Привязка Domain к UserGroup

[HorrR]

Вопрос заключается в том, где и как осуществляется привязка домена к юзер группе.

Ведь (поправьте, если ошибаюсь)
Есть привязка эккаунтов компаний к домену. Смысл которой заключатеся в создании неких областей(доменов видимости) компаний. Следовательно следующий шаг для валидации доступа к тому или иному аккаунту компании - связь домена с определенной группой пользователей.


Или иными словами. Домены используются в настройке AccessRightsList, это ясно. Но вот такой вопрос, а доменами нельзя ограничивать доступ того или иного пользователя к той или иной компании? И если можно, то каким образом?

[Ivanhoe]

Вы когда настраиваете доступ по группе пользователей, то выбираете явно домен, и только потом видите дерево объектов. Т.е. группа не привязывается к какому-либо домену, но права доступа у группы настраиваются в разрезе доментов.

[HorrR]

Ну это да, то есть права(AccessRights) настраиваются в контексте\разрезе домена, это ясно.
Но вот что действительно не ясно, это можно ли каким-то стандартным путем ограничить(на уровне разрешить\запретить) доступ отдельных пользователей к отдельным аккаунтам компаний.

Или, чтобы упростить постановку элементарный пример: есть 4 компании aaa, aab, baa, bab. И две группы пользователей: a1и b1. Можно ли используя настройки стандарта разрешить доступ к компаниям ааа, aab для пользователей группы a1, а пользователям группы b1 - запретить(или просто не дать доступа). И для учеток baa, bab с точностью наоборот.

[Ivanhoe]

Конечно.
Объединяете aaa и aab в один домен "dom1" и даете в нем доступ группе a1, для группы b1 права не настраиваете (равносильно запретить доступ, если разработчики везде повесили securitykey).
Объединяете baa и bab в один домен "dom2" и даете в нем доступ группе b1, группе a1 не даете.

[HorrR]

Все, что вы описали абсолютно очевидно. Только вы, собственно, пропустили саму соль вопроса. "и даете в нем доступ группе a1" - как собственно "давать", это и есть вопрос? Нет, я понимаю, что можно в AccessRights просто-напросто перечислить все элементы, к коим будет обеспечен доступ. Но иногда имеет смысл, не конкретизируя права к отдельным элментам разрешить доступ к тем или иным компаниям. А-ля, такой себе админ в пределах домена. Может быть я просто не ясно выразился, так что извините.

[sukhanchik]

В АХ есть группы пользователей (UserGroupInfo) и группы компаний, т.е. домены. И между ними (между группами) настраиваются права. Соответственно - непосредственно компании и пользователи между собой никак не связаны. Поэтому при настройке прав нужно понимать - что права дают доступ группе пользователей к группе компаний и никак иначе

[Ivanhoe]

Цитата:

Сообщение от HorrR

Все, что вы описали абсолютно очевидно. Только вы, собственно, пропустили саму соль вопроса. "и даете в нем доступ группе a1" - как собственно "давать", это и есть вопрос?

1. Как давать - это же аболютно очевидно =) Сорри, не удержался.

Цитата:

Сообщение от HorrR

Нет, я понимаю, что можно в AccessRights просто-напросто перечислить все элементы, к коим будет обеспечен доступ.

2. Все правильно понимаете.

Цитата:

Сообщение от HorrR

Но иногда имеет смысл, не конкретизируя права к отдельным элментам разрешить доступ к тем или иным компаниям. А-ля, такой себе админ в пределах домена. Может быть я просто не ясно выразился, так что извините.

3. Давайте уж тогда зафиксируем термины. Я писал в терминах Аксапты. Вы пишете в каких-то своих терминах. Расшифруйте, плиз, что такое "разрешить доступ к компании"?

p.s. Админ - это пользователь входящий в группу Админов, которая, в свою очередь, имеет права на все ключи (т.е. выполнен п. 2 моего ответа для всех элементов).

[HorrR]

Цитата:

Сообщение от Ivanhoe

3. Давайте уж тогда зафиксируем термины. Я писал в терминах Аксапты. Вы пишете в каких-то своих терминах. Расшифруйте, плиз, что такое "разрешить доступ к компании"?

p.s. Админ - это пользователь входящий в группу Админов, которая, в свою очередь, имеет права на все ключи (т.е. выполнен п. 2 моего ответа для всех элементов).

"разрешить доступ к компании" - возможность вообще находиться в компании. В противном случае пользователь не должен иметь возможности выбрать компанию в качестве текущей.

То есть речь идет про ограничения на уровне аккаунтов компаний, а не на уровне отдельных элементов. Другой уровень детализации. Собственно я спрашивал о возможности такой настройки, теперь очевидно, что её нет.

"Админ в пределах домена" - это абстрактная категория, вообще, которую я использовал для упрощения - то есть пользователь, находящийся в группе, у которой нет ограничений по элементам, но есть доступ только в определенный набор компаний.

Как хотелось бы, что бы это выглядело - настройка доступных компаний пользователя с комбо "полный доступ" или "уточнить уровень доступа" (Нет, накодить то не проблема, но хотелось бы стандартный ф-ционал)

Как это может быть реализовано в Аксапте - настройка с полным доступом для всех доступных элементов в пределах данного домена для данной группы пользователей: "DomainFullAccess", допустим.

Надеюсь, теперь ясно выразился. В любом случае, спасибо за неравнодушие и желание помочь =)

[S.Kuskov]

Цитата:

Сообщение от HorrR

"разрешить доступ к компании" - возможность вообще находиться в компании. В противном случае пользователь не должен иметь возможности выбрать компанию в качестве текущей.

А RLS по таблице компаний не поможет?