1.34. Как настроить права доступа¶
Этот раздел поможет вам настроить права доступа в вашей Веб ГИС. Для этого здесь рассмотрены базовые принципы работы системы прав доступа и основные пользовательские сценарии их настройки.
1.34.1. Общие понятия¶
Два основных правила, на которых строится всё:
Ресурсный подход
Корневая группа ресурсов (0) > Директория 1 > Директория 2 > Слой.
Право на корень > Право на директорию 1 > Право на директорию 2 > право на слой.
Важно
! Без права на чтение корня не прочитать никакие вложенные файлы.
Ресурс |
Корень (0) |
Папка 1 |
Папка 2 |
Слой |
Право |
Чтение |
Чтение |
Чтение |
Чтение |
Вложенность может управляться на уровне типа ресурса.
Есть два состояния (помимо конкретных типов ресурсов):
Для этого ресурса - применить только для текущего ресурса.
Для этого и вложенных ресурсов - применить и для всех тех, что внутри по иерархии до последнего.
По умолчанию пользователи бесправны.
Важно
! Запрещено всё, кроме того, что не разрешено администратором явно.
Чтобы пользователь получил доступ к каким-либо-данным, этот доступ нужно ему предоставить.
Типы пользователей (субъектов)¶
Администратор - пользователь Веб ГИС, обладающий административными правами
Владелец - пользователь Веб ГИС, создавший ресурс, на которое устанавливается право
Гость - пользователь Веб ГИС, который обращается к ресурсу, не являясь при этом авторизованным
Прошедший проверку - пользователь Веб ГИС, авторизованный в системе под любым существующим аккаунтом (то есть не гость)
Любой пользователь - все, включая гостей и авторизовавшихся под любым аккаунтом пользователей
Типы прав - что можно или нельзя делать с ресурсами¶
Ресурс: Все права |
Любые действия с ресурсами, за исключением групп ресурсов |
Ресурс: Чтение |
Чтение ресурсов |
Ресурс: Создание |
Создание ресурсов |
Ресурс: Изменение |
Модификация ресурсов |
Ресурс: Удаление |
Удаление ресурсов |
Ресурс: Управление вложенными |
Изменение настроек вложенных (дочерних) ресурсов |
Ресурс: Настройка прав доступа |
Изменение настройки прав доступа ресурсов |
Метаданные: Все права |
Любые действия над метаданными |
Метаданные: Чтение |
Модификация метаданных |
Метаданные: Изменение |
Чтение метаданных |
Структура данных: Все права |
Любые действия со структурой данных |
Структура данных: Чтение |
Чтение структуры данных |
Структура данных: Изменение |
Изменение структуру данных |
Данные: Все права |
Любые действия над данными |
Данные: Чтение |
Чтение данных |
Данные: Изменение |
Модификация данных |
Соединение: Все права |
Любые действия с соединениями |
Соединение: Чтение |
Чтение параметров соединения |
Соединение: Настройки |
Модификация соединений |
Соединение: Использование |
Использование соединения (будут ли доступны пользователю слои или данные из соединения) |
Сервис: Все права |
Любые действия с сервисом |
Сервис: Доступ |
Подключение к сервису |
Сервис: Настройка |
Изменение настроек сервиса |
Веб-карта: Все права |
Любые действия над веб-картой |
Веб-карта: Открытие |
Просмотр веб-карты |
Веб-карта: Просмотр аннотаций |
Просмотр аннотация на веб-карте |
Веб-карта: Рисование аннотаций |
Рисование аннотация на веб-карте |
Веб-карта: Управление аннотациями |
Изменение аннотаций на веб-карте |
Collector: Все права |
|
Collector: Чтение |
1.34.2. Сценарии настроек прав доступа¶
Просмотр всей Веб ГИС (на примере Гостя)¶
Для этого нужно зайти в Основную группу ресурсов, открыть страницу редактирования и задать для группы следующие права:
Действие: Разрешить
Субъект: Гость
Применить для Этого и вложенных ресурсов
Право Чтение для: ресурса, метаданных, структуры данных и самих данных.
Просмотр только одной из веб-карт (на примере Гостя)¶
Действие: Разрешить
Субъект: Гость
Для Основной группы Ресурс: Чтение;
Для группы ресурсов, где лежат данные для веб-карты Ресурс: Чтение, Данные: Чтение и Структура данных: Чтение;
Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;
Для веб-карты Ресурс: Чтение и Веб-карта: Открытие.
Важно
Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.
Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.
Доступ к WMS сервису (для авторизованных пользователей)¶
Действие: Разрешить
Субъект: Прошедший проверку
Для Основной группы Ресурс: Чтение применить только для этого ресурса.
Для группы ресурсов, где лежат данные и сервис WMS на основе этих данных Ресурс: Чтение, Данные: Чтение, Структура данных: Чтение и Сервис: Доступ, применить для этого и вложенных ресурсов.
Просмотр PostGIS слоя на веб-карте¶
Действие: Разрешить
Субъект: Гость (если карта должна быть доступна неавторизованным пользователям), Прошедший проверку (если карта должна быть доступна только авторизованным пользователям) и т.п.
Применить для Этого ресурса
Для Основной группы Ресурс: Чтение;
Для группы ресурсов, где лежат данные для веб-карты и слой PostGIS Ресурс: Чтение, Данные: Чтение, Структура данных: Чтение и Соединение: Использование;
Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;
Для веб-карты Ресурс: Чтение и Веб-карта: Открытие.
Важно
Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.
Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.