В ERP Монолит предусмотрен широкий набор средств, отвечающих за контроль доступа к системе. Данные средства реализованы как на системном уровне, для обеспечения безопасности работы системы на уровне контроля доступа к ресурсам системы, так и на прикладном — для разграничения доступа к прикладным объектам системы.
Таким образом, доступ к системе контролируется на следующих уровнях:
- уровень системного доступа пользователя к серверам или ресурсам ERP Монолит;
- возможность доступа пользователя к отдельным модулям ERP Монолит;
- правила доступа к данным, алгоритмам работы с данными внутри подсистемы (прикладной доступ).
Уровни контроля доступа в ERP Монолит:
Первым этапом контроля доступа выступает аутентификация пользователя в системе. Возможны следующие типы аутентификации:
- аутентификация в Active Directory;
- аутентификация в Active Directory с имперсонализацией (текущая учетная запись пользователя может не совпадать с учетной записью для доступа к ERP Монолит);
- аутентификация сервером авторизации ERP Монолит (основное назначение — регистрация удаленных пользователей, отсутствует необходимость наличия пользователя в Active Directory);
Второй этап — контроль доступа к ресурсам ERP Монолит (серверам и сервисам системы), осуществляемый встроенными средствами MS SQL Server.
Затем — аутентификация пользователя в одном из прикладных функциональных модулей ERP Монолит. И только в случае успешного прохождения этой стадии пользователю предоставляется доступ к рабочим местам модулей ERP Монолит в соответствии с назначенными правами пользователя.
После выполнения авторизации на системном уровне, в рамках каждого функционального модуля определяется, к каким прикладным объектам (таким, как классификаторы и документы) или данным пользователь имеет доступ, и какие операции над этими объектами он может выполнять. На прикладном уровне права доступа определяются в трех независимых разрезах:
- разграничение доступа к функциям системы определяется с помощью подсистемы рабочих мест;
- разграничение доступа к данным определяется посредством ограничения доступа к элементам справочников системы, которые в свою очередь являются атрибутами этих данных;
- индивидуальный доступ к объектам системы определяется с помощью специальных настроек отдельно для каждой прикладной области.
На всех уровнях ведутся журналы доступа и выполнения операций над объектами системы. Также протоколируются все изменения настроек и изменения предоставляемых пользователям прав.
При настройке доступа права даются группам пользователей, которые могут быть проассоциированы с ролями пользователей в системе. Набор групп формирует «пространство ролей$raquo; и может быть определен с любой степенью детализации. В сложных случаях права доступа пользователя могут вычисляться на основании данных о его вхождении его в несколько групп пользователей.
Схема назначения доступа к функциям системы:
|
