Главная » Блоги Экспертов И ИТ-Компаний » Ролевая модель прав доступа в СЭД ЛЕТОГРАФ
Начинаем публикацию статей о практике внедрения СЭД 2 года назад

Ролевая модель прав доступа в СЭД ЛЕТОГРАФ

Принимая решение о переходе на электронный документооборот, руководство любой организации пытается найти систему, способную «закрыть» максимум потребностей бизнеса. При этом СЭД должна оставаться удобной для конечных пользователей – в противном случае сотрудники могут если и не саботировать проект открыто, то как минимум искать обходные пути. А в результате внедрение будет неэффективным. Также топ-менеджеры всегда заинтересованы в том, чтобы СЭД уже на уровне своей структуры позволяла обеспечивать безопасность информации – документы всегда были и будут большой ценностью для бизнеса. Разработчики СЭД каждый по-своему стараются учесть все эти потребности, предлагая различные варианты подхода к решению такой задачи. В СЭД ЛЕТОГРАФ, к примеру, используется модель прав доступа, в основе которой лежит принцип назначения пользователям определенных ролей, позволяющий учесть все потребности, одновременно сохраняя удобство для пользователей и обеспечивая безопасность данных.


Какие бывают “роли”

В основе ЛЕТОГРАФ лежит ролевая модель прав доступа, которая позволяет каждому пользователю присвоить роль (или несколько ролей), благодаря которым он получит определенный набор прав, позволяющих и запрещающих совершать те или иные действия и работать с теми или иными документами. Предусмотрено семь видов прав, которые могут быть определены для каждого объекта: чтение, изменение, удаление, создание, доступ к объекту, доступ к реквизитам объекта и права для новых объектов, создаваемых в категории.

Под объектом в системе мы понимаем как системный (шаблон, модуль, категория, страница и пр.), так и прикладной объект (документ, справочник и пр.)

Другими словами, роль выполняет функцию “связки”. Действительно, каждый объект “знает”, обладатели каких ролей могут его просматривать или изменять. Пользователь “знает”, какие роли у него есть. А система с помощью значения роли определяет, что может пользователь делать с объектом. 

Можно выделить три типа ролей: “функциональные”, “динамические” и “персональные”. Пример функциональной роли - “делопроизводитель” или “сотрудник информационной безопасности”. Делопроизводитель получит право регистрировать документы, но будет иметь доступ только к тем документам, которые он обрабатывал. Сотрудник информационной безопасности может просматривать все документы организации, но права регистрировать у него нет.

“Динамические” роли можно еще назвать “зависимыми от контекста”.  Наиболее часто динамические роли используются для фиксации факта принадлежности пользователя к организации. Например, если реализуется документооборот холдинга, то принадлежность сотрудника к организации позволяет ему получить доступ к соответствующей информации (новостной ленте, списку сотрудников, нормативным документам и пр.)

Например, пользователь, обладающий ролью “Сотрудник информационной безопасности” при переходе в другую организацию холдинга сохранит рабочее пространство (поскольку функциональная роль осталась неизменной), но будет видеть другой набор документов (поскольку динамическая роль была изменена).

“Персональная роль” - позволяет дать доступ к документу или функциональной возможности именно этому сотруднику. Такие роли позволяют, например, исключить возможность доступа сотрудника к документу, если он не имел к нему отношения (когда документ создается или передается на исполнение, доступ к нему дается именно по персональной роли, и другой сотрудник в аналогичной должности и работающий в той же организации не сможет его не только посмотреть или изменить, но и найти в поисковом запросе).

Динамические роли

Динамические роли придают СЭД дополнительную гибкость. Данный инструмент позволяет ограничивать доступ к объектам при помощи задания условий на значения атрибутов объектов системы или учетной записи пользователя. Чаще всего необходимость в назначении динамических ролей возникает при масштабировании одной и той же модели прав доступа на конфигурацию, с которой будет работать большое количество организаций.

Например, динамические права позволят организовать работу таким образом, чтобы пользователи могли видеть только документы своего подразделения. Динамические права могут быть настроены так, чтобы пользователи получали доступ только к документам по своему направлению деятельности (финансовыми, архивными, конструкторскими). С помощью динамических прав может быть реализован “проектный” документооборот, когда на время выполнения проекта группа сотрудников получает доступ ко всем проектным документам. 

Если необходимо выделить документы, которые относятся не только к определенному бизнес-процессу, но и к региону или территории – это также можно сделать с помощью динамических прав доступа. 

Фактически, процесс обработки документа настраивается единообразно для всех за счет назначения функциональных ролей, которые создают общую схему работы с документами, а потом на нее накладываются определенные ограничения прав доступа для отдельных специалистов или подразделений.

Персональные роли

Следующий уровень управления правами доступа – персональная роль. Согласно специфике данного инструмента, персональные роли обладают более высоким уровнем приоритета, чем динамические. Т.е. если пользователь наделен персональными правами доступа к документу, то ограничения, предусмотренные в динамических ролях, действовать не будут.

Например, в компании возникает необходимость передавать документы из одного территориально удаленного филиала в другой. По правилам, установленным в динамических ролях, сотрудники одного филиала не могут видеть документы, с которыми работают в другом. Чтобы сделать документ доступным, нужно дать доступ к нему через персональную роль – и в другом филиале определенный пользователь сможет работать с этим документом.

Данный инструмент может применяться как автоматически системой, например, при выдаче поручения на основе документа права доступа через персональные роли автоматически назначаются всем его исполнителям, так и администратором, в зоне ответственности которого находится управление правами доступа. А кроме того, если сотрудник обладает правами на изменение прав доступа в документе, то он может сделать это и самостоятельно.

Грифы доступа

Еще один инструмент для управления правами доступа к тем или иным документам – это грифы.

Использование грифов позволяет выделить группу документов и предоставить к ним доступ пользователям, обладающим правом работы с документами такого уровня. Важное отличие “грифа” от “роли” с точки зрения пользователя состоит в том, что грифы документа - это значения иерархического справочника. Выбор соответствующего грифа доступа для документа может быть выполнен пользователем вручную или системой автоматически в процессе работы с документом. В то же время роли, которые назначены на документ, скрыты для пользователя.

Использование грифов доступа повышает уровень безопасности. Например, если в соответствии с ролевой моделью пользователь может просматривать документ, но гриф доступа, который определен для документа, выше, чем тот, который определен для пользователя, то документ будет недоступен.

Доступ к атрибутам

Также в системе ЛЕТОГРАФ можно ограничить права доступа к атрибутам (конкретным полям или “реквизитам”) документа – регистрационному номеру, ответственным исполнителям, срокам исполнения, файлам и любым другим, предусмотренным в системе. К примеру, открыв права доступа на чтение или редактирование самого документа, можно закрыть возможность чтения или изменения отдельных атрибутов – до завершения определенного этапа бизнес-процесса или навсегда.

Ограничить права доступа к атрибутам можно либо индивидуально для каждой регистрационной карточки, либо применив определенные шаблонные настройки - те, которые были изначально заданы при создании шаблона карточки для определенного вида документа (тогда все документы одного вида будут обработаны одинаково: например, у всех документов, созданных на основании шаблона “Договор” поле “Сумма договора” будет доступна для просмотра только руководству компании и бухгалтеру, а изменять ее можно будет только до момента подписания документа).

Наиболее часто используется второй вариант: создается шаблон прав доступа к атрибутам, в котором указывается, что в объекте должны быть скрыты некоторые поля. Фактически по мере обработки объекта в системе имеется возможность назначать несколько групп прав доступа к атрибутам, которые действуют поверх прав доступа к самим документам.

Проекции или “скрытые фильтры”

Для удобства работы пользователей все документы структурированы иерархически по папкам. Для отдельных папок может быть использован дополнительный инструмент, расширяющий динамические права – это “проекции”. С его помощью можно ограничить видимость документов в определенных папках аналогично тому, как это делается функционалом динамических ролей. При этом возможность найти документ в системе и работать с ним у пользователя остается – просто в определенной папке он не будет виден, если не соответствует выбранным параметрам и в нем не поменялись определенные атрибуты. Например, с помощью “проекций” можно выделить отдельно “все документы, которые я согласовал” или “все документы, срок исполнения которых не превышает 3 дня”. Данная схема немного напоминает работу почтовых клиентов: в папке «прочитанные» найти письмо, которое еще не было открыто, невозможно, пока оно не будет отмечено как прочитанное.

Резюме

Использование всех упомянутых инструментов (функциональные и персональные роли, динамические роли, грифы, проекции и права на атрибуты) существенно повышает информационную безопасность в компании. Все эти механизмы позволяют гарантировать, что пользователь получит доступ только к тем данным, которые ему определены инструкциями и требованиями бизнес-процессов. Все действия пользователей фиксируются в неизменяемых системных журналах, что позволяет в любой момент определить, кто и что делал с документом. Тот же механизм позволяет отследить, проводилась ли в принципе работа с документом или сотрудник еще даже не приступал к работе над ним.

Также благодаря такому подходу упрощается процесс внедрения СЭД и повышается его скорость. Все системы, все прикладные решения, которые делаются на платформе ЛЕТОГРАФ, фактически представляют собой настройки под потребности конкретного клиента. Развитые механизмы назначения прав доступа позволяют системным технологам разными способами решать стоящие перед ними задачи. Так, решение для одной организации может быть тиражировано на группу организаций в рамках одной инсталляции за счет дополнительного введения достаточно простого механизма контроля за видимостью объектов через динамические права доступа. Это дает существенное сокращение количества настроек и времени на развертывание и тиражирование решения, а также экономию вложений в проект.   

Конечные пользователи СЭД ЛЕТОГРАФ получают удобный для работы инструмент без лишних данных – ведь из общего массива информации сотрудник видит только то, что ему необходимо в зависимости от функциональных задач. Кроме того, такой подход позволяет минимизировать время, которое пользователь тратит на работу в системе, так как отсутствует необходимость сортировать документы на нужные и не нужные – это делается в автоматическом режиме. К тому же СЭД предоставляет возможность быстро и просто находить те документы, с которыми сотрудник когда-либо работал. Если, конечно, по правилам обработки документов в данной организации права доступа сотрудника к искомому документу не были закрыты.

С точки зрения самой системы ролевая модель позволяет заранее “отобрать” и работать только с множеством объектов, доступных пользователю. Например, если пользователь строит отчет по просроченным и неисполненным поручениям, выборка осуществляется только среди документов организации пользователя, доступных ему по грифу и ролевой модели.

ЛЕТОГРАФ – гибкая и легко настраиваемая система. Для каждого объекта существует формальное описание его свойств – тот самый шаблон, в котором мы определяем состав атрибутов и их типы. Права доступа распространяются на все объекты в системе, созданные в соответствии с шаблонами, и на все атрибуты, которые в соответствующем шаблоне указаны. Благодаря выбранному нами подходу можно учесть различные связки между объектами, все нюансы процессов их обработки, к тому же модель прав доступа обеспечивает нашим клиентам высокую скорость внедрения и тиражирования СЭД при достаточно скромных инвестициях, а также безопасность данных и удобство для конечных пользователей.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
+7 (495) 741-48-08
---

О компании

Компания ЛЕТОГРАФ занимается разработкой и внедрением одноименной системы управления документами, автоматизации бизнес-процессов и интеграции приложений. Основные направления деятельности - развитие платформы ЛЕТОГРАФ и реализация масштабных проектов внедрения.

Компания основана в 2003 и за время своего существования прошла путь от небольших проектов на 5-10 рабочих мест, позволяющих осуществлять регистрацию и поиск документов, до масштабных решений, в которых несколько тысяч пользователей в десятках и сотнях территориально-распределенных подразделений выполняют все операции по работе с документами.

О платформе ЛЕТОГРАФ

ЛЕТОГРАФ – готовое централизованное расширяемое решение для автоматизации документооборота и архива территориально-распределенных организаций. С помощью платформы ЛЕТОГРАФ могут быть решены все задачи по управлению документами: от «классического» документооборота и архива до управления корпоративным контентом (ЕСМ).

Масштабируемые отказоустойчивые решения на базе платформы ЛЕТОГРАФ устанавливаются централизованно на кластере серверов и реализуют на практике концепцию управления «большими данными». Пользователи работают с системой в интерфейсе веб-браузера и получают доступ к информации в режиме он-лайн со стационарных или мобильных устройств.

 

Система ЛЕТОГРАФ унифицирует работу со всеми электронными и бумажными документами организации (входящими, исходящими, внутренними, кадровыми, архивными, договорами, счетами, заявками и пр.), а также может быть интегрирована с корпоративными и внешними системами.

Адрес: Россия, 105066, г. Москва, ул. Бауманская, д. 6 

Контактное лицо: Александр Иванов, специалист по маркетингу


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>