Zabezpečení objektů
Principy
Zabezpečení objektů slouží k nastavení přístupových oprávnění uživatelů k objektům ve stromu. Oprávnění lze různými způsoby povolit, zakázat či kombinovat. Tato nastavení se provádějí v Administraci v správě uživatelů v bloku Zabezpečení objektů, nebo na jednotlivých objektech v AM Console (zde je mohou měnit pouze správci Asset Managementu).
Aby se nastavení práv ve stromu objektů projevilo, musí být v nastavení Asset Management zaškrtnuta volba Používat práva ve stromu objektů. Po zapnutí této volby se uživatelům, kteří nemají ve stromu objektů definována žádná oprávnění, nezobrazí žádné objekty. Objekty se zobrazí pouze tehdy, je-li povoleno oprávnění Čtení. Výjimkou je uživatel s rolí Administrator pro ALVAO Asset Management, na kterého se oprávnění ve stromu nevztahují (vždy se zobrazí všechny objekty).
Práva
Systém umožňuje nastavit 5 typů oprávnění:
| Oprávnění | Popis |
|---|---|
| Čten�í | Uživatel vidí objekt ve stromu objektů. |
| Měnit | Uživatel může měnit vlastnosti a hodnoty vlastností objektu. |
| Přesouvat | Uživatel může přesunout objekt do takových objektů, ve kterých bude mít přesouvaný objekt toto právo také. Například pokud je právo nastaveno pro typ objektu Mobilní telefon ve složkách Oddělení A a Oddělení B, lze mobilní telefony přesouvat v rámci oddělení i mezi nimi. |
| Odstranit | Uživatel může smazat objekt. |
| Vytvářet libovolné objekty | Uživatel může pod definovaným objektem vytvářet nové podřazené objekty libovolného typu. |
Oprávnění lze udělit nebo zamítnout. Zamítnutí oprávnění má přednost před jejich udělením.
Výchozím nastavením pro všechny objekty a oprávnění je zamítnuto – to znamená, že uživatel ve stromu objektů nevidí žádné objekty, dokud mu není povoleno je číst.
Zabezpečení objektů lze nastavit pro skupinu uživatelů.
Pokud jsou oprávnění ve stromu objektů vypnuta, mají systémové role ve stromu následující oprávnění:
| Role | Číst | Měnit | Přesouvat | Odstranit | Vytvářet libovolné objekty | Poznámka |
|---|---|---|---|---|---|---|
| Administrátoři Asset Management | x | x | x | x | x | Nelze omezit práva ve stromu |
| Čtenáři Asset Management | x | |||||
| Správci majetku | x | x | x | x | x | |
| Správci softwarových licencí | x | Stejné jako Čtenáři Asset Management | ||||
| Manažeři skenů softwaru a hardwaru | x | Stejné jako Čtenáři Asset Management | ||||
| Účetní | x | x1 | Může měnit hodnoty některých vlastností | |||
| Čtenáři vazeb | x | Stejné jako Čtenáři Asset Management | ||||
| Správci vazeb | x | Stejné jako Čtenáři Asset Management |
1 Role Účetní může měnit hodnoty vlastností, pokud máte v okně Definice vlastnosti na kartě Zabezpečení tuto volbu nastavenu.
Při zapnutých právech ve stromu objektů:
- Implicitní pravidlo: vše, co není aktivováno, je vypnuto.
- Zakazující pravidlo na objektu (s výjimkou výchozího pravidla) má přednost před povolujícím pravidlem, a to i při dědění na podřazené objekty.
- Oprávnění Čtení se vyhodnocuje od kořene stromu, tzn. objekt se uživateli nezobrazí, pokud nemají oprávnění čtení i všechny jeho nadřazené objekty.
- Pořadí v tabulce pravidel nemá na jejich vyhodnocení vliv. Všechna jsou vždy vyhodnocována s výše uvedenými omezeními.
Každý uživatel ve WebAppu vidí svůj vlastní majetek, tzn. má právo čtení na všechny podřazené objekty pod svou osobou ve stromu.
Členství ve skupině uživatelů AM není alternativou k zabezpečení objektů. Pokud mají uživatelé měnit, přesouvat, vytvářet a mazat objekty, musí být členy skupiny Správci vlastností objektů a zároveň musí definovat, na které objekty se tato práva vztahují.
Příklad: Jak nastavit práva pro skupinu správců mobilních telefonů
V tomto příkladu vytvoříme novou skupinu Správci mobilních telefonů – obchod a nastavíme na ní oprávnění tak, aby členové této skupiny pečovali o mobilní telefony v Obchodním oddělení. Měli by mít právo pracovat s objekty typu Mobilní telefon:
- Vytvářet (naskladňovat) je ve složce Sklad.
- Upravovat jejich údaje kdekoli v celém stromu.
- Přesouvat je ze skladu kamkoli ve složce Obchodní oddělení (a v případě potřeby zpět).
- Členové skupiny nesmí vidět ostatní oddělení.
Ukázková struktura stromu objektů:
- Přejděte do Alvao WebApp a ujistěte se, že jsou práva ve stromu objektů zapnutá – povolte volbu Používat práva ve stromu objektů v Správa - Asset Management - Nastavení - Obecné.
- Vytvořte novou skupinu s názvem Správci mobilních telefonů.
- Upravte skupinu a v části Je členem přidejte skupinu Správci mobilních telefonů. V části Zabezpečení objektů nastavte oprávnění podle následující tabulky:
| Typ objektu | Název objektu | Včetně podstromu | Objekty typu | Číst | Měnit | Přesouvat | Odstranit | Vytvářet libovolné objekty |
|---|---|---|---|---|---|---|---|---|
| Ne | Mobilní telefon | Ano | Ano | |||||
| Šablony objektů | Šablony objektů | Ne | Ano | |||||
| Složka | IT majetek | Ne | Ano | |||||
| Sklad | Sklad | Ne | Ano | Ano | ||||
| Sklad | Sklad | Ano | Mobilní telefon | Ano | ||||
| Organizace | Our Company, Inc. | Ne | Ano | |||||
| Oddělení | Obchodní oddělení | Ano | Ano | |||||
| Oddělení | Obchodní oddělení | Ano | Mobilní telefon | Ano |
Na objektu Obchodní oddělení jsme nastavili, že v něm uživatel může přesouvat a měnit objekty typu Mobilní telefon. Toto právo zároveň umožní uživateli přesouvat objekty pod tímto oddělením, ale nemůže přesunout celé oddělení, pouze mobilní telefony nacházející se uvnitř oddělení.
- Přidat uživatele Joseph Freeman (Demo) do nově vytvořené skupiny Obchodní manažeři mobilních telefonů – upravte uživatele a na záložce Je členem přidejte příslušnou skupinu.
- Když se pak uživatel Joseph Freeman (Demo) přihlásí do AM Console, strom objektů bude vypadat takto:
