Группы доступа КЭДО

Группа — это множество пользователей, объединенных по определенному признаку.
В решении КЭДО 3.0 группы объединяют пользователей согласно их кадровой роли в подразделении и создаются автоматически. Состав таких групп поддерживается в актуальном состоянии также автоматически с помощью бизнес-процессов.
Сгенерированные группы из-за характера использования называются группами доступа. Такие группы используются для разграничения доступов к приложениям и их элементам (документам, заявкам) с учётом подразделения сотрудника-инициатора кадрового события.

Создание и актуализация групп доступа
Для каждой кадровой роли создаются и актуализируются группы доступа на каждое подразделение. В группу попадают пользователи, извлеченные из сотрудников, имеющих должность, указанную у подразделения как:

• Подписанты

Определяются по штатному расписанию. Это должностные лица компании, уполномоченные подписывать кадровые документы. Они имеют права на просмотр кадровых документов и их подписание от лица работодателя.

• Отдел кадров

Определяются по штатному расписанию или управленческой структуре. Эти пользователи имеют права на добавление новых сотрудников и приглашение их на Портал КЭДО, могут запускать кадровые процессы на других сотрудников и просматривать документы.

• Бухгалтерия

Определяются по штатному расписанию или управленческой структуре. Эти пользователи имеют доступы к заявкам и документам, позволяющим им участвовать в кадровых процессах, связанных с обработкой денежных средств: расчет и начисление отпускных, командировочных, формирование расчётных листов и т.д.

• Офис-менеджеры

Определяются по штатному расписанию или управленческой структуре. У этих пользователей есть доступы к документам и заявкам, связанным с их участием в процессе оформления командировок: бронирование гостиниц, покупка билетов и т.д.

• Наблюдатели КЭДО

Определяются по штатному расписанию или управленческой структуре. Эта группа включает пользователей, которые не участвуют в кадровых процессах напрямую, но могут просматривать кадровые документы и их статусы.

• Руководители

Определяются по штатному расписанию или управленческой структуре. Эта группа состоит из сотрудников, руководящих подразделениями компании и имеющих права на просмотр и согласование заявок своих подчинённых.

• Сотрудники

В эту группу входят все сотрудники компании. Они могут инициировать кадровые процессы в отношении себя и просматривать связанные документы.
Также в системе существует отдельная локальная группа “Администраторы КЭДО”. Участники этой группы получают сообщения об эскалации по ошибкам (поиск ответственных, генерация XML и т.п.) в решении КЭДО. Эта группа по умолчанию находится в числе администраторах разделов: “КЭДО 3.0”, “УРВ”, “Интеграция 1С”, имеет доступ ко всем приложениям и элементам приложений в этих разделах. При установке системы в первый раз необходимо вручную заполнить группы администраторов каждого из разделов, выбрав “Администрирование раздела”, а в поле “Доступ к настройкам раздела” указать группу “Администраторы КЭДО”. При последующих обновлениях выбранные группы сохраняются, указывать их вручную не нужно. Если группа останется незаполненной, все эскалации будут уходить на супервизора системы.
Чтобы учесть древовидную взаимосвязь подразделений, группы доступа имеют вложенность: группа доступа родительского подразделения входит в состав участников группы дочернего подразделения по аналогичной роли. Таким образом, пользователи сотрудников в вышестоящем подразделении будут участниками группы нижестоящих, что может использоваться для наследования прав.
Процессы, которые создают и актуализируют группы доступа в системе называются "Обработка подразделения ШР. Формирование уровней структуры и создание групп доступа" для штатного расписания и "Обработка подразделения УС. Формирование уровней структуры и создание групп доступа" для управленческой структуры.
ID созданных групп доступа записываются в одноименные поля в подразделениях.

Помимо групп доступа по каждому подразделению, процесс дополнительно создаёт по каждому юридическому лицу (подразделению без родительского подразделения) группу доступа, в которую включает все группы дочерних подразделений.
Также в решении КЭДО существуют общие преднастроенные группы доступа для абсолютно всех сотрудников, созданные по ролям. В такие группы включаются все группы подразделений по соответствующей роли (все сотрудники отдела кадров, все бухгалтеры и т.д.)
Также в системе существует отдельная локальная группа “Администраторы КЭДО”. Участники этой группы получают сообщения об эскалации по ошибкам (поиск ответственных, генерация XML и т.п.) в решении КЭДО. Эта группа по умолчанию находится в числе администраторах разделов: “КЭДО 3.0”, “УРВ”, “Интеграция 1С”, имеет доступ ко всем приложениям и элементам приложений в этих разделах. При установке системы в первый раз необходимо вручную заполнить группы администраторов каждого из разделов, выбрав “Администрирование раздела”, а в поле “Доступ к настройкам раздела” указать группу “Администраторы КЭДО”. При последующих обновлениях выбранные группы сохраняются, указывать их вручную не нужно. Если группа останется незаполненной, все эскалации будут уходить на супервизора системы.
Процессы актуализации групп доступа должны запускаться в случае любых изменений в подразделениях, сотрудниках и должностях соответственно по штатному расписанию и управленческой структуре. В "коробочном" решении КЭДО эти процессы запускаются:

• как связанный с экземпляром приложения процесс при создании подразделения
• как процесс, запускающийся после сохранения изменений в подразделении
• как подпроцесс в процессе обработки изменений в сотруднике
• как подпроцесс в процессе обработки изменений в должности

Использование групп доступа
Для разграничения доступа к приложениям и их элементам (документам, заявкам) нужно выполнить три условия:
1.Для работы процесса присвоения групп доступа в приложении должны быть поля:

• поле staff или staffs с типом приложение сотрудник из раздела КЭДО 3.0
• поля с типом роль для каждой кадровой роли по управленческой структуре и штатному расписанию:

Коды этих свойств должны строго соответствовать используемым в "коробочных" приложениях.

2.Для каждого созданного приложения, до которого требуется разграничить доступ, нужно вызвать процесс "(s) Группы: Присвоение групп доступа и выдача прав субъекту" с указанием приложения в поле Объект или Объекты.
Данный процесс извлекает сотрудника из поля с кодом staff (или staffs, если их несколько), по этому сотруднику определяет подразделение, у подразделения по сохранённым ID определяются группы и записываются в соответствующие поле типа Роль в приложении. Для определения групп доступа по управленческой структуре поиск осуществляется по должностям управленческой структуры физлица сотрудника. Дополнительно процесс выдаёт права на чтение переданного объекта пользователю сотрудника (сотрудников).
3.Настроить доступ к приложению через стандартные настройки доступа. В настройках нужно указать использование ограничения доступа к данным на уровне приложения. Для выдачи прав определённой роли нужно добавить новую строку в таблицу, в качестве объекта для назначения прав выбрать свойство приложения с типом Роль.
После создания приложения, в котором уже заполнено поле Сотрудник (или Сотрудники), процесс присвоения групп присвоит в каждое поле типа Роль соответствующую группу доступа из подразделения сотрудника. Настройками доступа можно отрегулировать доступность этого приложения для каждой роли отдельно. Таким образом обеспечивается раздельный доступ к приложениям и их элементам (документам, заявкам) отдельно для каждого подразделения.

Администрирование
Служебные процессы для управления группами доступа можно запустить в разделе КЭДО 3.0 на странице Главная на вкладке Администрирование КЭДО.
В случае перехода со старой версии решения на новую 25.10 и после запуска процесса первичной настройки однократно требуется актуализировать группы доступа и только после этого запускать дальнейшие процессы.

ВНИМАНИЕ!
Группы пользователей являются частью метаданных решения и потому они экспортируются в составе решения.
При этом группы связаны с подразделениями по id групп, поэтому группы не актуальны для любой другой системы, кроме той, с которой они были экспортированы.
Служебные группы пользователей нужно обязательно удалять перед экспортом решения, чтобы они не засоряли собой метаинформацию решения и группы решения в системе, куда осуществляется импорт.
Чтобы это сделать нужно использовать процесс "Группы: удалить все группы доступа", который можно запустить из:
Главная => Администрирование КЭДО => Удалить все группы доступа.
Нужно обязательно дождаться завершения этого процесса и только после этого экспортировать решение.