Содержание

1    Введение.. 3

1.1    Назначение и структура документа. 3

1.2    Перечень терминов и сокращений. 3

2    Описание системы прав.. 5

2.1    Настройка профилей пользователей. 6

2.1.1    Создание нового профиля. 7

2.2    Настройка ролей пользователей. 12

2.2.1    Создание новой роли. 14

2.3    Настройка привилегий пользователей. 15

2.4    Настройка системных прав пользователей. 19

3    Пример создания нового пользователя.. 23

3.1    Создание новой роли New_User 23

3.2    Создание собственного меню.. 25

3.3    Создание нового профиля New_User 28

3.4    Создание нового пользователя New_User 30

3.5    Настройка ограничения видимости списка по заданным критериям.. 33

3.5.1    Пример 1. Настройка системы прав пользователя на работу с расходными расписаниями на указанных статусах. 33

3.5.2    Пример 2. Настройка системы прав пользователя на работу с платежными поручениями по счетам аренды.. 35

3.5.3    Пример 3. Настройка системы прав пользователя на работу с платежными поручениями по лицевым счетам, имеющим признак «13- Лицевой счет получателя по источникам финансирования». 35

3.5.4    Пример 4. Настройка системы прав пользователя на работу с платежными поручениями по лицевым счетам, имеющим признак «11» и «13» с ограничением по сумме платежного поручения. 36

4    Проверка контроля целостности КСЗ СЭД.. 37

СОСТАВИЛИ.. 38

ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ.. 39

1                  Введение

1.1           Назначение и структура документа

Настоящий документ является руководством по настройке прав доступа к функционалу и пунктам меню СЭД для каждого пользователя. Здесь подробно описана настройка системы прав пользователей: создание пользователя Системы, профиля, роли, применение привилегий, а также приведен пример создания нового системного профиля и новой схемы запуска СЭД.

Данный документ предназначен для администратора СЭД.

Структура руководства изложена в таблице 1.

Таблица                    1. Структура документа

1.2           Перечень терминов и сокращений

Таблица                    2. Перечень терминов и сокращений

2                  Описание системы прав

Система СЭД позволяет настраивать права доступа к системе и пунктам меню, операциям и функциям, выполняемым в системе, для каждого пользователя. Настройка системы прав базируется на системе привилегий, ролей и профилей. Для каждого пользователя возможна настройка отдельной учетной записи, определены роли и назначен профиль, а также при необходимости добавлены или запрещены привилегии. Это необходимо для правильной работы пользователей с системой на рабочих местах, а также для мониторинга действий пользователей и исключения ошибок в работе системы вследствие совершения некорректных действий пользователей, не имеющих для этого достаточного опыта.

Настройка системы прав включает в себя следующие этапы:

–     Настройка профилей пользователей;

–     Настройка ролей пользователей;

–     Создание нового пользователя;

–     Применение системы прав для нового пользователя.

Настройка системы прав производится в пункте меню «Сервис – Служебное – Настройка системы прав – Настройка прав». Откроется форма «Администрирование прав пользователей» (см. рисунок 1).

Рисунок                 1. Форма администрирования прав пользователей

В данной форме производится создание новых пользователей системы и назначение им прав, а также редактирование и добавление новых профилей и ролей.

Форма состоит из 4 вкладок: «Пользователи», «Профили», «Роли», «Привилегии».

Системные привилегии задаются на программном уровне и их невозможно редактировать. Например, привилегия VIEW_ANY_USER_TABLE позволяет просматривать любые несистемные (пользовательские) таблицы. Привилегия может иметь один или несколько параметров. Так, привилегия EDIT_TABLE_RECORD имеет два параметра (имя таблицы и фильтр). Также можно добавить в список существующих привилегий новые привилегии. В этом случае сама система никак не будет их обрабатывать, но внешние модули получат возможность узнать, есть ли права на эту привилегию у текущего пользователя и самим обработать ситуацию недостаточности прав и т.п.

Роль задается списком привилегий (с заполненными параметрами) и списком ролей, включенных в данную роль. Причем привилегии могут быть указаны как предоставленные (granted), так и запрещенные (revoked). Все привилегии, содержащиеся во вложенных ролях, автоматически считаются принадлежащими данной роли. Запрет привилегии всегда преобладает над ее разрешением. Роли могут редактироваться и являются настраиваемыми.

Набор параметров профиля задается раз и навсегда. Меняются лишь их значения. В системе можно завести неограниченное количество профилей.

Каждый пользователь имеет свой логин и пароль. Пользователю всегда назначен ровно один профиль, одна или несколько ролей, а также могут быть назначены отдельные привилегии.

2.1           Настройка профилей пользователей

Базовым и важнейшим уровнем прав являются – профили. Профили определяют такие параметры как необходимость запуска автопроцедур и транспорта при входе в систему пользователя, владеющего данным профилем, а так же такие параметры как Главная форма запуска и отдельная для пользователя конфигурация. Главная форма запуска – в общем случае MainCbankForm, в целом, определяет функциональные возможности системы. Создавая уникальные формы запуска, можно убрать или добавить в интерфейс те или иные функциональные возможности, меняя меню главной формы и набор кнопок на панели инструментов. Редактирование главной формы возможно через программу dictman («Построитель») (см. пункт 3.2).

Для настройки профиля пользователя выполните действия:

–     Выберите пункт меню «Сервис – Служебное – Настройка системных прав – Настройка прав».

–     Откройте вкладку «Профили» (см. рисунок 2).

На вкладке «Профили» содержится список стандартных профилей системы, не рекомендуется удалять или изменять их.

–     OFK – используется для уровня отделения Федерального казначейства.

–     Default – профиль по умолчанию. Не рекомендуется применять.

–     HOBOT – используется для тестирования системы и предназначен для разработчиков (здесь и далее «ОТР2000»). Не рекомендуется применять.

–     UFK – используется для уровня Управления Федерального казначейства.

–     CAFK – используется для уровня Центрального аппарата Федерального казначейства.

–     Sys – используется разработчиками Системы. Не рекомендуется применять.

Вкладка содержит несколько кнопок:

–     «Добавить» – используется для добавления нового профиля;

–     «Удалить» – используется для удаления профиля;

–     «Редактировать» – используется для корректировки параметров профиля.

Рисунок                 2. Форма администрирования прав пользователей. Вкладка «Профили»

2.1.1      Создание нового профиля

Создание нового профиля производится при помощи кнопки «Добавить» на вкладке «Профили». Откроется окно ввода названия нового профиля (см. рисунок 3):

Рисунок                 3. Окно ввода названия профиля

Название профиля вводится вручную. Для сохранения профиля нажмите «ОК». На экране появится диалоговая форма «Окно редактирования учетной записи» (см. рисунок 4). В данном окне задаются параметры нового профиля, определяющие особенности доступа к системе и ее функционалу для пользователя с данным профилем.

Рисунок                 4. Окно редактирования учетной записи

Форма «Окно редактирования учетной записи» содержит следующие поля:

–     Группа полей «Опции запуска»:

–     «Название профиля» – название данного профиля. Поле не доступно для редактирования;

–     «Запуск транспорта» – флаг включен – у пользователей, которым назначен данный профиль, будет запускаться транспорт при входе в систему;

–     «Запуск автопроцедур» – флаг включен – у пользователей, которым назначен данный профиль, будут запускаться автопроцедуры при входе в систему;

–     «Схема автопроцедур при запуске» – наименование схемы автопроцедур при запуске. Поле откроется для доступа при установленном флаге «Запуск автопроцедур», выбирается из списка схем автопроцедур, созданных в системе;

–     «Конфигурационная схема АРМ» – рабочая конфигурация, которая назначается в зависимости от уровня рабочего места. Это влияет на доступность пунктов меню, необходимых для работы АРМ данного клиента или сервера. Например, для ПБС – SettingsARMclientPBS и т.д. (см. таблицу 3).

Таблица                    3. Список конфигурационных схем АРМ

–     «Главная форма для запуска» – название главной формы для запуска (по умолчанию MainCBankForm);

–     «Серверный режим работы» – использование специального менеджера памяти; серверный режим ускорит работу системы, но потребует больше оперативной памяти; рекомендуется устанавливать флаг в поле только при наличии достаточного количества оперативной памяти;

–     «Проверка CRC файлов при запуске» – поле зарезервировано;

–     «Проверка CRC файлов при загрузке» – поле зарезервировано;

–     Группа полей «Опции пароля»:

–     «Неизменяемый пароль» – флаг включения запрета смены пароля пользователем;

–     «Разрешить простые пароли» – флаг включения разрешения простых паролей; Простые пароли – это пароли, в которых встречаются символы менее 3-х из 4-х групп символов: большие буквы, маленькие буквы, цифры, специальные символы. Простые пароли должны быть запрещены (флаг снят).

–     «Профиль отключен» – флаг включения запрета запуска системы пользователем с данным профилем;

–     «Простые пароли» – список недопустимых паролей.

Замечание:        Установка флага «Разрешить простые пароли» не влияет на работу параметра «Простые пароли». Таким образом, даже если простые пароли разрешены, пользователю не разрешается вводить пароль из списка «Простые пароли».

–     «Время блокировки при бездействии (мин.)» – количество минут бездействия, после которого включается блокировка системы. Значение 0 означает, что время бездействия не ограничено;

–     «Максимальное число попыток» – максимальное количество попыток ввода пароля при входе в систему; в случае превышения количества попыток, пользователь, допустивший их, будет заблокирован; Значение 0 означает, что количество попыток не ограничено.

–     «Минимальная длина пароля» – минимальное количество символов пароля должно быть равно 6;

–     «Дата истечения пароля» – дата истечения срока действия пароля профиля, по истечении указанной даты работа пользователя в системе блокируется;

–     «Период действия пароля (в днях)» – количество дней действия пароля; Значение 0 означает, что период действия пароля не ограничен.

–     «Время хранения истории паролей» – количество дней хранения истории паролей. Все пароли, введенные пользователем, хранятся системой в истории паролей; пароли, введенные администратором системы, в истории не хранятся. Значение 0 означает, что время хранения истории паролей не ограничено.

–     «Интервалы времени» – временные интервалы, течение которых разрешена или запрещена работа с данным профилем.

Для настройки параметров базы данных нажмите кнопку «Настройка параметров БД». На экране появится диалоговое окно «Настройка параметров базы данных» (см. рисунок 5).

Рисунок                 5. Настройка параметров базы данных

Окно «Настройка параметров базы данных» содержит поля:

–     «Минимальное число сессий» – минимальное число сессий к базе данных, которое система СЭД будет держать открытыми всегда; по истечении периода неактивности, превышающего Мин. время существования коннекта без запросов, все сессии свыше этого числа система будет игнорировать; по умолчанию 0;

Рекомендации по заполнению:

–     Access – 0 или 1; если поставить 0, то при долгом бездействии системы файл базы данных будет отпущен и доступен корректировке/удалению; при 1 файл базы данных будет блокирован на корректировку и удаление;

–     MSSQL – 0, ОЧЕНЬ КРИТИЧНО; сессии с MSSQL всегда должны сбрасываться;

–     «Максимальное число сессий» – максимальное число сессий к базе данных; если будет достигнут максимум занятых сессий и одна из подсистем запросит дополнительную – будет выдано сообщение об ошибке и подсистема будет ожидать освобождения сессии; по умолчанию 5.

Рекомендации по заполнению:

–     Access – 1, ОЧЕНЬ КРИТИЧНО;

–     MSSQL  – 255, КРИТИЧНО; можно немного меньше, но не меньше 20;

–     «Предельное время ожидания сессии» – максимальное время, в течение которого подсистема будет ожидать свободную сессию к базе данных; по умолчанию 300000 (5 мин.); рекомендуется значение по умолчанию не изменять;

–     «Мин. время существования коннекции без запросов» – минимальное время существования соединения к базе данных без запросов;

–     если в течение указанного времени соединение не было использовано и текущее количество сессий больше минимального (Минимальное число сессий), то соединение будет прервано;

–     по умолчанию 3000000 (5 мин.); значение по умолчанию подходит практически для всех случаев; имеет смысл его увеличить для банков (особенно MSSQL), в которых установлен FireWall, сбрасывающий неактивные соединения за меньшее время, или сама база данных настроена таким образом, что соединения будут прерываться раньше;

–     «Время невыполнения транзакции» – максимальное время, в течение которого подсистема будет ожидать свободную сессию для выполнения транзакции; если по истечении указанного срока сессия не освободилась, то те операции, которые должны были быть выполнены внутри транзакции, будут выполнены вне нее;

–     по умолчанию 60000 (1 мин.); рекомендуется значение по умолчанию не изменять;

–     для клиентов, у которых очень большой документооборот, можно немного увеличивать значение данного параметра или наоборот.

Для сохранения введенных параметров нажмите «ОК».

Для определения интервалов времени, в течение которых необходимо разрешить или запретить работу с данным профилем, нажмите кнопку «Редактировать» в диалоге «Окно редактирования учетной записи» (см. рисунок 4).

На экране появится диалог «Изменение временных интервалов» (см. рисунок 6).

Рисунок                 6. Окно «Изменение временных интервалов»

Диалог «Изменение временных интервалов» содержит следующие поля:

–     «Учетная запись» – название данного профиля. Поле не доступно для корректировки;

–     «Начальное время» – используется для указания начала временного интервала действия или не действия пароля;

–     «Конечное время» – используется для указания окончания временного интервала действия или не действия пароля.

Диалог «Изменение временных интервалов» содержит следующие кнопки:

–     «Разрешить все» – используется для разрешения работы с профилем круглосуточно;

–     «Разрешить» – используется для разрешения работы с профилем в интервал времени, определенный значениями полей «Начальное время» и «Конечное время»;

–     «Запретить» – используется для запрета работы с профилем в интервал времени, определенный значениями полей «Начальное время» и «Конечное время»;

–     «Запретить все» – используется для запрещения работы с профилем круглосуточно.

Внимание!         Для вступления в силу изменений системы профилей пользователей необходима перезагрузка сервера СЭД!

2.2           Настройка ролей пользователей

Роль представляет собой набор разрешенных или наоборот запрещенных привилегий. Роль может включать в себя несколько других ролей. Все привилегии, содержащиеся во вложенных ролях, автоматически считаются принадлежащими данной роли. Список стандартных ролей уже изначально заведен в системе на вкладке «Роли» формы «Администрирование прав пользователей» (см. рисунок 7), не рекомендуется изменять или удалять их. Для создания новой роли используется кнопка «Добавить». Для редактирования роли используется кнопка «Редактировать», для удаления – «Удалить».

Настройка ролей пользователей выполняется в следующей последовательности:

–     Создается новая роль.

–     Для созданной роли определяется набор привилегий.

–     Для пользователя назначается профиль и роль.

Рисунок                 7. Форма администрирования прав пользователей. Вкладка «Роли»

На вкладке «Роли» имеются изначально созданные и настроенные роли, некоторые из них могут применяться для пользователей системы. Такие роли носят название эталонных, не рекомендуется удалять их или изменять их настройки.

Список стандартных ролей приведен ниже:

–     ADMINISTRATOR – используется для администратора системы.

–     AP – используется для доступа к функционалу Администратора поступлений (только на АРМ клиента СЭД).

–     CAFK – используется для доступа к функционалу АРМ сервера ЦАФК.

–     CASHSUBJECT – отвечает за возможность кассового обслуживания субъектов для сервера УФК/ОФК.

–     CASHSUBJECTFO – отвечает за возможность кассового обслуживания субъектов для АРМ ФО.

–     CONTROLRP – используется для доступа к функционалу АРМ Контролер.

–     CRYPTO_ADMIN – предназначена для пользователей, которым нужна возможность работать с сертификатами, добавлять свои сертификаты, но которым не нужны все пункты меню, доступные с ролью ADMINISTRATOR.

–     DESIGNER – используется разработчиками Системы. Не рекомендуется применять.

–     EXPLORER – позволяет просматривать визуальные формы Системы без права их редактирования.

–     FO – используется для доступа к функционалу АРМ Финансового органа (только на АРМ клиента СЭД).

–     GRBS – используется для доступа к функционалу АРМ Главного распорядителя средств Федерального бюджета (только на АРМ клиента СЭД).

–     HOBOT – используется для тестирования системы и предназначена для разработчиков системы. Не рекомендуется применять для пользователей.

–     MGRBS – используется для доступа к функционалу клиента СЭД уровня Главный Распорядитель Бюджетных Средств СФ/МО (только на АРМ клиента СЭД).

–     MRBS – используется для доступа к функционалу клиента СЭД уровня Распорядитель Бюджетных Средств СФ/МО (только на АРМ клиента СЭД).

–     MPBS – используется для доступа к функционалу клиента СЭД уровня Получатель Бюджетных Средств СФ/МО (только на АРМ клиента СЭД).

–     OFK – используется для доступа к функционалу АРМ Отделения Федерального казначейства.

–     PBS – используется для доступа к функционалу АРМ Получателя бюджетных средств (только на АРМ клиента СЭД).

–     RBS – используется для доступа к функционалу АРМ Распорядителя бюджетных средств (только на АРМ клиента СЭД).

–     SECURITY_MANAGER – используется разработчиками Системы. Не рекомендуется применять.

–     SPECIAL_DOC_EXPORT – разрешает пользователю работу с экспортом в файловый архив при выгрузке документов для прокурорских проверок.

–     SPECIAL_DOC_IMPORT – разрешает пользователю работу с импортом из файлового архива при выгрузке документов для прокурорских проверок.

–     SYS – используется разработчиками системы. Не рекомендуется применять.

–     SYSTEM – используется разработчиками. Не рекомендуется применять.

–     UFK – используется для доступа к функционалу АРМ УФК (только на АРМ сервера СЭД).

2.2.1      Создание новой роли

Для создания новой роли нажмите кнопку «Добавить» на вкладке «Роли» (см. рисунок 7). Откроется окно ввода названия новой роли (см. рисунок 8).

Рисунок                 8. Окно ввода названия роли

Название роли вводится вручную. Для продолжения нажмите «ОК». На экране появится диалоговая форма «Окно редактирования параметров роли» (см. рисунок 9).

Рисунок                 9. Окно редактирования параметров роли

Форма «Окно редактирования параметров роли» содержит поля:

–     «Название роли» – название редактируемой роли; поле не доступно для изменения;

–      «Роли» – список внутренних ролей данной роли;

–     «Доступные роли» – список доступных ролей;

–     «Привилегии» – список привилегий данной роли.

Для включения ролей в данную роль выберите ее курсором в списке «Доступные роли» и добавьте при помощи кнопки . Для удаления ролей из списка используйте кнопку .

Добавление привилегий для данной роли производится при помощи кнопки «Добавить». В отк