1.11. Как настроить права доступа

Этот раздел поможет вам настроить права доступа в вашей Веб ГИС. Для этого здесь рассмотрены базовые принципы работы системы прав доступа и основные пользовательские сценарии их настройки.

Примечание

Описываемая в данном разделе функциональность доступна в Веб ГИС, находящейся на тарифном плане Премиум или развёрнута на своём сервере.

1.11.1. Общие понятия

Два основных правила, на которых строится всё:

  1. Ресурсный подход

Корневая группа ресурсов (0) > Директория 1 > Директория 2 > Слой.

Право на корень > Право на директорию 1 > Право на директорию 2 > право на слой.

Важно

! Без права на чтение корня не прочитать никакие вложенные файлы.

Ресурс

Корень (0)

Папка 1

Папка 2

Слой

Право

Чтение

Чтение

Чтение

Чтение

Вложенность может управляться на уровне типа ресурса.

Есть два состояния (помимо конкретных типов ресурсов):

  • Только для этого ресурса - применить только для текущего ресурса.

  • Для этого и вложенных ресурсов - применить и для всех тех, что внутри по иерархии до последнего.

../../_images/permission_apply_ru.png

Рис. 1.35. Меню выбора вариантов применения права доступа

  1. По умолчанию пользователи бесправны

Важно

! Запрещено всё, кроме того, что не разрешено администратором явно.

Чтобы пользователь получил доступ к каким-либо-данным, этот доступ нужно ему предоставить.

Типы пользователей (субъектов)

  • Администратор - пользователь Веб ГИС, обладающий административными правами

  • Владелец - пользователь Веб ГИС, создавший ресурс, на которое устанавливается право

  • Гость - пользователь Веб ГИС, который обращается к ресурсу, не являясь при этом авторизованным

  • Прошедший проверку - пользователь Веб ГИС, авторизованный в системе под любым существующим аккаунтом (то есть не гость)

  • Любой пользователь - все, включая гостей и авторизовавшихся под любым аккаунтом пользователей

Типы прав - что можно или нельзя делать с ресурсами

Ресурс: Все права

Любые действия с ресурсами, за исключением групп ресурсов

Ресурс: Чтение

Чтение ресурсов

Ресурс: Создание

Создание ресурсов

Ресурс: Изменение

Модификация ресурсов

Ресурс: Удаление

Удаление ресурсов

Ресурс: Управление вложенными

Изменение настроек вложенных (дочерних) ресурсов

Ресурс: Настройка прав доступа

Изменение настройки прав доступа ресурсов

Данные: Все права

Любые действия над данными

Данные: Чтение данных

Чтение данных

Данные: Изменение данных

Модификация данных

Внешние соединения: Все права

Любые действия с соединениями

Внешние соединения: Чтение параметров соединения

Чтение параметров соединения

Внешние соединения: Настройки

Модификация соединений

Внешние соединения: использование соединения

Использование соединения (будут ли доступны пользователю слои или данные из соединения)

Сервисы Веб ГИС: Все права

Любые действия с сервисом

Сервисы Веб ГИС: Доступ к сервису

Подключение к сервису

Сервисы Веб ГИС: Настройка сервиса

Изменение настроек сервиса

Веб-карта: Все права

Любые действия над веб-картой

Веб-карта: Просмотр аннотаций

Просмотр аннотация на веб-карте

Веб-карта: Рисование аннотаций

Рисование аннотация на веб-карте

Веб-карта: Управление аннотациями

Изменение аннотаций на веб-карте

Collector: Все права

Collector: Чтение

1.11.2. Просмотр прав пользователей

Чтобы посмотреть, какие права имеют в отношении ресурса разные пользователи и группы пользователей, нажмите «Права пользователей» в панели «Дополнительно» справа на странице ресурса.

../../_images/view_permissions_select_ru.png

Рис. 1.36. Переход к странице прав пользователей для открытой группы ресурсов «Примеры»

На этой странице показаны только права, действующие в отношении самого ресурса. Например, если у папки выставлено право «Чтение данных» для вложенных ресурсов, оно не будет отображено, поскольку сама папка не имеет данных. Чтобы проверить его наличие, отройте один из вложенных ресурсов и посмотрите права на него.

По умолчанию отображаются права для того пользователя, под которым вы авторизованы в данный момент. Чтобы посмотреть права других пользователей, нажмите на стрелку в конце поля и выберите в выпадающем меню нужное имя пользователя или группу.

../../_images/view_permissions_principals_ru.png

Рис. 1.37. Выбор пользователя для просмотра прав

../../_images/view_permissions_otheruser_ru.png

Рис. 1.38. Просмотр прав пользователя Другой Пользователь, который имеет только право чтения

По умолчанию Администратор и пользователи, добавленные в группу Администраторы, имеют право просматривать права всех пользователей. Это право относится к глобальным и настраивается в панели управления.

Если пользователь не имеет глобального права просмотра пользователей и групп, но имеет доступ чтения к ресурсу, то опция просмотра прав также доступна, но увидеть он сможет только свои права. Гость может просматривать только права для гостей.

../../_images/view_permissions_blocked_ru.png

Рис. 1.39. Выбор пользователя недоступен

1.11.3. Панель настроек Прав доступа

Панель прав доступа доступна в режиме измения ресурса. Каждая строка представляет собой отдельное правило, которое включает в себя:

  • Действие: Разрешить или запретить. Поскольку по умолчанию запрещено всё, что не разрешено в явном виде, не рекомендуем использовать действие «запретить».

  • Субъект: имя конкретного пользователя, группы пользователей или тип пользователя, к которому будет применяться правило;

  • Применить для: этого ресурса или этого и вложенных ресурсов;

  • Право: включает тип ресурса и действие, которое с ним можно совершать, полный список возможных прав см. в таблице.

../../_images/resource_permissions_tab_ru_2.png

Рис. 1.40. Вкладка «Права доступа»

Как создать новое правило

Для того, чтобы создать новое правило, нажмите Добавить в свободной строке в конце списка и выберите Разрешить.

../../_images/resource_permissions_new_ru.png

Рис. 1.41. Добавление нового правила права доступа

Далее в каждом столбце выберите из выпадающего списка нужное значение и нажмите Сохранить.

../../_images/resource_permissions_new_details_ru.png

Рис. 1.42. Выбор субъекта для создаваемого права

Чтобы удалить правило, нажмите на крестик в конце строки.

1.11.4. Сценарии настроек прав доступа

В этом разделе рассматриваются в качестве примеров некоторые распространенные сценарии настроект прав доступа.

Просмотр всей Веб ГИС (на примере Гостя)

Для этого нужно зайти в Основную группу ресурсов, открыть страницу редактирования и задать для группы следующие права:

  • Действие: Разрешить

  • Субъект: Гость

  • Применить для Этого и вложенных ресурсов

  • Право Чтение для: ресурса и данных.

../../_images/allow_guest_webGIS_ru_2.png

Просмотр только одной из веб-карт (на примере Гостя)

  • Действие: Разрешить

  • Субъект: Гость

  1. Для Основной группы Ресурс: Чтение;

../../_images/allow_guest_main_ru_2.png

  1. Для группы ресурсов, где лежат данные для веб-карты Ресурс: Чтение, Данные: Чтение данных ;

../../_images/allow_guest_data_group_ru_2.png

  1. Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;

../../_images/allow_guest_webmap_group_ru_2.png

  1. Для веб-карты Ресурс: Чтение.

../../_images/allow_guest_webmap_ru_2.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Доступ к WMS сервису (для авторизованных пользователей)

  • Действие: Разрешить

  • Субъект: Прошедший проверку

  1. Для Основной группы Ресурс: Чтение применить только для этого ресурса.

../../_images/allow_auth_main_ru_2.png

  1. Для группы ресурсов, где лежат данные и сервис WMS на основе этих данных Ресурс: Чтение, Данные: Чтение данных и Сервисы Веб ГИС: Доступ к сервису, применить для этого и вложенных ресурсов.

../../_images/allow_authorized_WMS_ru_2.png

Рис. 1.43. Настройки прав доступа для папки, в которой расположены данные и сервис WMS

Просмотр PostGIS слоя на веб-карте

  • Действие: Разрешить

  • Субъект: Гость (если карта должна быть доступна неавторизованным пользователям), Прошедший проверку (если карта должна быть доступна только авторизованным пользователям) и т.п.

  • Применить для Этого ресурса

  1. Для Основной группы Ресурс: Чтение;

../../_images/allow_auth_main_ru_2.png

  1. Для группы ресурсов, где лежат данные для веб-карты и слой PostGIS Ресурс: Чтение, Данные: Чтение данных и Внешние соединения: Использование соединения;

../../_images/allow_auth_postgis_group_ru_2.png

  1. Для группы ресурсов, где лежит веб-карта, если это не та же самая группа, где расположены данные, также нужно задать разрешение Ресурс: Чтение;

../../_images/allow_auth_webmap_group_ru_2.png

  1. Для веб-карты Ресурс: Чтение.

../../_images/allow_auth_webmap_ru_2.png

Важно

Рекомендуется размещать веб-карту и слои к ней в разных папках, это упростит настройку прав доступа. Если веб-карта расположена в той же папке, что и данные, то для всей папки нужно дать только право ресурс: Чтение, а затем право чтения нужно будет дать отдельно для всех необходимых слоев.

Если в группе находятся другие веб-карты, доступ к которым вы давать не хотите, убедитесь, что право Ресурс: Чтение папки выставлено только для нее самой, но не для вложенных ресурсов.

Отображение трекеров на веб-карте для группы пользователей

  • Действие: Разрешить

  • Субъект: Группа пользователей (напр. «Научный отдел»)

  1. Право: Ресурс: Чтение. Применить: Только для этого ресурса

Установить для:

  • Основной группы ресурсов

  • Группы, в которой расположена группа трекеров

  • Группы трекеров

  • Трекера

  • Группы, в которой расположена веб-карта

  • Веб-карты

../../_images/allow_group_webmap_ru.png

  1. Права: Ресурс: Чтение только для этого ресурса, Данные: Чтение данных для этого и вложенных ресурсов

Установить для:

  • Группы ресурсов, где лежат данные для веб-карты

../../_images/allow_group_data_group_ru.png