1.34. Как настроить права доступа

Этот раздел поможет вам настроить права доступа в вашей Веб ГИС. Для этого здесь рассмотрены базовые принципы работы системы прав доступа и основные пользовательские сценарии их настройки.

1.34.1. Общие понятия

../../_images/resource_permissions_tab_ru.png

Рис. 1.176. Вкладка «Права доступа»

Два основных правила, на которых строится всё:

  1. Ресурсный подход

Корневая группа ресурсов (0) > Директория 1 > Директория 2 > Слой.

Право на корень > Право на директорию 1 > Право на директорию 2 > право на слой.

Важно

! Без права на чтение корня не прочитать никакие вложенные файлы.

Ресурс

Корень (0)

Папка 1

Папка 2

Слой

Право

Чтение

Чтение

Чтение

Чтение

Вложенность может управляться на уровне типа ресурса.

Есть два состояния (помимо конкретных типов ресурсов):

  • Для этого ресурса - применить только для текущего ресурса.

  • Для этого и вложенных ресурсов - применить и для всех тех, что внутри по иерархии до последнего.

../../_images/permission_apply_ru.png

Рис. 1.177. Меню выбора вариантов применения права доступа

  1. По умолчанию пользователи бесправны.

Важно

! Запрещено всё, кроме того, что не разрешено администратором явно.

Чтобы пользователь получил доступ к каким-либо-данным, этот доступ нужно ему предоставить.

Типы пользователей (субъектов)

  • Администратор - пользователь Веб ГИС, обладающий административными правами

  • Владелец - пользователь Веб ГИС, создавший ресурс, на которое устанавливается право

  • Гость - пользователь Веб ГИС, который обращается к ресурсу, не являясь при этом авторизованным

  • Прошедший проверку - пользователь Веб ГИС, авторизованный в системе под любым существующим аккаунтом (то есть не гость)

  • Любой пользователь - все, включая гостей и авторизовавшихся под любым аккаунтом пользователей

Типы прав - что можно или нельзя делать с ресурсами

Ресурс: Все права

Любые действия с ресурсами, за исключением групп ресурсов

Ресурс: Чтение

Чтение ресурсов

Ресурс: Создание

Создание ресурсов

Ресурс: Изменение

Модификация ресурсов

Ресурс: Удаление

Удаление ресурсов

Ресурс: Управление вложенными

Изменение настроек вложенных (дочерних) ресурсов

Ресурс: Настройка прав доступа

Изменение настройки прав доступа ресурсов

Метаданные: Все права

Любые действия над метаданными

Метаданные: Чтение

Модификация метаданных

Метаданные: Изменение

Чтение метаданных

Структура данных: Все права

Любые действия со структурой данных

Структура данных: Чтение

Чтение структуры данных

Структура данных: Изменение

Изменение структуру данных

Данные: Все права

Любые действия над данными

Данные: Чтение

Чтение данных

Данные: Изменение

Модификация данных

Соединение: Все права

Любые действия с соединениями

Соединение: Чтение

Чтение параметров соединения

Соединение: Настройки

Модификация соединений

Соединение: Использование

Использование соединения (будут ли доступны пользователю слои или данные из соединения)

Сервис: Все права

Любые действия с сервисом

Сервис: Доступ

Подключение к сервису

Сервис: Настройка

Изменение настроек сервиса

Веб-карта: Все права

Любые действия над веб-картой

Веб-карта: Открытие

Просмотр веб-карты

Веб-карта: Просмотр аннотаций

Просмотр аннотация на веб-карте

Веб-карта: Рисование аннотаций

Рисование аннотация на веб-карте

Веб-карта: Управление аннотациями

Изменение аннотаций на веб-карте

Collector: Все права

Collector: Чтение

1.34.2. Сценарии настроек прав доступа

Просмотр всей Веб ГИС (на примере Гостя)

Для этого нужно зайти в Основную группу ресурсов, открыть страницу редактирования и задать для группы следующие права:

  • Действие: Разрешить

  • Субъект: Гость

  • Применить для Этого и вложенных ресурсов

  • Право Чтение для: ресурса, метаданных, структуры данных и самих данных.

../../_images/allow_guest_webGIS_ru.png

Просмотр только одной из веб-карт (на примере Гостя)

  • Действие: Разрешить

  • Субъект: Гость

  1. Для Основной группы Ресурс: Чтение;

../../_images/allow_guest_main_ru.png
  1. Для группы ресурсов, где лежат данные для веб-карты Ресурс: Чтение, Данные: Чтение и Структура данных: Чтение;

../../_images/allow_guest_data_group_ru.png
  1. Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;

../../_images/allow_guest_webmap_group_ru.png
  1. Для веб-карты Ресурс: Чтение и Веб-карта: Открытие.

../../_images/allow_guest_webmap_ru.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.

../../_images/guest_webmap_forbid_open_ru.png

Рис. 1.178. В папке находятся три веб-карты, одна из них доступна для гостя, вторая видна, но не доступна для открытия, третья не видна в списке ресурсов

Доступ к WMS сервису (для авторизованных пользователей)

  • Действие: Разрешить

  • Субъект: Прошедший проверку

  1. Для Основной группы Ресурс: Чтение применить только для этого ресурса.

../../_images/allow_auth_main_ru.png
  1. Для группы ресурсов, где лежат данные и сервис WMS на основе этих данных Ресурс: Чтение, Данные: Чтение, Структура данных: Чтение и Сервис: Доступ, применить для этого и вложенных ресурсов.

../../_images/allow_authorized_WMS_ru.png

Рис. 1.179. Настройки прав доступа для папки, в которой расположены данные и сервис WMS

Просмотр PostGIS слоя на веб-карте

  • Действие: Разрешить

  • Субъект: Гость (если карта должна быть доступна неавторизованным пользователям), Прошедший проверку (если карта должна быть доступна только авторизованным пользователям) и т.п.

  • Применить для Этого ресурса

  1. Для Основной группы Ресурс: Чтение;

../../_images/allow_auth_main_ru.png
  1. Для группы ресурсов, где лежат данные для веб-карты и слой PostGIS Ресурс: Чтение, Данные: Чтение, Структура данных: Чтение и Соединение: Использование;

../../_images/allow_auth_postgis_group_ru.png
  1. Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;

../../_images/allow_auth_webmap_group_ru.png
  1. Для веб-карты Ресурс: Чтение и Веб-карта: Открытие.

../../_images/allow_auth_webmap_ru.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.