Возможности для управления типами администраторов

Для создания типа администратора требуются следующие возможности:

Таблица 22 Возможности для управления типами администраторов

Действие

Привилегии

Комментарии

Создать новую роль и сохранить ее

Roles - Add

При создании роли надо определить подразделение, к которому эта роль будет привязана. Подразделение новой роли должно входить в ограничение области действия по подразделениям (с учетом признака «Включая дочерние подразделения») всех привилегий Roles - Add у текущего пользователя»

Добавить привилегии в роль

Role Privileges - Add

Достаточно наличия привилегии Role Privileges - Add у исполнителя. Для удаления привилегий потребуется привилегия Role Privileges - Delete

Добавить связанные привилегии

Role Privileges - Add

Достаточно наличия привилегии Role Privileges - Add у исполнителя. Операция должна быть выполнена до активации роли

Указать привязки привилегий к сайтам

Role Privileges - Modify

Достаточно наличия привилегии Role Privileges - Modify у исполнителя

Назначить пользователей на роль

Roles Membership - Manage

Достаточно наличия привилегии Roles Membership - Manage у исполнителя. Эта привилегия дает право на назначение роли как пользователям, так и группам пользователей. Этот пункт может не выполняться, если необходимо добавлять пользователей в активную роль

Активировать / деактивировать роль

Roles - Modify

Привязка к подразделению активной роли пользователя с привилегией Roles - Modify включает в себя область действия активируемой роли

Подразделения всех без исключения пользователей, назначенных на роль, попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage

Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль, попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage. Принадлежность групп пользователей к подразделениям не учитывается

Подразделения всех без исключения пользователей, входящих в состав групп, назначенных на роль, попадают в область действия активируемой роли

Подразделения всех без исключения пользователей, назначенных на роль, попадают в область действия активируемой роли

Для исключения возможности эскалации привилегий добавлены следующие ограничения при активации роли:

  • Пользователь, выполняющий активацию, обладает всеми привилегиями (суммарно по всем назначенным ему активным ролям), которые входят в состав активируемой роли;

  • Привязки к сайтам привилегий в составе активируемой роли соответствуют привязкам к сайтам привилегий в активных ролях пользователя, выполняющего активацию

Добавить / удалить пользователей / группы пользователей в активную роль

Roles Membership - Manage

Область действия активной роли пользователя с привилегией Roles Membership - Manage включает в себя область действия роли, над которой выполняется действие

Подразделение пользователя, назначаемого на роль (исключаемого из роли), попадает в область действия активной роли пользователя с привилегией Roles Membership - Manage

Подразделения всех без исключения пользователей, входящих в состав группы, назначаемой на роль (исключаемой из роли), попадают в область действия активной роли пользователя с привилегией Roles Membership - Manage. Принадлежность групп пользователей к подразделениям не учитывается

В таблице не приводится перечень связанных привилегий, которые необходимо будет добавить по требованию системы для корректной работы привилегий, указанных в графе «Привилегии».