Политика безопасности на уровне ролей пользователей определяется набором привилегий (прав), разрешённых для каждой роли. Привилегии определяют разрешенный для пользователя набор действий в Системе, в части работы с функционалом. В Semantic MDM принят следующий набор привилегий:
Привилегия
Описание
Редактирование данных
Пользователю разрешено создавать пакет изменений. Если для пользователя отсутствует данная привилегия, то пользователь может создать пакет изменений только в рамках работы над заявкой. Если пользователь создаст пакет изменений без заявки, то будет автоматически создана системная заявка с требованием выполнить согласование по всем маршрутам согласования, определенным в справочных группах, в которых пользователь вносил изменения в данные. Пользователю с данной привилегией разрешено контролировать качество данных в подсистеме Качество данных
Редактирование данных без заявок
Пользователь может создавать пакет изменений без заявки
настраивать группы пользователей в заявках, которые используются при настройке исполнителей, диспетчеров и маршрутов согласования;
настраивать рабочее время отдела и персональный календарь сотрудников;
настраивать замещающего пользователя;
осуществлять контроль качества данных
Управление безопасностью
Пользователь имеет полный доступ к функциям управления безопасностью. Ему разрешено редактирование пользователей, ролей и матрицы доступа в подсистеме Администрирование. Данная привилегия включает в себя привилегию Чтение безопасности
Чтение данных
Пользователь может читать данные справочников / классификаторов с учётом настроенных прав доступа
Чтение безопасности
Пользователю разрешен просмотр пользователей, ролей и матрицы доступа в подсистеме Администрирование в режиме доступа Только чтение. Пользователь может изменять права доступа в тех справочных группах, для которых ему установлен уровень Полный доступ
Чтение журнала работы пользователей
Пользователю доступен для чтения журнал работы пользователей в подсистеме Администрирование. Пользователь может также просматривать журнал из карточки позиции, атрибута, карточки внешней системы и обменного класса
Просмотр всех справочников
Пользователь имеет доступ к подсистеме Справочники и на стартовой странице для него будет доступен системный справочник Все справочники. Если привилегия выключена, то:
недоступна Стартовая страница, если нет доступных справочников и классификаторов;
недоступна подсистема Справочники;
недоступен Журнал заявок, если отсутствуют доступные пользователю шаблоны заявок;
доступ к справочникам осуществляется только со стартовой страницы, на которой будут отображены только те справочники, для которых включена видимость для пользователя в подсистеме Конфигурация данных;
в подсистеме Качество данных будет доступен выбор справочника, для которого необходимо выполнить анализа качества данных
Пользователю разрешен доступ в подсистемы Машинное обучение, Описание компонентов, Импорт и репликация, Настройки
Настройка своих заместителей
Пользователю разрешена настройка своих заместителей на выбранные периоды времени. Если привилегия отключена, то заместителей может настроить только пользователь с привилегией Администрирование журнала заявок. Пользователь с привилегией Настройка своих заместителей не может изменить период замещения и заместителя, назначенного пользователем с привилегией Администрирование журнала заявок
Привилегия Выполнение системных функций назначается индивидуально в карточке пользователя и может быть назначена только одному пользователю. Привилегия Выполнение системных функций открывает доступ к загрузке лицензий и работе с функциями JConcole в подсистеме Настройки
Если для пользователя не включена привилегия Редактирование данных, то пользователь сможет видеть и искать только позиции со статусом Нормализована ,если иное не определено на уровне справочных групп правами доступа.
При включении для пользователя привилегии Экспорт позиций и шаблонов и не имеющего привилегии Редактирование данных, будут открыты функции экспорта позиций и шаблона позиции в MS Excel и CSV, а также экспорт описания групп в MS Word.
В Системе запрещен вход пользователей с ролями, для которых выключены все привилегии.
В таблицах ниже приведено комплексное влияние назначаемых привилегий на доступ пользователей к тем или иным подсистемам и функциям в разных подсистемах. Если привилегия не указана в таблице, то она никак не влияет на работу в указанной подсистеме.
Наименование привилегии
Идентификатор привилегии
Подсистема Справочники
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM. Позволяет читать справочные группы и позиции, к которым текущий пользователь имеет уровень доступа Чтение и выше
Редактирование данных
editData
Позволяет в рамках заявки выполнять редактирование позиций к которым имеет доступ (уровень доступа Создание и выше) и редактирование структуры данных (уровень) в соответствии с настроенными правами доступа. При отсутствии заявки, позволяет создать пакет изменений с системной заявкой, по которой все изменения потребуется согласовать в соответствии с настроенными в этих справочных группах маршрутов согласования
Редактирование данных без заявок
editDataWithoutApplications
Позволяет в выполнять редактирование данных и редактирование структуры данных в соответствии с настроенными правами доступа как в рамках заявки, так и без заявки.
Управление историчностью
editExpirables
Позволяет определять период действия позиции, а также задавать исторические значения для атрибутов для создаваемых позиций при наличии уровня доступа не ниже Создание. Позволяет изменять период действия позиции и исторические значения атрибутов при наличии уровня доступа не ниже Редактирование
Поиск дубликатов
similaritySearch
Позволяет выполнять поиск дубликатов в тех справочных группах, где уровень доступа к позициям не ниже Редактирование, которое позволяет установить статус "Дубликат" при выполнении дедубликации
Редактирование метаданных
editMetadata
Позволяет кроме выбора атрибута для декларирования, создать недостающий атрибут сразу в классификаторе атрибутов
Просмотр истории
viewHistory
Позволяет смотреть историю изменений позиции и детализация пакета изменений
Экспорт позиций и шаблонов
exportPatterns
Позволяет выполнять:
экспорт позиций в XLSX/CSV из справочных групп;
экспорт шаблона справочной группы и ее дочерних групп в DOCX;
экспорт иерархии справочных групп в XLSX;
экспорт деклараций атрибутов в XLSX из иерархии справочных групп.
Просмотр всех справочников
rootNodeAccess
Пользователь имеет возможность просмотра данных через кнопку Все справочники на стартовой странице, где будут отображены только те справочные группы, к которым ему предоставлен доступ. В противном случае, пользователь может просматривать только зарегистрированные справочники , к которым ему предоставлен доступ. В справочнике пользователю будут доступны только те справочные группы, к которым ему предоставлен доступ.
Чтение безопасности
readSecurity
На чтение доступны все справочные группы, декларации атрибутов. Настройки прав доступа доступны только для чтения
Управление безопасностью
manageSecurity
На чтение доступны все справочные группы, декларации атрибутов. Настройки прав доступа доступны на чтение и редактирование
Системное администрирование
sysAdministration
Для позиции доступна секция Импорт и репликация в карточке позиции. Доступна функция экспорта переходных ключей для позиций справочника.
Наименование привилегии
Идентификатор привилегии
Подсистема Конфигурация данных
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM
Редактирование метаданных
editMetadata
Позволяет выполнять настройку:
классификатора атрибутов и самих атрибутов, используемых в мастер данных;
справочников и классификаторов в Системе;
семантических связей, используемых в мастер данных;
глобальных ограничительных таблиц;
шаблонов заявок и доступа к ним;
единиц измерений и пересчетов;
классификатора и атрибутов используемых в заявках;
переменных, используемых в заявках.
Наименование привилегии
Идентификатор привилегии
Подсистема Журнал заявок
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Поиск дубликатов
similaritySearch
Данная привилегия не требуется для поиска подходящих позиций из заявки через имеющиеся поиски дубликатов
Администрирование журнала заявок
manageApplications
Позволяет настраивать рабочее время, приоритеты заявок, причины возврата заявок, сроки аннулирования заявок, совместный доступ к заявкам, а также выполнять любое доступное действие по любой из заявок подсистемы и контролировать SLA по обработке заявок. Контроль SLA доступен только при наличии привилегии Формирование отчетов.
Настройка своих заместителей
viceSetup
Позволяет пользователю настраивать своих заместителей в настройке своего профиля пользователя
Формирование отчетов
runReports
Предоставляет доступ к отчетам подсистемы управления заявками
Наименование привилегии
Идентификатор привилегии
Подсистема Импорт и репликация
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Редактирование данных без заявок
editDataWithoutApplications
При включенной настройке Показывать "Импорт и репликация" при наличии доступа хотя бы к одной системе, пользователю доступны вкладки: Экспорт/Импорт позиций, Переходные ключи по тем системам, к которым у пользователя есть доступ Чтение и выше. При уровне доступ Экспорт доступна повторная репликация сообщений экспорта. При уровне доступа Импорт доступна повторная обработка сообщений импорта
Формирование отчетов
runReports
Предоставляет доступ к отчетам подсистемы управления заявками,
Системное администрирование
sysAdministration
Доступ ко всем функциям подсистемы
Наименование привилегии
Идентификатор привилегии
Подсистема Отчёты
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Формирование отчетов
runReports
Предоставляет доступ к подсистеме формирования отчетов
Чтение безопасности
readSecurity
Доступно для чтения настройки видимости шаблонов отчетов
Управление безопасностью
manageSecurity
Настройки видимости отчетов доступны на редактирование
Наименование привилегии
Идентификатор привилегии
Подсистема Администрирование
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Чтение безопасности
readSecurity
Доступны для просмотра: Пользователи, Группы, Роли, Матрица доступа
Управление безопасностью
manageSecurity
Доступны для просмотра и редактирования: Пользователи, Группы, Роли, Матрица доступа
Чтение журнала работы пользователей
readUserJournal
Журнал работы пользователей доступен на чтение
Наименование привилегии
Идентификатор привилегии
Подсистема Машинное обучение
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM. Предоставляет доступ к функциям классификации и предсказания значений атрибутов
Системное администрирование
sysAdministration
Предоставляет доступ ко всем функциям управления машинным обучением
Наименование привилегии
Идентификатор привилегии
Подсистема Настройки
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Системное администрирование
sysAdministration
Предоставляет доступ к настройкам системы
Выполнение системных функций
sudo
Доступ к системным функциям JСonsole и загрузке лицензий
Наименование привилегии
Идентификатор привилегии
Подсистема Документация
Чтение данных
read
Обязательная привилегия для доступа к системе Semantic MDM.
Системное администрирование
sysAdministration
Для доступа ко всей документации из веб-клиента Semantic MDM
