Efektívne práva
Jak bylo řečeno v předchozích kapitolách, pro každého uživatele se nastavují práva k funkcím, práva k objektům a privilegia, přičemž je možné tato nastavovat jednak přímo pro konkrétní roli anebo pro skupinu rolí. Každé právo může nabývat několika hodnot, přičemž výsledná hodnota práva daného uživatele, která určuje, zda bude či nebude moci danou akci provést či daný objekt zobrazit či použít jsou pak dána vyhodnocením kombinace hodnot práv nastavených pro jemu přidělené role a hodnot práv nastavených pro skupiny rolí, do nichž jsou role, přidělené uživateli, zařazeny. Jedná se o tzv. efektivní práva a privilegia, která se vyhodnocují při každém spuštění systému a přihlášení uživatele do systému. Podle výsledné hodnoty efektivního práva resp. privilegia je uživateli buď povoleno nebo nepovoleno danou akci/funkci provést resp. daný objekt použít/zobrazit.
Spôsoby, ako konkrétne sa dajú nastavovať hodnoty jednotlivých práv užívateľa, sú uvedené v kap. Roly - záložka Práva k objektom a Roly - záložka Práva k funkciám. Stejný postup platí i pro nastavování práv pro Skupiny rolí.
V tejto kapitole nájdete výklad nasledujúcich tém:
Kombinace práv role a skupin rolí - Efektivní práva k funkcím a objektům
Jak bylo řečeno výše, práva k funkcím a práva k objektům se uživateli přidělí přidělením role, u níž jsou tato práva adekvátně nastavena, přičemž uživatel může mít přiděleno i více rolí. Pre každú rolu sú nejako nastavené prístupové práva k objektom a funkciám, príp. privilégia (viď ďalej). Okrem toho je možné pre jednoduchšiu administráciu práv mať roly zaradené do skupín a prístupové práva k objektom a k funkciám príp. privilégia potom nastavovať naraz pre celú skupinu. Pre daného užívateľa teda treba po prihlásení podľa jemu priradených rolí resp. skupín rolí vyhodnotiť, k čomu má a nemá prístupové práva:
Efektívne práva roly a Efektívne práva užívateľa
Najskôr sa vyhodnotia výsledné práva roly s ohľadom na práva skupín, v ktorých je zaradená a potom sa vyhodnotia výsledné práva užívateľa s ohľadom na všetky jemu pridelené roly. Pritom platí:
- Výsledné práva danej roly, sú dané vyhodnotením kombinácie práv nastavených pre danú rolu a práv nastavených pre skupiny rolí, do ktorých je daná rola zaradená. Tieto práva, ktoré vznikli ako výsledok kombinácie práv pridelených rolí a práv skupín, v ktorých je rola zaradená, sa nazývajú Efektívne práva roly.
- Výsledné práva daného užívateľa, ktoré sa pre neho budú uplatňovať, sú potom dané vyhodnotením kombinácie efektívnych práv rolí jemu pridelených, tzn. vyhodnotením kombinácie práv nastavených pre jemu pridelené roly a práv nastavených pre skupiny rolí, do ktorých sú roly, pridelené užívateľovi, zaradené. Tieto práva, ktoré vznikli ako výsledok kombinácie práv pridelených rolí a práv skupín, v ktorých je rola zaradená, sa nazývajú Efektívne práva užívateľa.
Možnosti zobrazenia efektívnych práv roly a efektívnych práv užívateľa
Efektivní práva role
Efektivní práva role si lze zobrazit, příp. vytisknout, např. pro provedení kontroly správnosti nastavení:
- pomocou funkcie Náhľad v agende Roly v záložke Práva k objektom
- pomocou funkcie Náhľad v agende Roly v záložke Práva k funkciám
Efektivní práva uživatele
Efektivní práva uživatele si lze zobrazit, příp. vytisknout, např. pro provedení kontroly správnosti nastavení:
- pomocou funkcie Náhľad práv v agende Užívateľov
v ľubovoľnej inej agende z menu Nápoveda voľbou Zobraziť prístupové práva (ponúkne zobrazenie efektívnych práv a privilégií aktuálne prihláseného užívateľa):
Príklad vyvolaného menu Nápoveda
Ako sa získajú efektívne práva roly a efektívne práva užívateľa
Efektivní práva role
Efektivní práva role se získají následovně:
- Najskôr sa vyhodnotí výsledné právo za všetky skupiny, do ktorých je daná rola zaradená. Pritom platí:
- Povolení přebíjí Bez určení
- Zákaz přebíjí Povolení
- Potom sa vyhodnotí kombinácia výsledného práva za všetky skupiny s právami nastavenými pre rolu. Pritom platí:
- Práva role přebíjí výsledná práva skupin
Z toho plynie:
- pokud není přístup nastaven ani na skupině ani na roli, platí zakázáno
- pokud není na roli přístup nastaven a některá skupina přístup povoluje a ostatní nemají přístup nastaven, platí povoleno
- pokud není na roli přístup nastaven a některá skupina přístup zakazuje, platí zakázáno
- pokud je přístup nastaven přímo na roli, má vyšší prioritu než přístup vyplývající ze skupin
Inými slovami: Efektívne právo roly k danej funkcii, resp. zobrazeniu alebo použitiu objektu je v podstate rovné právu nastavenému pri role, iba ak je dané právo pri role bez určenia, použije sa výsledné právo za skupiny. Ak je aj toto bez určenia, je výsledkom Zakázané.
Túto vlastnosť môžete s výhodou využiť na jednoduché nastavenie práv skupine rolí, ktoré majú skoro všetky práva rovnaké s malými výnimkami: napr. je možné v skupine mať právo povolené, ale pri vybranej role ho zakázať. Alebo je možné toto právo v skupine nedefinovať a iba pri vybraných rolách ho povoliť a pod.
Efektivní práva uživatele
Efektivní práva uživatele se získají následovně:
Každý užívateľ má priradenú jednu alebo viac rolí, z ktorých mu vyplývajú efektívne prístupové práva podľa pravidiel:
- Zákaz přebíjí Bez určení
- Povolení přebíjí Zákaz
Z toho plynie:
- pokud některá role přístup povoluje, platí povoleno
- pokud všechny role přístup zakazují, platí zakázáno
Je to odlišné chovanie ako v prípade výpočtu efektívnych práv rolí, ale musí tomu tak byť, aby užívateľ, ktorý má priradených viac rolí, mal dostatok práv, aby mohol všetky tieto roly plniť.
Uživatel s rolí obchodník nemůže měnit příznak auditu v účetním deníku, avšak pokud např. dočasně po dobu nemoci účetního získá roli účetní, musí mít k auditaci přístup.
Celé objasníme na príklade:
Majme nadefinované dve skupiny S1 a S2 a rolu R, ktorá je zaradená v oboch skupinách. Ďalej majme právo P, ktoré v jednotlivých variantoch je nastavené rôzne pre obe skupiny a rolu. Výsledné efektívne právo pre danú rolu R1 v závislosti na kombinácii hodnôt nastavených pre ňu a pre skupiny ukazuje stĺpec efektívne právo roly R1 v nasledujúcej tabuľke.
Ďalej majme užívateľa U, ktorému sú pridelené rola R1 a rola R2, ktorá nie je zaradená už v žiadnej skupine a v ktorej právo P nadobúda rôzne hodnoty, viď tabuľka. Výsledné efektívne právo užívateľa U (tzn. či k danému objektu alebo funkcii nakoniec bude alebo nebude mať prístup) v závislosti na kombinácii hodnôt nastavených pre skupiny a roly ukazuje nasledujúca tabuľka (pomlčka znamená "Bez určenia"):
| S1 | S2 | Výsl.právo skupín | R1 | Efektívne právo roly R1 | R2 | Efektívne právo užívateľa | |
|---|---|---|---|---|---|---|---|
| Variant 1 | - | - | ⇒ Zakázané  |
- | ⇒Zakázané |
- | ⇒Zakázané |
| Variant 2 | - | - | ⇒ Zakázané |
|
⇒Zakázané |
- | ⇒Zakázané |
| Variant 3 | - | - | ⇒ Zakázané |
|
⇒Povolené  |
- | ⇒Povolené |
| Variant 4 | - |
|
⇒ Zakázané |
- | ⇒Zakázané |
|
⇒Zakázané |
| Variant 5 |
|
- | ⇒ Zakázané |
|
⇒Zakázané |
|
⇒Zakázané |
| Variant 6 | - |
|
⇒ Zakázané |
|
⇒Povolené |
|
⇒Povolené |
| Variant 7 | - |
|
⇒ Povolené |
- | ⇒Povolené |
|
⇒Povolené |
| Variant 8 |
|
- | ⇒ Povolené |
|
⇒Zakázané |
|
⇒Povolené |
| Variant 9 | - |
|
⇒ Povolené |
|
⇒Povolené |
|
⇒Povolené |
| Variant10 |
|
|
⇒ Zakázané |
- | ⇒Zakázané |
----- dtto ----- | |
| Variant11 |
|
|
⇒ Zakázané |
|
⇒Zakázané |
||
| Variant12 |
|
|
⇒ Zakázané |
|
⇒Povolené |
||
| Variant13 |
|
|
⇒ Povolené |
- | ⇒Povolené |
||
| Variant14 |
|
|
⇒ Povolené |
|
⇒Zakázané |
||
| Variant15 |
|
|
⇒ Povolené |
|
⇒Povolené |
||
| Variant16 |
|
|
⇒ Zakázané |
- | ⇒Zakázané |
||
| Variant17 |
|
|
⇒ Zakázané |
|
⇒Zakázané |
||
| Variant18 |
|
|
⇒ Zakázané |
|
⇒Povolené |
||
Kombinace privilegií rolí a skupin rolí - Efektivní privilegia
Ako bolo povedané vyššie, privilégia sa užívateľovi pridelia pridelením roly, pričom užívateľ môže mať pridelených aj viac rolí. Pre každú rolu sú nejako nastavené privilégia. Okrem toho je možné pre jednoduchšiu administráciu práv mať roly zaradené do skupín a privilégia potom nastavovať naraz pre celú skupinu. Pre daného užívateľa teda treba po prihlásení podľa jemu priradených rolí resp. skupín rolí vyhodnotiť, k čomu má a nemá privilégia:
Efektívne privilégia roly a Efektívne privilégia užívateľa
Najskôr sa vyhodnotia výsledné práva roly s ohľadom na práva skupín, v ktorých je zaradená a potom sa vyhodnotia výsledné práva užívateľa s ohľadom na všetky jemu pridelené roly. Pritom platí:
- Výsledné priradenie privilégií pre danú rolu, je dané vyhodnotením kombinácie priradení privilégií pri role a priradení privilégií nastavených pre skupiny rolí, do ktorých je daná rola zaradená. Toto priradenie privilégií, ktoré vzniklo ako výsledok kombinácie priradení privilégií pri role a skupinách, v ktorých je rola zaradená, sa nazýva Efektívne privilégia roly.
- Výsledné priradenie privilégií pre daného užívateľa, ktoré sa pre neho bude uplatňovať, je potom dané vyhodnotením kombinácie efektívnych privilégií rolí jemu pridelených, tzn. je dané vyhodnotením kombinácie priradení privilégií pri rolách jemu pridelených a priradení privilégií nastavených pre skupiny rolí, do ktorých sú roly, pridelené užívateľovi, zaradené. Toto výsledné priradenie privilégií, ktoré vzniklo ako výsledok kombinácie priradení privilégií pridelených rolí a skupín, v ktorých sú dané roly zaradené, sa nazýva Efektívne privilégia užívateľa.
Možnosti zobrazenia efektívnych privilégií roly a efektívnych privilégií užívateľa
Efektivní privilegia role
Efektivní privilegia role si lze zobrazit, příp. vytisknout, např. pro provedení kontroly správnosti nastavení:
- pomocou funkcie Náhľad v agende Roly v záložke Privilégia
Efektivní privilegia uživatele
Efektivní privilegia uživatele si lze zobrazit, příp. vytisknout, např. pro provedení kontroly správnosti nastavení:
- pomocou funkcie Náhľad práv v agende Užívateľov
-
z ľubovoľnej inej agendy z menu Nápoveda voľbou Zobraziť prístupové práva (ponúkne zobrazenie efektívnych práv a privilégií aktuálne prihláseného užívateľa):
Príklad vyvolaného menu Nápoveda
Ako sa získajú efektívne privilégia roly a efektívne privilégia užívateľa
Efektivní privilegia role
Efektivní privilegia role se získají následovně:
Privilégium roly MÁ vtedy, pokiaľ ho má začiarknuté buď sama pri sebe alebo pri niektorej zo skupín, do ktorých je zaradená. V opačnom prípade rola dané privilégium NEMÁ.
Efektivní privilegia uživatele
Efektivní privilegia uživatele se získají následovně:
Privilégium užívateľ MÁ vtedy, pokiaľ ho má začiarknuté buď v nastavení niektorej svojej roly alebo pri niektorej zo skupín, do ktorých sú jeho roly zaradené. V opačnom prípade privilégium NEMÁ - tzn. nemá ho začiarknuté ani v nastavení žiadnej svojej roly ani v nastavení svojich skupín.
Pozor, pri privilégiách sa nenastavujú hodnoty Povolené/Zakázané a teda sa neuplatňuje pravidlo, že Zakázané prebíja Povolené, a neplatí ani to, že nastavenie pri role prebíja nastavenie pri skupinách ako pri právach. Privilégium užívateľ buď MÁ alebo NEMÁ. Viď nasledujúci príklad.
Majme nadefinovanú skupinu S1, rolu R, ktorá je zaradená v skupine, a užívateľa U, ktorému je pridelená rola R. Ďalej majme privilégium, ktoré variantne pre danú skupinu a rolu je alebo nie je začiarknuté. Výslednú hodnotu priradenia privilégia pre užívateľa U ukazuje nasledujúca tabuľka:
| S1 | R | Privilégium: | |
|---|---|---|---|
| Variant 1 |
|
|
Nemá |
| Variant 2 |
|
|
Má |
| Variant 3 |
|
|
Má |
| Variant 4 |
|
|
Má |
Možno teda riešiť situáciu, kedy celá skupina rolí má mať nejaké privilégia (teda sú nastavené pri skupine) a jedna z týchto rolí má ešte nejaké privilégium navyše (nastavené pri role). Nelze ale nastavením privilegií pro skupiny řešit opačnou situaci, kdy celá skupina má mít nějaká privilegia a jedna z rolí by některé z těchto privilegií mít neměla.