Атрибутный доступ к данным включает получение пользователем доступа к отдельным строкам данных модели на основании значений параметров (атрибутов) его учетной записи, полученных от провайдера. Данный универсальный принцип позволяет реализовать множество различных сценариев управления доступом, таких как:
-
доступ только к области ответственности специалиста, например:
-
данным по деятельности собственной и нижестоящих организационных структур;
-
данным по собственному региону и его субъектам.
-
-
разделение доступа к данным по времени (периоду) к которому они относятся:
-
доступ только к данным созданным соответствующим периоду работы сотрудника;
-
доступ определенных категорий сотрудников только к историческим данным (данным за прошедшие периоды).
-
Для реализации атрибутного доступа через внутренний провайдер «AW» с типом «Локальный (user_permissions)» в Системе встроена модель данных «user_permissions», в которой технический администратор может создать и поддерживать любую необходимую для стыковки с данными структуру атрибутов пользователя. Для реализации атрибутного доступа через внешний провайдер модель данных «user_permissions» не используется, все необходимые атрибуты пользователя Система получает от провайдера.
В настройках целевой модели (доступ к которой ограничивается атрибутными правилами) задаются условия, использующие сравнение значений атрибутов пользователя и выбранных полей данных модели. Если такие условия заданы для модели – доступ к каждой строке данных предоставляется дифференциально каждому конкретному пользователю. Если для модели не заданы условия атрибутного доступа или у провайдера не заданы правила сопоставления атрибутов пользователя с атрибутами доступа схемы, используемые в условиях правил доступа модели – доступ к строкам не ограничивается.
Ограничения атрибутного доступа применяются в интерфейсе просмотра виджетов и информационных панелей и не применяются в интерфейсе просмотра данных моделей или источников. Пользователи, на которых должны распространяться ограничения, во избежание несанкционированного доступа не должны иметь доступ к исходным моделям и источникам для данных виджетов и информационных панелей.
Атрибутный доступ только накладывает дополнительные ограничения, независимо от его применения, у пользователя должны быть обеспечены права для работы с соответствующим разделом Системы и даны, как минимум, на права просмотр для соответствующего объекта Системы (виджета или информационной панели).
