1.11. Как настроить права доступа¶
Этот раздел поможет вам настроить права доступа в вашей Веб ГИС. Для этого здесь рассмотрены базовые принципы работы системы прав доступа и основные пользовательские сценарии их настройки.
Примечание
Описываемая в данном разделе функциональность доступна в Веб ГИС, находящейся на тарифном плане Premium или развёрнута на своём сервере. В Веб ГИС на плане Free все ресурсы доступны для чтения. На плане Premium и в Веб ГИС, развёрнутой на своём сервере, по умолчанию все ресуры закрыты от всех, кроме администратора Веб ГИС. Подробне см. правило 2 ниже.
1.11.1. Общие понятия¶
Два основных правила, на которых строится всё:
Ресурсный подход
Корневая группа ресурсов (0) > Директория 1 > Директория 2 > Слой.
Право на корень > Право на директорию 1 > Право на директорию 2 > право на слой.
Важно
! Без права на чтение корня не прочитать никакие вложенные файлы.
Ресурс |
Корень (0) |
Папка 1 |
Папка 2 |
Слой |
Право |
Чтение |
Чтение |
Чтение |
Чтение |
Вложенность может управляться на уровне типа ресурса.
Есть два состояния (помимо конкретных типов ресурсов):
Только для этого ресурса - применить только для текущего ресурса.
Для этого и вложенных ресурсов - применить и для всех тех, что внутри по иерархии до последнего.

Рис. 1.39. Меню выбора вариантов применения права доступа¶
По умолчанию пользователи бесправны
Важно
! Запрещено всё, кроме того, что не разрешено администратором явно.
Чтобы пользователь получил доступ к каким-либо-данным, этот доступ нужно ему предоставить.
Типы пользователей (субъектов)¶
Администратор - пользователь Веб ГИС, обладающий административными правами
Владелец - пользователь Веб ГИС, создавший ресурс, на которое устанавливается право
Гость - пользователь Веб ГИС, который обращается к ресурсу, не являясь при этом авторизованным
Прошедший проверку - пользователь Веб ГИС, авторизованный в системе под любым существующим аккаунтом (то есть не гость)
Любой пользователь - все, включая гостей и авторизовавшихся под любым аккаунтом пользователей
Типы прав - что можно или нельзя делать с ресурсами¶
Ресурс: Все права |
Любые действия с ресурсами, за исключением групп ресурсов |
Ресурс: Чтение |
Чтение ресурсов |
Ресурс: Создание |
Создание ресурсов |
Ресурс: Изменение |
Модификация ресурсов |
Ресурс: Удаление |
Удаление ресурсов |
Ресурс: Управление вложенными |
Изменение настроек вложенных (дочерних) ресурсов |
Ресурс: Настройка прав доступа |
Изменение настройки прав доступа ресурсов |
Данные: Все права |
Любые действия над данными |
Данные: Чтение данных |
Чтение данных |
Данные: Изменение данных |
Модификация данных |
Внешние соединения: Все права |
Любые действия с соединениями |
Внешние соединения: Чтение параметров соединения |
Чтение параметров соединения |
Внешние соединения: Настройки |
Модификация соединений |
Внешние соединения: использование соединения |
Использование соединения (будут ли доступны пользователю слои или данные из соединения) |
Сервисы Веб ГИС: Все права |
Любые действия с сервисом |
Сервисы Веб ГИС: Доступ к сервису |
Подключение к сервису |
Сервисы Веб ГИС: Настройка сервиса |
Изменение настроек сервиса |
Веб-карта: Все права |
Любые действия над веб-картой |
Веб-карта: Просмотр аннотаций |
Просмотр аннотация на веб-карте |
Веб-карта: Рисование аннотаций |
Рисование аннотация на веб-карте |
Веб-карта: Управление аннотациями |
Изменение аннотаций на веб-карте |
Collector: Все права |
|
Collector: Чтение |
1.11.2. Просмотр прав пользователей¶
Чтобы посмотреть, какие права имеют в отношении ресурса разные пользователи и группы пользователей, нажмите «Права пользователей» в панели «Дополнительно» справа на странице ресурса.

Рис. 1.40. Переход к странице прав пользователей для открытой группы ресурсов «Примеры»¶
На этой странице показаны только права, действующие в отношении самого ресурса. Например, если у папки выставлено право «Чтение данных» для вложенных ресурсов, оно не будет отображено, поскольку сама папка не имеет данных. Чтобы проверить его наличие, отройте один из вложенных ресурсов и посмотрите права на него.
По умолчанию отображаются права для того пользователя, под которым вы авторизованы в данный момент. Чтобы посмотреть права других пользователей, нажмите на стрелку в конце поля и выберите в выпадающем меню нужное имя пользователя или группу.

Рис. 1.41. Выбор пользователя для просмотра прав¶

Рис. 1.42. Просмотр прав пользователя Другой Пользователь, который имеет только право чтения¶
По умолчанию Администратор и пользователи, добавленные в группу Администраторы, имеют право просматривать права всех пользователей. Это право относится к глобальным и настраивается в панели управления.
Если пользователь не имеет глобального права просмотра пользователей и групп, но имеет доступ чтения к ресурсу, то опция просмотра прав также доступна, но увидеть он сможет только свои права. Гость может просматривать только права для гостей.

Рис. 1.43. Выбор пользователя недоступен¶
1.11.3. Панель настроек Прав доступа¶
Панель прав доступа доступна в режиме измения ресурса. Каждая строка представляет собой отдельное правило, которое включает в себя:
Действие: Разрешить или запретить. Поскольку по умолчанию запрещено всё, что не разрешено в явном виде, не рекомендуем использовать действие «запретить».
Субъект: имя конкретного пользователя, группы пользователей или тип пользователя, к которому будет применяться правило;
Применить для: этого ресурса или этого и вложенных ресурсов;
Право: включает тип ресурса и действие, которое с ним можно совершать, полный список возможных прав см. в таблице.

Рис. 1.44. Вкладка «Права доступ໶
Как создать новое правило¶
Для того, чтобы создать новое правило, нажмите Добавить в свободной строке в конце списка и выберите Разрешить.

Рис. 1.45. Добавление нового правила права доступа¶
Далее в каждом столбце выберите из выпадающего списка нужное значение и нажмите Сохранить.

Рис. 1.46. Выбор субъекта для создаваемого права¶
Чтобы удалить правило, нажмите на крестик в конце строки.
1.11.4. Сценарии настроек прав доступа¶
В этом разделе рассматриваются в качестве примеров некоторые распространенные сценарии настроект прав доступа.
Просмотр всей Веб ГИС (на примере Гостя)¶
Для этого нужно зайти в Основную группу ресурсов, открыть страницу редактирования и задать для группы следующие права:
Действие: Разрешить
Субъект: Гость
Применить для Этого и вложенных ресурсов
Право Чтение для: ресурса и данных.
Просмотр только одной из веб-карт (на примере Гостя)¶
Действие: Разрешить
Субъект: Гость
Для Основной группы Ресурс: Чтение;
Для группы ресурсов, где лежат данные для веб-карты Ресурс: Чтение, Данные: Чтение данных, применить для Этого и вложенных ресурсов:
Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение:
Для веб-карты Ресурс: Чтение.
Важно
Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.
Доступ к WMS сервису (для авторизованных пользователей)¶
Действие: Разрешить
Субъект: Прошедший проверку
Для Основной группы Ресурс: Чтение применить только для этого ресурса.
Для группы ресурсов, где лежат данные и сервис WMS на основе этих данных Ресурс: Чтение, Данные: Чтение данных и Сервисы Веб ГИС: Доступ к сервису, применить для этого и вложенных ресурсов.

Рис. 1.47. Настройки прав доступа для папки, в которой расположены данные и сервис WMS¶
Просмотр PostGIS слоя на веб-карте¶
Действие: Разрешить
Субъект: Гость (если карта должна быть доступна неавторизованным пользователям), Прошедший проверку (если карта должна быть доступна только авторизованным пользователям) и т.п.
Для Основной группы Ресурс: Чтение. Применить Только для этого ресурса:
Для группы ресурсов, где лежат данные для веб-карты и слой PostGIS Ресурс: Чтение, Данные: Чтение данных и Внешние соединения: Использование соединения. Применить для Этого и вложенных ресурсов:
Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение. Применить Только для этого ресурса:
Для веб-карты Ресурс: Чтение. Применить Только для этого ресурса.
Важно
Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.
Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.
Отображение трекеров на веб-карте для группы пользователей¶
Действие: Разрешить
Субъект: Группа пользователей (напр. «Научный отдел»)
Право: Ресурс: Чтение. Применить: Только для этого ресурса
Установить для:
Основной группы ресурсов
Группы, в которой расположена группа трекеров
Группы трекеров
Трекера
Группы, в которой расположена веб-карта
Веб-карты
Права: Ресурс: Чтение и Данные: Чтение данных для этого и вложенных ресурсов
Установить для:
Группы ресурсов, где лежат данные для веб-карты