Группы доступа КЭДО

Группа — это множество пользователей, объединенных по определенному признаку.
В решении КЭДО 3.0 группы объединяют пользователей согласно их кадровой роли в подразделении и создаются автоматически. Состав таких групп поддерживается в актуальном состоянии также автоматически с помощью бизнес-процессов.
Сгенерированные группы из-за характера использования называются группами доступа. Такие группы используются для разграничения доступов к приложениям и их элементам (документам, заявкам) с учётом подразделения сотрудника-инициатора кадрового события.

Создание и актуализация групп доступа
Для каждой кадровой роли создаются и актуализируются группы доступа на каждое подразделение. В группу попадают пользователи, извлеченные из сотрудников, имеющих должность, указанную у подразделения как:

• Подписанты

Определяются по штатному расписанию. Это должностные лица компании, уполномоченные подписывать кадровые документы. Они имеют права на просмотр кадровых документов и их подписание от лица работодателя.

• Отдел кадров

Определяются по штатному расписанию или управленческой структуре. Эти пользователи имеют права на добавление новых сотрудников и приглашение их на Портал КЭДО, могут запускать кадровые процессы на других сотрудников и просматривать документы.

• Бухгалтерия

Определяются по штатному расписанию или управленческой структуре. Эти пользователи имеют доступы к заявкам и документам, позволяющим им участвовать в кадровых процессах, связанных с обработкой денежных средств: расчет и начисление отпускных, командировочных, формирование расчётных листов и т.д.

• Офис-менеджеры

Определяются по штатному расписанию или управленческой структуре. У этих пользователей есть доступы к документам и заявкам, связанным с их участием в процессе оформления командировок: бронирование гостиниц, покупка билетов и т.д.

• Наблюдатели КЭДО

Определяются по штатному расписанию или управленческой структуре. Эта группа включает пользователей, которые не участвуют в кадровых процессах напрямую, но могут просматривать кадровые документы и их статусы.

• Руководители

Определяются по штатному расписанию или управленческой структуре. Эта группа состоит из сотрудников, руководящих подразделениями компании и имеющих права на просмотр и согласование заявок своих подчинённых.

• Сотрудники

В эту группу входят все сотрудники компании. Они могут инициировать кадровые процессы в отношении себя и просматривать связанные документы.

Чтобы учесть древовидную взаимосвязь подразделений, группы доступа имеют вложенность: группа доступа родительского подразделения входит в состав участников группы дочернего подразделения по аналогичной роли. Таким образом, пользователи сотрудников в вышестоящем подразделении будут участниками группы нижестоящих, что может использоваться для наследования прав.
Процессы, которые создают и актуализируют группы доступа в системе называются "Обработка подразделения ШР. Формирование уровней структуры и создание групп доступа" для штатного расписания и "Обработка подразделения УС. Формирование уровней структуры и создание групп доступа" для управленческой структуры.
ID созданных групп доступа записываются в одноименные поля в подразделениях.

Помимо групп доступа по каждому подразделению, процесс дополнительно создаёт по каждому юридическому лицу (подразделению без родительского подразделения) группу доступа, в которую включает все группы дочерних подразделений.
Также в решении КЭДО существуют общие преднастроенные группы доступа для абсолютно всех сотрудников, созданные по ролям. В такие группы включаются все группы подразделений по соответствующей роли (все сотрудники отдела кадров, все бухгалтеры и т.д.)

Процессы актуализации групп доступа должны запускаться в случае любых изменений в подразделениях, сотрудниках и должностях соответственно по штатному расписанию и управленческой структуре. В "коробочном" решении КЭДО эти процессы запускаются:

• как связанный с экземпляром приложения процесс при создании подразделения
• как процесс запускающийся после сохранения изменений в подразделении
• как подпроцесс в процессе обработки изменений в сотруднике
• как подпроцесс в процессе обработки изменений в должности

Использование групп доступа
Для разграничения доступа к приложениям и их элементам (документам, заявкам) нужно выполнить три условия:
1.Для работы процесса присвоения групп доступа в приложении должны быть поля:

• поле staff или staffs с типом приложение сотрудник из раздела КЭДО 3.0
• поля с типом роль для каждой кадровой роли по управленческой структуре и штатному расписанию:

Коды этих свойств должны строго соответствовать используемым в "коробочных" приложениях.

2.Для каждого созданного приложения, до которого требуется разграничить доступ, нужно вызвать процесс "(s) Группы: Присвоение групп доступа и выдача прав субъекту" с указанием приложения в поле Объект или Объекты.

Данный процесс извлекает сотрудника из поля с кодом staff (или staffs, если их несколько), по этому сотруднику определяет подразделение, у подразделения по сохранённым ID определяются группы и записываются в соответствующие поле типа Роль в приложении. Для определения групп доступа по управленческой структуре поиск осуществляется по должностям управленческой структуры физлица сотрудника. Дополнительно процесс выдаёт права на чтение переданного объекта пользователю сотрудника (сотрудников).
3.Настроить доступ к приложению через стандартные настройки доступа. В настройках нужно указать использование ограничения доступа к данным на уровне приложения. Для выдачи прав определённой роли нужно добавить новую строку в таблицу, в качестве объекта для назначения прав выбрать свойство приложения с типом Роль.

После создания приложения, в котором уже заполнено поле Сотрудник (или Сотрудники), процесс присвоения групп присвоит в каждое поле типа Роль соответствующую группу доступа из подразделения сотрудника. Настройками доступа можно отрегулировать доступность этого приложения для каждой роли отдельно. Таким образом обеспечивается раздельный доступ приложениям и их элементам (документам, заявкам) отдельно для каждого подразделения.

Администрирование
Служебные процессы для управления группами доступа можно запустить в разделе КЭДО 3.0 на странице Главная на вкладке Администрирование КЭДО.

В случае перехода со старой версии решения на новую 25.10 и после запуска процесса первичной настройки однократно требуется актуализировать группы доступа и только после этого запускать дальнейшие процессы.