.. :validated: 3.2.0

Возможности для управления типами администраторов
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Для создания типа администратора требуются следующие возможности:

.. list-table:: Возможности для управления типами администраторов
   :widths: 27 18 55
   :header-rows: 1
   :class: longtable

   * - Действие
     - Привилегии
     - Комментарии

   * - Создать новую роль и сохранить ее
     - Roles - Add
     - При создании роли надо определить подразделение, к которому эта роль будет привязана. Подразделение новой роли должно входить в ограничение области действия по подразделениям (с учетом признака "Включая дочерние подразделения") всех привилегий Roles - Add у текущего пользователя"

   * - Добавить привилегии в роль
     - Role Privileges - Add
     - Достаточно наличия привилегии Role Privileges - Add у исполнителя. Для удаления привилегий потребуется привилегия Role Privileges - Delete

   * - Добавить связанные привилегии
     - Role Privileges - Add
     - Достаточно наличия привилегии Role Privileges - Add у исполнителя. Операция должна быть выполнена до активации роли

   * - Указать привязки привилегий к сайтам
     - Role Privileges - Modify
     - Достаточно наличия привилегии Role Privileges - Modify у исполнителя

   * - Назначить пользователей на роль
     - Roles Membership - Manage
     - Достаточно наличия привилегии Roles Membership - Manage у исполнителя. Эта привилегия дает право на назначение роли как пользователям, так и группам пользователей.  Этот пункт может не выполняться, если необходимо добавлять пользователей в активную роль

   * - Активировать / деактивировать роль
     - Roles - Modify
     - Привязка к подразделению активной роли пользователя с привилегией Roles - Modify включает в себя область действия активируемой роли
       
       Подразделения всех без исключения пользователей, назначенных на роль, попадают  в область действия активной роли пользователя с привилегией Roles Membership - Manage
       
       Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль,  попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage. Принадлежность групп пользователей к подразделениям не учитывается
       
       Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль,  попадают в область действия активируемой роли
       
       Подразделения всех без исключения пользователей, назначенных на роль,  попадают в область действия активируемой роли
       
       Для исключения возможности эскалации привилегий добавлены следующие ограничения при активации роли:

         - Пользователь, выполняющий активацию, обладает всеми привилегиями (суммарно по всем назначенным ему активным ролям), которые входят в состав активируемой роли;
         - Привязки к сайтам привилегий в составе активируемой роли соответствуют привязкам к сайтам  привилегий в активных ролях пользователя, выполняющего активацию

   * - Добавить / удалить пользователей / группы пользователей в активную роль
     - Roles Membership - Manage
     - Область действия активной роли пользователя с привилегией Roles Membership - Manage включает в себя область действия роли, над которой выполняется действие
       
       Подразделение пользователя, назначаемого на роль (исключаемого из роли), попадает в область действия активной роли пользователя с привилегией Roles Membership - Manage
       
       Подразделения всех без исключения пользователей, входящих в состав группы, назначаемой на роль (исключаемой из роли), попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage. Принадлежность групп пользователей к подразделениям не учитывается

В таблице не приводится перечень связанных привилегий, которые необходимо будет добавить по требованию системы для корректной работы привилегий, указанных в графе "Привилегии".