1.11. Как настроить права доступа¶

Этот раздел поможет вам настроить права доступа в вашей Веб ГИС. Для этого здесь рассмотрены базовые принципы работы системы прав доступа и основные пользовательские сценарии их настройки.

Примечание

Описываемая в данном разделе функциональность доступна в Веб ГИС, находящейся на тарифном плане Premium или развёрнута на своём сервере. В Веб ГИС на плане Free все ресурсы доступны для чтения. На плане Premium и в Веб ГИС, развёрнутой на своём сервере, по умолчанию все ресуры закрыты от всех, кроме администратора Веб ГИС. Подробне см. правило 2 ниже.

1.11.1. Общие понятия¶

Два основных правила, на которых строится всё:

Ресурсный подход

Корневая группа ресурсов (0) > Директория 1 > Директория 2 > Слой.

Право на корень > Право на директорию 1 > Право на директорию 2 > право на слой.

Важно

! Без права на чтение корня не прочитать никакие вложенные файлы.

Ресурс	Корень (0)	Папка 1	Папка 2	Слой
Право	Чтение	Чтение	Чтение	Чтение

Вложенность может управляться на уровне типа ресурса.

Есть два состояния (помимо конкретных типов ресурсов):

Только для этого ресурса - применить только для текущего ресурса.
Для этого и вложенных ресурсов - применить и для всех тех, что внутри по иерархии до последнего.

Рис. 1.39. Меню выбора вариантов применения права доступа¶

По умолчанию пользователи бесправны

Важно

! Запрещено всё, кроме того, что не разрешено администратором явно.

Чтобы пользователь получил доступ к каким-либо-данным, этот доступ нужно ему предоставить.

Типы пользователей (субъектов)¶

Администратор - пользователь Веб ГИС, обладающий административными правами
Владелец - пользователь Веб ГИС, создавший ресурс, на которое устанавливается право
Гость - пользователь Веб ГИС, который обращается к ресурсу, не являясь при этом авторизованным
Прошедший проверку - пользователь Веб ГИС, авторизованный в системе под любым существующим аккаунтом (то есть не гость)
Любой пользователь - все, включая гостей и авторизовавшихся под любым аккаунтом пользователей

Типы прав - что можно или нельзя делать с ресурсами¶

Ресурс: Все права	Любые действия с ресурсами, за исключением групп ресурсов
Ресурс: Чтение	Чтение ресурсов
Ресурс: Создание	Создание ресурсов
Ресурс: Изменение	Модификация ресурсов
Ресурс: Удаление	Удаление ресурсов
Ресурс: Управление вложенными	Изменение настроек вложенных (дочерних) ресурсов
Ресурс: Настройка прав доступа	Изменение настройки прав доступа ресурсов
Данные: Все права	Любые действия над данными
Данные: Чтение данных	Чтение данных
Данные: Изменение данных	Модификация данных
Внешние соединения: Все права	Любые действия с соединениями
Внешние соединения: Чтение параметров соединения	Чтение параметров соединения
Внешние соединения: Настройки	Модификация соединений
Внешние соединения: использование соединения	Использование соединения (будут ли доступны пользователю слои или данные из соединения)
Сервисы Веб ГИС: Все права	Любые действия с сервисом
Сервисы Веб ГИС: Доступ к сервису	Подключение к сервису
Сервисы Веб ГИС: Настройка сервиса	Изменение настроек сервиса
Веб-карта: Все права	Любые действия над веб-картой
Веб-карта: Просмотр аннотаций	Просмотр аннотация на веб-карте
Веб-карта: Рисование аннотаций	Рисование аннотация на веб-карте
Веб-карта: Управление аннотациями	Изменение аннотаций на веб-карте
Collector: Все права
Collector: Чтение

1.11.2. Просмотр прав пользователей¶

Чтобы посмотреть, какие права имеют в отношении ресурса разные пользователи и группы пользователей, нажмите «Права пользователей» в панели «Дополнительно» справа на странице ресурса.

../../_images/view_permissions_select_ru.png

Рис. 1.40. Переход к странице прав пользователей для открытой группы ресурсов «Примеры»¶

На этой странице показаны только права, действующие в отношении самого ресурса. Например, если у папки выставлено право «Чтение данных» для вложенных ресурсов, оно не будет отображено, поскольку сама папка не имеет данных. Чтобы проверить его наличие, отройте один из вложенных ресурсов и посмотрите права на него.

По умолчанию отображаются права для того пользователя, под которым вы авторизованы в данный момент. Чтобы посмотреть права других пользователей, нажмите на стрелку в конце поля и выберите в выпадающем меню нужное имя пользователя или группу.

../../_images/view_permissions_principals_ru.png

Рис. 1.41. Выбор пользователя для просмотра прав¶

../../_images/view_permissions_otheruser_ru.png

Рис. 1.42. Просмотр прав пользователя Другой Пользователь, который имеет только право чтения¶

По умолчанию Администратор и пользователи, добавленные в группу Администраторы, имеют право просматривать права всех пользователей. Это право относится к глобальным и настраивается в панели управления.

Если пользователь не имеет глобального права просмотра пользователей и групп, но имеет доступ чтения к ресурсу, то опция просмотра прав также доступна, но увидеть он сможет только свои права. Гость может просматривать только права для гостей.

../../_images/view_permissions_blocked_ru.png

Рис. 1.43. Выбор пользователя недоступен¶

1.11.3. Панель настроек Прав доступа¶

Панель прав доступа доступна в режиме измения ресурса. Каждая строка представляет собой отдельное правило, которое включает в себя:

Действие: Разрешить или запретить. Поскольку по умолчанию запрещено всё, что не разрешено в явном виде, не рекомендуем использовать действие «запретить».
Субъект: имя конкретного пользователя, группы пользователей или тип пользователя, к которому будет применяться правило;
Применить для: этого ресурса или этого и вложенных ресурсов;
Право: включает тип ресурса и действие, которое с ним можно совершать, полный список возможных прав см. в таблице.

../../_images/resource_permissions_tab_ru_2.png

Рис. 1.44. Вкладка «Права доступа»¶

Как создать новое правило¶

Для того, чтобы создать новое правило, нажмите Добавить в свободной строке в конце списка и выберите Разрешить.

../../_images/resource_permissions_new_ru.png

Рис. 1.45. Добавление нового правила права доступа¶

Далее в каждом столбце выберите из выпадающего списка нужное значение и нажмите Сохранить.

../../_images/resource_permissions_new_details_ru.png

Рис. 1.46. Выбор субъекта для создаваемого права¶

Чтобы удалить правило, нажмите на крестик в конце строки.

1.11.4. Сценарии настроек прав доступа¶

В этом разделе рассматриваются в качестве примеров некоторые распространенные сценарии настроект прав доступа.

Просмотр всей Веб ГИС (на примере Гостя)¶

Для этого нужно зайти в Основную группу ресурсов, открыть страницу редактирования и задать для группы следующие права:

Действие: Разрешить
Субъект: Гость
Применить для Этого и вложенных ресурсов
Право Чтение для: ресурса и данных.

../../_images/allow_guest_webGIS_ru_2.png

Просмотр только одной из веб-карт (на примере Гостя)¶

Действие: Разрешить
Субъект: Гость

Для Основной группы Ресурс: Чтение;

Для группы ресурсов, где лежат данные для веб-карты Ресурс: Чтение, Данные: Чтение данных, применить для Этого и вложенных ресурсов:

../../_images/allow_guest_data_group_ru_3.png

Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение:

../../_images/allow_guest_webmap_group_ru_2.png

Для веб-карты Ресурс: Чтение.

../../_images/allow_guest_webmap_ru_2.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Доступ к WMS сервису (для авторизованных пользователей)¶

Действие: Разрешить
Субъект: Прошедший проверку

Для Основной группы Ресурс: Чтение применить только для этого ресурса.

Для группы ресурсов, где лежат данные и сервис WMS на основе этих данных Ресурс: Чтение, Данные: Чтение данных и Сервисы Веб ГИС: Доступ к сервису, применить для этого и вложенных ресурсов.

../../_images/allow_authorized_WMS_ru_2.png

Рис. 1.47. Настройки прав доступа для папки, в которой расположены данные и сервис WMS¶

Просмотр PostGIS слоя на веб-карте¶

Действие: Разрешить
Субъект: Гость (если карта должна быть доступна неавторизованным пользователям), Прошедший проверку (если карта должна быть доступна только авторизованным пользователям) и т.п.

Для Основной группы Ресурс: Чтение. Применить Только для этого ресурса:

Для группы ресурсов, где лежат данные для веб-карты и слой PostGIS Ресурс: Чтение, Данные: Чтение данных и Внешние соединения: Использование соединения. Применить для Этого и вложенных ресурсов:

../../_images/allow_auth_postgis_group_ru_2.png

Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение. Применить Только для этого ресурса:

../../_images/allow_auth_webmap_group_ru_2.png

Для веб-карты Ресурс: Чтение. Применить Только для этого ресурса.

../../_images/allow_auth_webmap_ru_2.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.

Отображение трекеров на веб-карте для группы пользователей¶

Действие: Разрешить
Субъект: Группа пользователей (напр. «Научный отдел»)

Право: Ресурс: Чтение. Применить: Только для этого ресурса

Установить для:

Основной группы ресурсов
Группы, в которой расположена группа трекеров
Группы трекеров
Трекера
Группы, в которой расположена веб-карта
Веб-карты

Права: Ресурс: Чтение и Данные: Чтение данных для этого и вложенных ресурсов

Установить для:

Группы ресурсов, где лежат данные для веб-карты

../../_images/allow_group_data_group_ru_2.png