Модуль "Управление доступом"

«Управление доступом» - это один из модулей, входящих в состав платформы ROBIN, предназначенный для управления пользователями платформы и настройки их прав доступа к модулям, разделам и объектам (роботы, машины и т.д.) системы. Модуль доступен только пользователям с ролью «Администратор прав доступа».

Ограничить доступ можно к:

• Модулям и приложениям платформы:
  • компонент «Управление доступом»
  • компонент «Оркестратор»
  • приложение Robin Process
  • приложение ROBIN Studio Enterprise, начиная с версии 2.20.2 
  • приложение ROBIN Player Enterprise, начиная с версии 2.20.2
• Объектам, которые добавлены в хранилище платформы - проекты роботов, готовые роботы, процессы, экранные формы и т.д.

Разграничение прав доступа пользователей к компонентам и объектам осуществляется за счет тенантов и групп объектов. 

Тенанты

Тенанты – это мультигруппы, каждая из которых имеет свои наборы объектов, группы объектов, пользователей и ролей. Каждый тенант имеет свои собственные настройки и права доступа.

Чтобы получить доступ к тенанту, пользователь должен быть добавлен в него, причем обязательно с одной или несколькими ролями, которые созданы в этом тенанте.

Также в рамках тенанта можно более точно разграничивать доступ пользователей к объектам тенанта при помощи их группировки. Принцип работы групп следующий:

1. Администратор (пользователь с ролью «Администратор прав доступа») создает в тенанте группу объектов. В группу переносит объекты, с которыми можно работать только ограниченному кругу лиц.
2. Создает в этом же тенанте группу пользователей. В группу добавляет только тех пользователей, которым разрешено работать с объектами из 1-го пункта.
3. Выдает группе пользователей права на группу объектов.
4. Пользователи, которые добавлены в тенант, но не добавлены в группу, имеют доступ только к тем объектам тенанта, которые не распределены в группу объектов.
5. Пользователи, которые добавлены в тенант и дополнительно добавлены в группу, имеют доступ и к тем объектам тенанта, которые не распределены в группу, и к объектам, добавленным в группу объектов.

По умолчанию в тенанте нет групп, их нужно создавать отдельно (при необходимости).

Суперадминистратор

Обычные пользователи могут войти в систему, только если они добавлены в тенант(-ы) с какой-то определенной ролью. Для управления некоторыми глобальными настройками, которые выходят за рамки одного тенанта, в системе есть особый пользователь - Суперадминистратор, который:

• может создавать новые тенанты
• может изменять параметры тенантов
• по умолчанию имеет доступ ко всем тенантам и их объектам (по умолчанию доступен модуль «Управление доступом»). При этом нельзя отнять у суперадминистратора доступ к какому-то определенному тенанту.

В целом Суперадминистратор – это тот же обычный пользователь (внутренний или внешний), но который имеет дополнительный признак "суперадминистратора".

В системе может быть сразу несколько суперадминистраторов. Подробнее о способе создания такого пользователя описано в инструкции по развертыванию системы.