Гранулярные полномочия
Гранулярные полномочия — механизм предоставления доступа на уровне отдельных сервисов внутри рабочего процесса, позволяющий организовать точное разграничение прав доступа между пользователями.
Быстрая настройка
1. Создание сервиса
- Перейти в Администрирование → Каталог услуг
- Создать новый сервис
- Указать Рабочий процесс из выпадающего списка
- Сохранить
2. Предоставление полномочий
- Открыть настройки рабочего процесса (⚙️)
- Перейти на вкладку “Полномочия”
- Нажать “Добавить пользователя” или “Добавить группу”
- Заполнить форму:
- Сервис: выбрать созданный сервис
- Пользователь или Группа: выбрать получателя полномочий
- Сохранить
Важно: Если поле Сервис не заполнить, будут предоставлены полномочия на весь рабочий процесс.
Назначение
В стандартной модели полномочий предоставление доступа к рабочему процессу автоматически открывает пользователю доступ ко всем заявкам этого процесса.
Гранулярные полномочия позволяют:
- Предоставить пользователю доступ только к определенным сервисам внутри рабочего процесса
- Разделить ответственность между командами без создания отдельных рабочих процессов
- Организовать работу специализированных групп поддержки в рамках единой Service Desk
- Обеспечить конфиденциальность данных между различными подразделениями
Принцип работы
Иерархия доступа
Система проверяет доступ пользователя к заявке в следующем порядке:
1. Администратор системы → доступ ко всему
↓
2. Владелец рабочего процесса → доступ ко всем заявкам процесса
↓
3. Владелец сервиса → доступ ко всем заявкам данного сервиса
↓
4. Гранулярные полномочия на сервис → доступ к заявкам сервиса
↓
5. Полномочия на рабочий процесс → доступ ко всем заявкам процесса
↓
6. Участник заявки → доступ только к своим заявкам
Типы доступа к сервису
1. Владелец сервиса (Owner)
Пользователь, создавший сервис или указанный в поле Владелец при создании сервиса, автоматически получает:
- Полный доступ ко всем заявкам данного сервиса
- Возможность редактировать параметры сервиса
- Возможность управлять полномочиями на данный сервис
Владелец сервиса определяется полем
createdBy(создатель) или полемowner(если задан явно).
2. Пользователь с гранулярными полномочиями
Пользователь или группа, которым выданы полномочия на конкретный сервис, получают:
- Доступ ко всем заявкам, связанным с данным сервисом
- Возможность создавать новые заявки в данном сервисе
- Возможность просматривать, комментировать и обрабатывать заявки сервиса
- Отсутствие доступа к заявкам других сервисов в том же рабочем процессе
3. Пользователь с полномочиями на рабочий процесс
Пользователь или группа с полномочиями на весь рабочий процесс (без указания конкретного сервиса) получают:
- Доступ ко всем заявкам рабочего процесса, включая все сервисы
- Доступ к заявкам без привязки к сервису (legacy-заявки)
Важно: Если у пользователя есть только гранулярные полномочия на отдельные сервисы, он не увидит старые заявки без привязки к сервису.
Настройка гранулярных полномочий
Шаг 1: Настройка каталога услуг
- Перейти в Администрирование → Каталог услуг
- Создать необходимые сервисы с привязкой к рабочему процессу
- Для каждого сервиса указать:
- Наименование — отображаемое имя сервиса
- Рабочий процесс — процесс, к которому относится сервис
- Владелец (опционально) — ответственный за сервис
- Тип заявки (опционально) — тип заявок для данного сервиса
Важно: Сервис должен быть привязан к рабочему процессу для возможности использования гранулярных полномочий.
Шаг 2: Предоставление полномочий
- Открыть настройки рабочего процесса (⚙️)
- Перейти на вкладку Полномочия (Permissions)
- Нажать Добавить пользователя или Добавить группу
- Заполнить форму:
- Рабочий процесс — выбрать процесс (заполняется автоматически)
- Сервис — обязательно выбрать нужный сервис для гранулярных полномочий
- Пользователь или Группа — выбрать получателя полномочий
- Сохранить
Примечание: Если поле Сервис оставить пустым, будут предоставлены полномочия на весь рабочий процесс.
Шаг 3: Проверка доступа
После настройки полномочий:
- Пользователь увидит в списке доступных рабочих процессов только те, к которым у него есть доступ
- При открытии рабочего процесса будут отображены только заявки разрешенных сервисов
- При создании заявки в поле Сервис будут доступны только разрешенные сервисы
Отображение полномочий в интерфейсе
В списке полномочий рабочего процесса гранулярные права отображаются с указанием сервиса:
Петров Иван Иванович
Сервис: Hardware Support
Группа: Software Team
Сервис: Software Support
Сидорова Мария
(Полномочия на весь процесс)
Обратная совместимость
Система полностью совместима с существующими полномочиями:
- Старые полномочия без указания сервиса продолжают работать как доступ ко всему процессу
- Старые заявки без привязки к сервису:
- Видны пользователям с полномочиями на весь процесс
- Не видны пользователям с гранулярными полномочиями на отдельные сервисы
- Владельцы процессов сохраняют полный доступ независимо от наличия сервисов
Ограничения и рекомендации
Ограничения
- Гранулярные полномочия работают только с заявками, у которых указан сервис
- Нельзя выдать полномочия на сервис, не привязанный к рабочему процессу
- Пользователь с гранулярными полномочиями не увидит заявки без сервиса
Рекомендации
Миграция существующих процессов:
- При внедрении гранулярных полномочий в существующий процесс рекомендуется сначала привязать все старые заявки к соответствующим сервисам
- Или выдать всем пользователям полномочия на весь процесс, а затем постепенно переводить на гранулярные
Проектирование структуры:
- Тщательно спроектируйте структуру сервисов перед началом работы
- Избегайте создания слишком большого количества мелких сервисов
- Используйте иерархию сервисов (поле
parent) для организации сложных структур
Комбинирование подходов:
- Можно выдать пользователю полномочия на несколько сервисов одновременно
- Можно комбинировать индивидуальные полномочия и групповые
- Можно иметь пользователей с полным доступом к процессу и пользователей с гранулярным доступом
См. также: Полномочия | Каталог услуг | Рабочий процесс | Заявка