Перейти к содержанию

Права доступа к задачам

Документ описывает бизнес-правила прав доступа к задачам в 1Форме: общий принцип «доступ хотя бы по одному из уровней», доступ на категорию, доступ на задачу по роли, доступ акцептанта и заместителя, смарт-доступ, доступ через SQL-представление, гибкая настройка прав через ДП (прямой выбор, связанная категория, цепочки, выбор нескольких задач), конфиденциальные и зашифрованные задачи, матрица доступа к ДП и устаревшие механизмы. Целевая аудитория — администраторы категорий, инженеры поддержки и пользователи, разбирающиеся в правилах видимости задач.

1. Общий принцип и доступ на категорию

Пользователь получает доступ на просмотр задачи, если соответствует хотя бы одному требованию:

  1. Доступ на категорию
  2. Доступ на задачу (по роли)
  3. Смарт-доступ
  4. Доступ через SQL-представление
  5. Акцептант активной подписи
  6. Заместитель сотрудника с одним из указанных прав

Исключение: конфиденциальные задачи — доступ имеют только подписчики, прочие уровни не учитываются.

Права выдаются группе пользователей на уровне категории.

Если пользователь входит в несколько групп — права суммируются (учитываются все активные права).

Виды прав группы на категорию

Группе можно выдать на категорию следующие права:

Право Описание
Администратор задач/категории Изменение любых параметров: заказчик, исполнитель, сроки, текст, подписи, статус вопреки маршруту. Право разрывать связи между задачами (если задачи в разных категориях — право нужно хотя бы в одной). Единственное право, открывающее кнопку «Удалить» в контекстном меню грида и карточки задачи
Просмотр всех задач Видеть все задачи в категории
Создавать задачи Создание объектов (пользователь выступает как Заказчик)
Исполнять Принятие задач к исполнению
Редактировать исполнителей Редактирование параметра «Исполнители»
Менять заказчика Смена заказчика задачи
Переносить срок Редактирование «Срок исполнения»
Добавлять и менять акцептантов Добавление акцептантов к запрошенной подписи, делегирование
Пакетная обработка Пакетные операции над задачами
Просмотр зашифрованных задач Доступ к тексту и ДП в зашифрованных задачах (иначе — «текст задачи скрыт»)
Видеть скрытую оценку исполнителей Доступ к оценке при режиме «Закрытая оценка»
Запретить экспортировать в Excel Запрет выгрузки данных по категории

Права на категорию назначаются в двух местах (двусторонняя навигация):

  • Настройки категории → вкладка «Доступ» — назначение групп с правами
  • Управление группами → вкладка «Права на категорию» — обратная навигация

2. Доступ на задачу (по роли)

Для отдельной задачи права определяются ролью пользователя в ней:

  • Заказчик
  • Исполнитель
  • Подписчик
  • Руководитель исполнителя
  • Руководитель заказчика

Назначение ролей происходит в пользовательском интерфейсе задачи.

Ролевой доступ к задаче действует одинаково в представлениях категории «Таблица» и «Иерархия»: если у пользователя есть доступ хотя бы по одной роли, задача видна и в табличном, и в иерархическом представлении (даже без права «Просмотр всех задач»).

3. Доступ акцептанта и заместителя

Акцептант подписи получает право на просмотр задачи в период, когда подпись запрошена, но ещё не обработана (статус «На подписи»).

Два сценария после обработки подписи: - Настройка «Добавлять в подписчики акцептанта» включена → акцептант становится подписчиком, доступ сохраняется - Настройка выключена → акцептант теряет доступ после подписания/отклонения

Заместитель получает доступ ко всем задачам принципала, за исключением:

  • Конфиденциальных задач — заместитель НЕ получает доступ к конфиденциальным задачам принципала
  • Категорий с ограничением в дополнительных настройках замещения (по умолчанию режим «Кроме категорий» — недоступны чаты и приватные задачи в категориях с конфиденциальностью/шифрованием)
  • Зашифрованных задач, к которым у заместителя нет собственного доступа
  • Чатов принципала, к которым у заместителя нет доступа

4. Смарт-доступ и SQL-представление

Смарт-доступ предоставляет права на отдельные задачи в зависимости от условий, определённых смарт-выражением.

Смарт-выражение возвращает список пользователей, которым предоставляется доступ к задаче.

Доступ через SQL-представление позволяет администратору настроить на уровне категории доступ через SQL-представление, которое возвращает пары «пользователь — задача»: каждая такая пара открывает пользователю доступ на чтение указанной задачи. Технические детали настройки — в admin.md.

Важно: права доступа на категорию имеют больший вес. Если у пользователя нет доступа к категории, а через SQL-представление доступ предоставлен — доступ не действует.

5. Гибкая настройка прав через ДП

Механизм предоставления доступа к задачам через ДП «Выбор пользователя» — с поддержкой цепочек через Lookup-поля.

Режимы 1-2: прямой выбор пользователя и связанная категория

Режим 1. Прямой выбор пользователя

В категории есть ДП «Выбор пользователя». Пользователь, добавленный в этот ДП, получает доступ к задаче.

Пример: ДП «РП (Руководитель проекта)» и «СДО» в категориях договоров — пользователи из этих ДП получают доступ к задачам.

Режим 2. Через связанную категорию

В категории A есть ДП «Lookup поле» на категорию B. В категории B есть ДП «Выбор пользователя». Пользователи из ДП категории B получают доступ к задаче категории A.

Пример: категория «Backlog проектных задач» → Lookup на «Модули ТМ» → ДП «Акцептант» типа «Выбор пользователей» → доступ к задачам Backlog.

Режимы 3-4, цепочки и важное ограничение

Режим 3. Через цепочку из двух связей

Цепочка из трёх категорий:

  1. Категория A — ДП «Lookup поле» на категорию B
  2. Категория B — ДП «Сквозной», обращается к категории C по Lookup-полю из той же категории B
  3. Категория C — ДП «Выбор пользователей» → доступ к задаче категории A

Пример: «Проекты» → Lookup «Договор» → «Договоры» → Сквозной «КМ» по Lookup «Клиент» → «Клиенты» → ДП «Клиентский менеджер» → доступ к проектам.

Режим 4. Через выбор нескольких задач

В категории A есть ДП «Выбор нескольких задач из категории» на категорию B. В B есть ДП «Выбор пользователя» → доступ к задаче категории A.

Пример: категории разработки (Backlog, Backlog несоответствия, Backlog ошибки) → ДП «Компании» (Выбор нескольких задач) → «Клиенты» → ДП «КМ» → доступ к задачам.

Важное ограничение

Настройка гибких прав производится для конкретных параметров и категорий. Если ДП распределяет доступ в одной категории, это не распространяется на другие категории, где этот ДП также присутствует.

6. Конфиденциальные и зашифрованные задачи

При включённом режиме «Конфиденциально» на задаче — доступ имеют только подписчики. Все остальные уровни доступа (категория, роль, смарт-доступ, SQL-представление) не работают.

Матрица взаимодействия конфиденциальности и шифрования с замещением / перевоплощением:

Механизм Замещение Перевоплощение (сисадмин)
Конфиденциальность Доступ запрещён Доступ есть (так задумано)
Шифрование Доступ запрещён Доступ запрещён (текст/комментарии/файлы скрыты)
Конфиденциальность + Шифрование Доступ запрещён Доступ запрещён

Для максимальной защиты (включая защиты от перевоплощения) необходимо включать шифрование. Конфиденциальность ограничивает подписку и замещение, но не блокирует перевоплощение.

При перевоплощении в пользователя, у которого нет права «Просмотр зашифрованных задач», скрывается:

  • Зашифрованные ДП в карточке задачи — отображаются пустыми;
  • Текст задачи в табличном представлении — не показывается;
  • Файлы зашифрованной задачи — недоступны для скачивания и просмотра;
  • Комментарии — текст зашифрованных комментариев скрыт.

7. Матрица доступа к ДП и устаревшие механизмы

Помимо доступа к самой задаче, существует матрица доступа к ДП — управление видимостью и редактируемостью отдельных дополнительных параметров:

  • По роли пользователя (заказчик / исполнитель / подписчик / группа)
  • По статусу задачи
  • Гранулярность: чтение / редактирование / скрыт

Настраивается на уровне категории. Подробнее — в домене Дополнительные параметры.

Устаревшие механизмы. Некоторые механизмы доступа больше не используются:

  • Доступ по тегам — устарел, не применяется.