть подтвержденным, отклоненным, отмененным или обеспеченным. |
Опекун (просмотр записи). |
|
Просмотр комментариев к рабочим процессам запросов о ролях или ресурсах |
Инициатор или получатель. |
Опекун роли/ресурса (просмотр записи). |
9.6.2 Администратор домена в режиме управления
В режиме управления администратор домена может производить действия для выполнения задач на рабочей панели управления без каких-либо разрешений безопасности, как показано в таблице ниже.
Таблица 9-8 Уведомления о задачах для администратора домена в режиме управления
|
Просмотр задачи в списке |
Адресат или получатель задачи.
ПРИМЕЧАНИЕ.Роль не может быть получателем задачи. Она может быть только адресатом задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
|
Просмотр и работа со сведениями о задаче |
Адресат или получатель задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
|
Просмотр комментариев к рабочим процессам |
Адресат или получатель задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
В режиме управления администратор домена может выполнять все действия по назначению ролей и ресурсов на рабочей панели инструментов без каких-либо разрешений безопасности, как показано в таблице ниже.
Таблица 9-9 Назначение ролей и ресурсов для администраторов домена в режиме управления
|
Просмотр роли или ресурса в списке |
Получатель.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Нет. |
|
Назначить или удалить назначение роли или ресурса |
Получатель.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Нет.
Администратор домена может менять все назначения ролей, кроме назначений системных ролей.
Администратор домена может просмотреть и изменить любой ресурс. |
В режиме управления администратор домена может выполнять на рабочей панели управления все действия по самообслуживанию, касающиеся состояния запроса, без каких-либо разрешений безопасности, как показано в таблице ниже.
Таблица 9-10 Состояние запроса для администратора домена в режиме управления
|
Просмотр запросов о процессах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями, касающимися запросов о процессах |
Инициатор или получатель. |
Нет. |
|
Отзыв запросов о процессах |
Инициатор или получатель. |
Нет. |
|
Просмотр комментариев к рабочим процессам запросов о процессах |
Инициатор или получатель. |
Нет. |
|
Просмотр запросов о ролях и ресурсах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями о запросах о ролях или ресурсах |
Инициатор или получатель.
Администратор домена не может видеть запросы о системных ролях. |
Нет.
Администратор домена может просматривать все запросы о ролях, кроме запросов о системных ролях.
Администратор домена может просмотреть и изменить любой ресурс. |
|
Отзыв запросов о ролях или ресурсах |
Инициатор или получатель.
Запрос должен находиться в состоянии, допускающем его отзыв.
Администратор домена не может отзывать запросы о системных ролях. |
Нет.
Администратор домена может отзывать все запросы о ролях, кроме запросов о системных ролях.
Администратор домена может просмотреть и изменить любой ресурс. |
|
Просмотр комментариев к рабочим процессам запросов о ролях или ресурсах |
Инициатор или получатель.
Администратор домена не может просматривать комментарии к рабочим процессам, относящимся к системным ролям. |
Нет.
Администратор домена может просматривать и менять все роли, кроме системных.
Администратор домена может просмотреть и изменить любой ресурс. |
9.6.3 Менеджер домена в режиме управления
В режиме управления менеджер домена может просматривать задачи без каких-либо разрешений безопасности, но должен иметь разрешение на просмотр сведений о задаче и комментарии к рабочему процессу, как показано в таблице ниже.
Таблица 9-11 Уведомления о задачах для менеджера домена в режиме управления
|
Просмотр задачи в списке |
Адресат или получатель задачи.
ПРИМЕЧАНИЕ.Роль не может быть получателем задачи. Она может быть только адресатом задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
|
Просмотр сведений о задаче |
Адресат или получатель задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Управлять задачей адресата.
|
|
Просмотр комментариев к рабочим процессам |
Адресат или получатель задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Управлять задачей адресата. |
В режиме управления менеджер домена может просматривать назначения ролей или ресурсов без каких-либо разрешений безопасности, но должен иметь разрешение на назначение ролей и ресурсов или удаление имеющихся назначений, как показано в таблице ниже.
Таблица 9-12 Назначение ролей и ресурсов для менеджеров доменов в режиме управления
|
Просмотр роли или ресурса в списке |
Получатель.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Нет. |
|
Назначить или удалить назначение роли или ресурса |
Получатель.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Не менее одного из следующих разрешений опекуна для роли:
-
Назначить роль пользователю
-
Аннулировать роль пользователя
-
Назначить роль группе и контейнеру
-
Аннулировать назначение роли группе и контейнеру
Не менее одного из следующих разрешений опекуна для ресурса:
|
В режиме управления менеджер домена может просматривать запросы о процессах, ролях и ресурсах без каких-либо разрешений безопасности, но должен иметь разрешение на просмотр сведений о запросе и комментариев к рабочему процессу, а также на отзыв запросов, как показано в таблице ниже.
Таблица 9-13 Состояние запроса для менеджера домена в режиме управления
|
Просмотр запросов о процессах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями, касающимися запросов о процессах |
Инициатор или получатель. |
Просмотреть работающий PRD. |
|
Отзыв запросов о процессах |
Инициатор или получатель. |
Отклонить PRD. |
|
Просмотр комментариев к рабочим процессам запросов о процессах |
Инициатор или получатель. |
Просмотреть работающий PRD. |
|
Просмотр запросов о ролях и ресурсах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями о запросах, касающихся ролей или ресурсов |
Инициатор или получатель. |
Просмотреть роль или просмотреть ресурс.
Разрешение на просмотр роли определяет, можете ли Вы видеть сведения о запросах о ролях в разделе "Состояние запроса" рабочей панели управления. Разрешение на просмотр ресурса определяет, можете ли Вы видеть сведения о запросах на ресурсы. |
|
Отзыв запросов о ролях или ресурсах |
Инициатор или получатель.
Запрос должен находиться в состоянии, допускающем его отзыв. |
Не менее одного из следующих разрешений опекуна для роли:
-
Назначить роль пользователю.
-
Назначить роль группе и контейнеру.
-
Обновить роль.
-
Аннулировать роль пользователя.
-
Аннулировать назначение роли группе и контейнеру.
Следующее разрешение опекуна для ресурса:
|
|
Просмотр комментариев к рабочим процессам запросов о ролях или ресурсах. |
Инициатор или получатель. |
Просмотреть роль или просмотреть ресурс. |
9.6.4 Менеджер группы в режиме управления.
В режиме управления менеджер группы может просматривать задачи без каких-либо разрешений безопасности, но должен иметь разрешение на просмотр сведений о задачах и комментариев к рабочим процессам, как показано в таблице ниже.
Таблица 9-14 Уведомления о задачах для менеджера группы в режиме управления
|
Просмотр задачи в списке |
Член группы, а также адресат задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Нет. |
|
Просмотр сведений о задаче |
Член группы, а также адресат задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Управлять задачей адресата. |
|
Просмотр комментариев к рабочим процессам |
Член группы, а также адресат задачи.
В другом случае задача может быть делегирована этому пользователю адресатом или выдана этим пользователем для выполнения группе. |
Управлять задачей адресата.
|
В режиме управления менеджер группы может просматривать назначения ролей или ресурсов без каких-либо разрешений безопасности, но должен иметь разрешение на назначение ролей и ресурсов или удаление имеющихся назначений, как показано в таблице ниже.
Таблица 9-15 Назначение ролей и ресурсов для менеджеров групп в режиме управления
|
Просмотр роли или ресурса в списке |
Член выбранной группы.
Пользователь также должен быть получателем.
Список назначений ролей включает назначения для групп и контейнеров, к которым принадлежит данный пользователь.
Список назначений ресурсов включает только назначения для управляемого пользователя. |
Нет. |
|
Назначить или удалить назначение роли или ресурса |
Член выбранной группы.
Пользователь также должен быть получателем.
Список назначений включает назначения для групп и контейнеров, к которым принадлежит данный пользователь. |
Не менее одного из следующих разрешений опекуна для роли:
-
Назначить роль пользователю
-
Аннулировать роль пользователя
-
Назначить роль группе и контейнеру
-
Аннулировать назначение роли группе и контейнеру
Не менее одного из следующих разрешений опекуна для ресурса:
|
В режиме управления менеджер группы может просматривать запросы о процессах, ролях и ресурсах без каких-либо разрешений безопасности, но должен иметь разрешение на просмотр сведений о запросе и комментариев к рабочему процессу, а также на отзыв запросов, как показано в таблице ниже.
Таблица 9-16 Состояние запроса для менеджера группы в режиме управления
|
Просмотр запросов о процессах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями, касающимися запросов о процессах |
Инициатор или получатель. |
Просмотреть работающий PRD. |
|
Отзыв запросов о процессах |
Инициатор или получатель. |
Отклонить PRD. |
|
Просмотр комментариев к рабочим процессам запросов о процессах |
Инициатор или получатель. |
Просмотреть работающий PRD. |
|
Просмотр запросов о ролях и ресурсах в списке |
Инициатор или получатель. |
Нет. |
|
Просмотр и работа со сведениями о запросах, касающихся ролей или ресурсов |
Инициатор или получатель. |
Просмотреть роль или просмотреть ресурс.
Разрешение на просмотр роли определяет, можете ли Вы видеть сведения о запросах о ролях в разделе "Состояние запроса" рабочей панели управления. Разрешение на просмотр ресурса определяет, можете ли Вы видеть сведения о запросах на ресурсы. |
|
Отзыв запросов о ролях или ресурсах |
Инициатор или получатель.
Запрос должен находиться в состоянии, допускающем его отзыв. |
Не менее одного из следующих разрешений опекуна для роли:
-
Назначить роль пользователю.
-
Назначить роль пользователю и группе.
-
Обновить роль.
-
Аннулировать роль пользователя.
-
Аннулировать назначение роли группе и контейнеру.
Следующее разрешение опекуна для ресурса:
|
|
Просмотр комментариев к рабочим процессам запросов о ролях или ресурсах. |
Инициатор или получатель. |
Просмотреть роль или просмотреть ресурс. |