Учётные записи и группы
Учётные записи и группы — это основа системы безопасности ЛЭРС УЧЁТ. Они определяют какие операции в системе разрешены для пользователя и какие сущности он может просматривать и редактировать.
Для защиты от несанкционированного доступа и разграничения прав пользователей, вход в систему возможен только после аутентификации.
Учётные записи
Примечание
В системе ЛЭРС УЧЁТ существуют системная учетная запись Служба опроса с именем входа PollHost, используемая при работе службы опроса. Удалить или изменить эту учётную запись нельзя.
Учётная запись - это набор параметров, принадлежащих пользователю системы ЛЭРС УЧЁТ. Обладатель учётной записи может войти в систему и выполнять в ней действия, набор которых ограничен заданными разрешениями. Список сущностей, которые видит пользователь, так же настраивается в параметрах учётной записи.
Вошедший в систему пользователь видит списки сущностей и может выполнять различные Операции. Например к операциям относятся:
- Редактирование свойств точек учёта
- Редактирование свойств объектов учёта
- Просмотр данных
- и так далее.
Права доступа
Два свойства учётной записи являются самыми важными:
- Разрешения
- Доступные сущности
Разрешения определяют какие Операции пользователь сможет выполнять после входа в систему. Например, пользователю можно разрешить просмотр данных и запретить редактирование объектов учёта. Тогда просмотреть свойства он сможет, но изменить их система не позволит.
Разрешения пользователя и всех групп, в которые он входит, суммируются. В таблице ниже приведён пример каким образом суммируется итоговое (эффективное) разрешение на одну операцию для пользователя, который входит группу Группа
.
- ⚪️ Операция явно не разрешена, но и не запрещена.
- ✅ Операция разрешена
- 🚫 Операция запрещена
Пользователь | Группа | Итог |
---|---|---|
⚪️ | ⚪️ | 🚫 |
✅ | ⚪️ | ✅ |
⚪️ | ✅ | ✅ |
✅ | 🚫 | 🚫 |
🚫 | ✅ | 🚫 |
Подтверждение пароля
Некоторые необратимые (чувствительные) операции защищены от выполнения повторным вводом пароля. Например, чтобы удалить объект учёта, потребуется повторно ввести ваш пароль. Это позволяет минимизировать ущерб в случае если вашим рабочим местом оператора завладел злоумышленник. После ввода правильного пароля операция выполняется, и система перестаёт спрашивать подтверждения на три минуты.
Это поведение можно включить или выключить в системных параметрах.
Доступные сущности
Доступные сущности определяют какие сущности пользователь видит и может изменять (если есть такое разрешение). Например, в системе есть два объекта учёта и пользователь, которому разрешено редактировать объекты, но доступ предоставлен только к объекту №1. Тогда пользователь увидит и сможет отредактировать только объект №1. Объект №2 не будет отображаться в списках, как будто его нет. Отредактировать его невозможно ни через интерфейс пользователя, ни через API, так как на API действуют такие же разрешения.
В отличие от разрешений, запретить доступ к сущности невозможно, его можно только предоставить. Если пользователю, или одной из его групп, разрешён доступ к сущности, он в любом случае получит к ней доступ.
Для учётной записи можно предоставить доступ к следующим сущностям:
Доступ к остальным сущностям разрешён если они относятся к разрешённому объекту учёта. Например, доступным для пользователя считается оборудование, которое установлено на разрешённых объектах.
Ограничение попыток ввода пароля
Для учётной записи предусмотрено ограничение на количество неудачных попыток ввода пароля. Эта функция включается и настраивается в системных параметрах.
Администратор может снять блокировку записи сняв параметр Вход запрещён в Свойствах учётной записи.
Группы учётных записей
Учётные записи можно объединять в группы, чтобы упростить настройку разрешений и списки разрешённых сущностей.
У группы учётных записей есть такие же два основных свойства — разрешения и доступные сущности. Список разрешений такой же, как у учётной записи, а список сущностей несколько меньше:
- Группы объектов учёта
- Мнемосхемы
- Отчёты
Пользователь может входить в несколько групп учётных записей, или не входить ни в одну. Для учётной записи система формирует итоговый (эффективный) список разрешений и доступных сущностей.
Эффективный список сущностей объединяет сущности, разрешённые для учётной записи и сущности, разрешённые для всех её групп. Запретить доступ к объектам нельзя. Если хотя бы для одной группы объект разрешён, к нему получат доступ все учётные записи, которые в эту группу входят.
Эффективный список разрешений так же суммируется для учётной записи и всех её групп. Однако, есть важное отличие — любую операцию можно Запретить учётной записи или группе. При этом, приоритет запрещения выше, чем разрешения. То есть, если пользователь входит хотя бы в одну группу, для которой редактирование объектов учёта запрещено, в итоге этого разрешения у пользователя не будет.
Системные группы
Имеется 5 системных групп учетных записей:
- Администраторы
- Жильцы
- Обслуживающие
- Операторы
- Посетители
Учётная запись, входящая в группу Администраторы, имеет разрешения на выполнение всех действий без ограничений. Кроме того, Администраторам доступны все сущности в системе. Изменить такую учётную запись только член этой же группы Администраторы.
Учётные записи, которые входят в группу "Жильцы" автоматически получают разрешение на доступ к личному кабинету, в котором можно просматривать показания квартирных счётчиков.
Учётные записи, входящие в группу "Обслуживающие", могут выбираться в качестве обслуживающего инженера объекта учёта.