Права доступа к задачам¶
1. Общий принцип¶
Пользователь получает доступ на просмотр задачи, если соответствует хотя бы одному требованию:
- Доступ на категорию
- Доступ на задачу (по роли)
- Смарт-доступ
- Доступ через SQL-представление
- Акцептант активной подписи
- Заместитель сотрудника с одним из указанных прав
Исключение: конфиденциальные задачи — доступ имеют только подписчики, прочие уровни не учитываются.
2. Доступ на категорию¶
Права выдаются группе пользователей на уровне категории.
Если пользователь входит в несколько групп — права суммируются (учитываются все активные права).
Виды прав группы на категорию¶
Группе можно выдать на категорию следующие права:
| Право | Описание |
|---|---|
| Администратор задач/категории | Изменение любых параметров: заказчик, исполнитель, сроки, текст, подписи, статус вопреки маршруту. Право разрывать связи между задачами (если задачи в разных категориях — право нужно хотя бы в одной). Единственное право, открывающее кнопку «Удалить» в контекстном меню грида и карточки задачи |
| Просмотр всех задач | Видеть все задачи в категории |
| Создавать задачи | Создание объектов (пользователь выступает как Заказчик) |
| Исполнять | Принятие задач к исполнению |
| Редактировать исполнителей | Редактирование параметра «Исполнители» |
| Менять заказчика | Смена заказчика задачи |
| Переносить срок | Редактирование «Срок исполнения» |
| Добавлять и менять акцептантов | Добавление акцептантов к запрошенной подписи, делегирование |
| Пакетная обработка | Пакетные операции над задачами |
| Просмотр зашифрованных задач | Доступ к тексту и ДП в зашифрованных задачах (иначе — «текст задачи скрыт») |
| Видеть скрытую оценку исполнителей | Доступ к оценке при режиме «Закрытая оценка» |
| Запретить экспортировать в Excel | Запрет выгрузки данных по категории |
Где настраивается¶
Права на категорию назначаются в двух местах (двусторонняя навигация):
- Настройки категории → вкладка «Доступ» — назначение групп с правами
- Управление группами → вкладка «Права на категорию» — обратная навигация
3. Доступ на задачу (по роли)¶
Для отдельной задачи права определяются ролью пользователя в ней:
- Заказчик
- Исполнитель
- Подписчик
- Руководитель исполнителя
- Руководитель заказчика
Назначение ролей происходит в пользовательском интерфейсе задачи.
Ролевой доступ к задаче действует одинаково в представлениях категории «Таблица» и «Иерархия»: если у пользователя есть доступ хотя бы по одной роли, задача видна и в табличном, и в иерархическом представлении (даже без права «Просмотр всех задач»).
4. Доступ акцептанта¶
Акцептант получает право на просмотр задачи в период, когда подпись запрошена, но ещё не обработана (статус «На подписи»).
Два сценария после обработки подписи: - Настройка «Добавлять в подписчики акцептанта» включена → акцептант становится подписчиком, доступ сохраняется - Настройка выключена → акцептант теряет доступ после подписания/отклонения
5. Доступ заместителя¶
Заместитель получает доступ ко всем задачам принципала, за исключением:
- Конфиденциальных задач — заместитель НЕ получает доступ к конфиденциальным задачам принципала
- Категорий с ограничением в дополнительных настройках замещения (по умолчанию режим «Кроме категорий» — недоступны чаты и приватные задачи в категориях с конфиденциальностью/шифрованием)
- Зашифрованных задач, к которым у заместителя нет собственного доступа
- Чатов принципала, к которым у заместителя нет доступа
6. Смарт-доступ¶
Смарт-доступ предоставляет права на отдельные задачи в зависимости от условий, определённых смарт-выражением.
Смарт-выражение возвращает список пользователей, которым предоставляется доступ к задаче.
7. Доступ через SQL-представление¶
Администратор может настроить на уровне категории доступ через SQL-представление, которое возвращает пары «пользователь — задача»: каждая такая пара открывает пользователю доступ на чтение указанной задачи. Технические детали настройки — в admin.md.
Важно: права доступа на категорию имеют больший вес. Если у пользователя нет доступа к категории, а через SQL-представление доступ предоставлен — доступ не действует.
8. Гибкая настройка прав через ДП¶
Механизм предоставления доступа к задачам через ДП «Выбор пользователя» — с поддержкой цепочек через Lookup-поля.
Режим 1. Прямой выбор пользователя¶
В категории есть ДП «Выбор пользователя». Пользователь, добавленный в этот ДП, получает доступ к задаче.
Пример: ДП «РП (Руководитель проекта)» и «СДО» в категориях договоров — пользователи из этих ДП получают доступ к задачам.
Режим 2. Через связанную категорию¶
В категории A есть ДП «Lookup поле» на категорию B. В категории B есть ДП «Выбор пользователя». Пользователи из ДП категории B получают доступ к задаче категории A.
Пример: категория «Backlog проектных задач» → Lookup на «Модули ТМ» → ДП «Акцептант» типа «Выбор пользователей» → доступ к задачам Backlog.
Режим 3. Через цепочку из двух связей¶
Цепочка из трёх категорий:
- Категория A — ДП «Lookup поле» на категорию B
- Категория B — ДП «Сквозной», обращается к категории C по Lookup-полю из той же категории B
- Категория C — ДП «Выбор пользователей» → доступ к задаче категории A
Пример: «Проекты» → Lookup «Договор» → «Договоры» → Сквозной «КМ» по Lookup «Клиент» → «Клиенты» → ДП «Клиентский менеджер» → доступ к проектам.
Режим 4. Через выбор нескольких задач¶
В категории A есть ДП «Выбор нескольких задач из категории» на категорию B. В B есть ДП «Выбор пользователя» → доступ к задаче категории A.
Пример: категории разработки (Backlog, Backlog несоответствия, Backlog ошибки) → ДП «Компании» (Выбор нескольких задач) → «Клиенты» → ДП «КМ» → доступ к задачам.
Важное ограничение¶
Настройка гибких прав производится для конкретных параметров и категорий. Если ДП распределяет доступ в одной категории, это не распространяется на другие категории, где этот ДП также присутствует.
9. Конфиденциальные задачи¶
При включённом режиме «Конфиденциально» на задаче — доступ имеют только подписчики. Все остальные уровни доступа (категория, роль, смарт-доступ, SQL-представление) не работают.
Матрица взаимодействия конфиденциальности и шифрования с замещением / перевоплощением:
| Механизм | Замещение | Перевоплощение (сисадмин) |
|---|---|---|
| Конфиденциальность | Доступ запрещён | Доступ есть (так задумано) |
| Шифрование | Доступ запрещён | Доступ запрещён (текст/комментарии/файлы скрыты) |
| Конфиденциальность + Шифрование | Доступ запрещён | Доступ запрещён |
Для максимальной защиты (включая защиты от перевоплощения) необходимо включать шифрование. Конфиденциальность ограничивает подписку и замещение, но не блокирует перевоплощение.
Что именно скрыто при перевоплощении в зашифрованную задачу¶
При перевоплощении в пользователя, у которого нет права «Просмотр зашифрованных задач», скрывается:
- Зашифрованные ДП в карточке задачи — отображаются пустыми;
- Текст задачи в табличном представлении — не показывается;
- Файлы зашифрованной задачи — недоступны для скачивания и просмотра;
- Комментарии — текст зашифрованных комментариев скрыт.
10. Матрица доступа к ДП¶
Помимо доступа к самой задаче, существует матрица доступа к ДП — управление видимостью и редактируемостью отдельных дополнительных параметров:
- По роли пользователя (заказчик / исполнитель / подписчик / группа)
- По статусу задачи
- Гранулярность: чтение / редактирование / скрыт
Настраивается на уровне категории. Подробнее — в домене Дополнительные параметры.
11. Устаревшие механизмы¶
Некоторые механизмы доступа больше не используются:
- Доступ по тегам — устарел, не применяется.