Структура ролей
В SimpleOne роли делятся на три абстрактных уровня, в зависимости от их ежедневных обязанностей и полномочий. Уровни ролей отсортированы в порядке возрастания:
В зависимости от бизнес-задач и требований, вы можете использовать стандартные системные роли или создать новую роль. Чтобы настроить полномочия и обязанности роли, создайте правила контроля доступа (ACL).
Пользователь может получить роль разными способами. Подробнее читайте в статье Наследование ролей.
Конечные пользователи
Конечные пользователи не имеют определенной роли в системе. Они могут заводить заявки через сервисный портал, отслеживать их, добавлять комментарии и читать опубликованные статьи и записи известных ошибок. Но конечные пользователи не могут пользоваться агентским интерфейсом и выполнять какие-либо действия. Для этого необходимы определенные роли.
Пользователи без ролей, такие как конечные пользователи, не имеют доступа к какому-либо интерфейсу, кроме сервисного портала. Если такие пользователи попробуют пройти по ссылке, которая ведет на агентский интерфейс, они будут перенаправлены, например, на главную страницу сервисного портала.
Пользователь с ролью user может авторизоваться в агентском интерфейсе, но не может работать над задачами. Эта операция доступна сотрудникам с ролями ITSM, admin или специальными административными ролями.
Подробнее о том, как дать роль пользователю, читайте в статье Пользователи.
Агенты
Агенты – это сотрудники, которые выполняют ежедневные задачи в системе. Например, обрабатывают инциденты, запросы на изменения или настраивают CMDB. Агентам необходима одна или несколько ролей, чтобы выполнять свои обязанности.
В SimpleOne существуют следующие агентские роли:
Роли для сервисных инструментов
| Роль | Описание |
|---|---|
| catalog_manager | Менеджеры каталога могут создавать, редактировать и удалять записи, связанные с Каталогом моделей запросов, за который они ответственны. |
| cmdb_agent | Агенты CMDB могут просматривать записи конфигурационных единиц (КЕ) и редактировать их, если они являются владельцами этих КЕ или членами ответственной группы. Роль содержит в себе роль cmdb_read. |
| cmdb_manager | Менеджеры CMDB могут создавать, редактировать и удалять записи КЕ. Роль содержит в себе роль cmdb_read. |
| cmdb_read | Читатели CMDB могут только просматривать записи классов, атрибутов, моделей и КЕ. |
| model_manager | Менеджеры моделей могут создавать, редактировать и удалять записи моделей КЕ. Они также могут выбирать классы при создании новых моделей КЕ. Роль содержит в себе роль cmdb_read. |
| service_catalog_manager | Менеджеры каталога услуг могут редактировать записи статей, связанных с услугами. |
| service_level_manager | Менеджеры по управлению уровнем услуг могут редактировать записи, связанные с SLM. |
| service_owner | Владельцы услуг могут менять статус любой статьи, связанной с услугой, которой они владеют. |
| service_portfolio_manager | Менеджер портфеля услуг может создавать и редактировать записи услуг и поставщиков услуг. |
| product_manager | Менеджер продуктов имеет доступ к созданию, чтению, редактированию и удалению записей продуктов. |
| product_agent | Продуктовый агент имеет доступ к редактированию продуктов, для которых указан как Владелец продукта. |
| cost_center_agent | Агент ЦФО может просматривать записи центров финансовой ответственности. |
| process_manager | Менеджер процессов имеет доступ к созданию, чтению, редактированию и удалению записей процессов. Роль содержит в себе cmdb_read. |
| cost_center_manager | Менеджер ЦФО может создавать, просматривать и редактировать записи центров финансовой ответственности. Роль cost_center_agent включена в эту роль. |
| fiscal_period_agent | Фискальный агент может просматривать записи фискальных периодов. |
| fiscal_period_manager | Фискальный менеджер может создавать, просматривать и редактировать записи фискальных периодов. Роль fiscal_period_agent включена в эту роль. |
| demand_agent | Агент потребностей может просматривать записи потребностей и задач потребностей. Роли cost_center_agent и fiscal_period_agent включены в эту роль. |
| demand_manager | Менеджер потребностей может создавать, просматривать и редактировать записи потребностей и задач потребностей. Роль demand_agent включена в эту роль. |
| purchase_agent | Агент закупок может просматривать записи заказов на закупки и задач заказов на закупки. Роли demand_agent, cost_center_agent и fiscal_period_agent включены в эту роль. |
| purchase_manager | Менеджер закупок может создавать, просматривать и редактировать записи заказов на закупки и задач заказов на закупки. Роль purchase_agent включена в эту роль. |
| budget_agent | Бюджетный агент может просматривать записи раздела Бюджеты, за исключением фактических строк затрат. Роли cost_center_agent, fiscal_period_agent и cmdb_read включены в эту роль. |
| budget_manager | Бюджетный менеджер может создавать, просматривать и редактировать записи раздела Бюджеты, за исключением фактических строк затрат. Роль budget_agent включена в эту роль. |
| finance_agent | Финансовый агент может просматривать фактические строки затрат. Роли budget_agent и purchase_agent включены в эту роль. |
| finance_manager | Финансовый менеджер может создавать, просматривать и редактировать фактические строки затрат. Роль finance_agent включена в эту роль. |
Администраторы
Роли администраторов могут быть разделены на две группы:
- Роли администраторов.
- Специальные роли администраторов.
Административные роли
Специалисты с административными ролями имеют доступ ко всем функциям и данным системы и проходят все проверки безопасности.
Две основные административные роли:
| Роль | Описание |
|---|---|
| admin | Роль администратора системы. Пользователи с данной ролью обладают правами и могут использовать почти все функции системы (кроме назначения ролей, работы с правилами контроля доступа и критериями пользователей). Администраторы обладают доступом ко всем данным, недоступным обычным пользователям. |
| security_admin | Администраторы безопасности могут менять правила контроля доступа и доступ к высокозащищенным объектам и операциям. Сессия в роли security_admin длится 1 час. После этого вам нужно повысить роль еще раз. |
Когда при отладке скриптов возникает исключение или происходит любая другая системная ошибка, только пользователи с ролью admin могут увидеть сообщение об ошибке.
Специальные административные роли
Специальные администраторские роли назначаются с особенными администраторскими правами без полного доступа роли администратора. Например, администратор уведомлений может создавать правила уведомлений, но не правила назначения.
В SimpleOne существует следующие специальные администраторские роли:
| Роль | Описание |
|---|---|
| announcement_manager | Менеджеры объявлений могут создавать, редактировать, удалять и публиковать объявления. |
| approval_admin | Администраторы согласований могут редактировать записи согласований. |
| catalog_admin | Администраторы каталогов могут создавать, редактировать и удалять записи, связанные с модулем Каталог моделей запросов. |
| cmdb_admin | Администраторы CMDB могут создавать, редактировать или удалять записи КЕ, классов, моделей и их атрибутов. |
| delegation_admin | Администраторы делегирования могут создавать, обновлять и удалять записи делегирования. Они могут обновлять только доступные поля в форме правила делегирования. |
| import_admin | Администраторы импорта могут управлять всеми аспектами импорта. |
| impersonator | Имперсонаторы могут взаимодействовать с системой от лица других пользователей. Роль не позволяет имперсонироваться под пользователями с ролью admin. Только администраторы системы могут имперсонироваться под пользователями с этой ролью. |
| knowledge_admin | Администраторы знаний могут создавать и редактировать записи, связанные с базой знаний. Пользователи не могут редактировать записи статей в статусе Опубликовано – доступен только просмотр. Эта роль содержит в себе роль knowledge_agent. |
| knowledge_agent | Агенты знаний могут редактировать записи, связанные с базой знаний в следующих случаях:
|
| notification_admin | Администраторы уведомлений могут создавать и редактировать правила уведомлений. |
| queue_admin | Администраторы очередей могут создавать, редактировать и удалять записи модуля Внешние очереди. |
| sso_admin | Администраторы SSO могут просматривать, создавать, редактировать и удалять записи таблиц Соединения OIDC (oidc_setting) и Настройка SAML2 (sys_saml2_connection), а также просматривать и удалять записи таблицы Сертификаты IdP (idp_certificate). |
| user_manager | Менеджеры пользователей могут создавать, редактировать и удалять записи в таблицах Пользователи (user) и Сотрудники (employee), а также добавлять пользователей в группы. |
| wf_admin | Администраторы рабочих процессов могут создавать и редактировать рабочие процессы в редакторе. |
| wtm_admin | Администраторы управления трудозатратами могут создавать, редактировать и удалять записи в приложении Управление работой и временем. Пользователи с ролью admin имеют такой же доступ. |
Роли в приложениях SimpleOne
В следующих статьях вы найдете состав ролей всех приложений SimpleOne, а также описание их функциональности: