InspectoБаза знаний
ОрганизацияРоли и доступы

FAQ по ролям

Часто задаваемые вопросы о системе ролей и доступов

Можно ли иметь несколько ролей одновременно?

Да, пользователь может иметь несколько ролей. Например:

  • organization.member (для доступа к организации) + project.owner (для управления проектом);
  • project.member на проекте А + template.inspector на проекте Б.

Права суммируются — пользователь получает максимально широкие возможности из всех своих ролей.

Как работает иерархия ролей?

Роли на более высоком уровне автоматически дают доступ к вложенным объектам:

  • project.owner на уровне организации — управление всеми проектами.
  • project.owner на уровне проекта — управление одним проектом.
  • template.owner на уровне проекта — управление всеми шаблонами проекта.
  • template.owner на уровне шаблона — управление одним шаблоном.

Что такое «базовые права пользователя»?

Каждый авторизованный пользователь автоматически может:

  • Редактировать свой профиль
  • Создавать организации
  • Работать со своими задачами и инцидентами, где он исполнитель

Для доступа к конкретной организации нужна хотя бы роль organization.member.

Кто может назначать роли?

  • Владелец организации — может назначать любые роли в организации.
  • Редактор организации — может назначать роли пользователям.
  • Владелец проекта — может назначать роли в рамках проекта.
  • Владелец шаблона — может назначать редакторов и инспекторов шаблона.
  • Владелец справочника — может назначать роли для справочника.

Можно ли забрать роль у пользователя?

Да, пользователь с правами управления ролями может удалить роль у другого пользователя. Например:

  • Владелец организации — любую роль.
  • Владелец проекта — роли в рамках проекта.

Что означает «роль на уровне организации»?

Это означает, что роль применяется ко всем объектам в организации. Например:

  • project.member на уровне организации — доступ ко всем проектам организации.
  • project.member на конкретный проект — доступ только к этому проекту.

Можно ли работать без ролей?

Нет. Для доступа к организации нужна хотя бы роль organization.member. Без неё пользователь не увидит организацию, даже если его пригласили.

Что такое «группы» и как они связаны с ролями?

Группы — это наборы пользователей. Можно назначить роль не отдельному пользователю, а целой группе — все участники автоматически получат эти права. Пример:

Создать группу «Бригада №1».

Добавить в неё всех рабочих.

Назначить группе роль project.member на проект «Строительство дома».

Все рабочие из группы получат доступ к проекту.

Подробнее: Группы пользователей.

Почему «читатель проекта» может создавать задачи?

Это сделано специально для сценария, когда внешний наблюдатель (например, заказчик) хочет сообщить о проблеме. Он не может редактировать проект, но может создать задачу или инцидент, который увидят участники команды.

Как понять, какие роли нужны новому сотруднику?

Ответьте на эти вопросы по порядку:

  1. Должен ли он видеть организацию? → organization.member (минимум).
  2. Должен ли он управлять проектами? → project.owner или organization.editor.
  3. Должен ли он только работать в проекте? → project.member.
  4. Должен ли он проводить проверки? → template.inspector.
  5. Должен ли он создавать шаблоны? → template.owner или template.editor.
  6. Должен ли он работать со справочниками? → entity.owner / editor / viewer.

Начните с минимальных прав и добавляйте по мере необходимости.

Практические примеры

Готовые сценарии настройки ролей для типовых команд

Рекомендации по безопасности

Принцип минимальных привилегий, аудит и разделение обязанностей

On this page

Можно ли иметь несколько ролей одновременно?Как работает иерархия ролей?Что такое «базовые права пользователя»?Кто может назначать роли?Можно ли забрать роль у пользователя?Что означает «роль на уровне организации»?Можно ли работать без ролей?Что такое «группы» и как они связаны с ролями?Почему «читатель проекта» может создавать задачи?Как понять, какие роли нужны новому сотруднику?